Véronique Chapuis, Directrice du Programme D’Intelligence Juridique EGE, Présidente LEX Colibri, et Matthieu Juglar, Avocat cabinet JLT Avocats, nous offrent un éclairage sur la portée et les enjeux du projet de Géolocalisation “Covid 19”. Entre atteintes aux libertés individuelles, menaces d’inconstitutionnalité et poids pesant sur les entreprises, jusqu’où la sauvegarde de la santé des citoyens peut-elle aller d’un point de vue juridique ?
L’incroyable crise sanitaire que le monde vit avec la pandémie du coronavirus, dénommé Covid 19, pousse les gouvernements à trouver divers moyens pour en limiter les effets dévastateurs. Des mesures traditionnelles telles que le confinement des populations, la mise en quarantaine, et sur un plan juridique, le vote d’un état d’urgence sanitaire(1) ont dû être adoptées notamment en France. Bien entendu, la recherche scientifique s’est aussitôt mobilisée pour identifier des traitements et pour créer un vaccin.
Certains pays comme la Chine, la Corée du Sud et Israël ont également utilisé les récents progrès techniques pour organiser un suivi par géolocalisation du respect de quarantaine par la population contaminée(2). Historiquement, la géolocalisation de personnes contaminées avait été testée en Afrique pour endiguer le virus Ebola car tracer le déplacement des individus avait été retenu comme moyen pour suivre l’épidémie rendu possible grâce à l’énorme pénétration du téléphone portable en Afrique(3).
En France, une démarche similaire est à l’étude par le comité CARE(4) constitués de chercheurs et de médecins avec pour mission d’examiner la mise en place d’un système de géolocalisation avec les téléphones portables pour juguler une contamination en repérant où se situent les malades. Cette mesure qui permettrait de séparer le bon grain de l’ivraie est séduisante pour certains scientifiques, mais l’État français a rappelé par la voix de son premier ministre le 1er avril 2020(5) qu’elle ne pouvait pas être imposée à la population française car elle est illégale. Il envisage tout de même la traçabilité sur l’engagement volontaire en soulignant qu’il n’existe pas aujourd’hui de base légale pour imposer cette obligation à chaque personne infectée(6).
Un éclairage via une approche d’Intelligence Juridique semble nécessaire. En effet, le caractère invasif de ce projet a des impacts juridiques (discrimination, atteintes aux libertés individuelles, infraction au règlement sur la protection des données personnelles, introduction d’une obligation de dénonciation dans le droit français, création d’une nouvelle obligation à la charge des entreprises avec les responsabilités associées) qui vont bien au-delà de la question des données personnelles dont on a entendu parler. Il recèle également des enjeux de guerre économique et juridique qui semblent disproportionnés par rapport à l’avantage du projet envisagé.
D’abord, un tel projet serait discriminatoire,
par essence car il ne permettrait le traçage, sous couvert de protection, que des personnes disposant d’un téléphone portable avec un abonnement nominatif en cours, ce qui est loin d’être le cas aujourd’hui. Cette mesure n’assurerait pas la protection des populations fragiles les plus à risque en cas d’épidémie, c’est-à-dire celles qui sont dans la précarité sans téléphone portable. Elle ne protègerait pas non plus les mineurs ni les incapables majeurs non détenteurs de portable. Par ailleurs, pour être efficace, le système supposerait que la personne atteinte du coronavirus soit titulaire d’un téléphone portable et d’une ligne à son nom. De là à considérer que la première prescription d’un médecin à l’attention de ses patients atteints serait un téléphone portable, il n’y a qu’un pas que, sans doute et on l’espère, le législateur hésiterait à franchir.
On ne saurait, en effet, concevoir que chaque Français doive détenir en tout temps un téléphone portable perpétuellement branché, sauf à porter une atteinte grave aux libertés publiques. La consommation d’un produit, quel qu’il soit, n’est pas à ce jour et ne devrait pas devenir une obligation légale, sans parler du côté parfaitement discriminant d’une telle mesure à l’égard de ceux qui n’auraient pas les moyens ou l’envie de s’en offrir un. S’ajoute à cela que les lignes téléphoniques mobiles ne sont pas nécessairement ouvertes au nom de leur titulaire. Il en est ainsi, par exemple, des parents qui, en leur nom propre, souscrivent des abonnements dont ils font profiter leur progéniture, ou plus simplement des opérateurs qui n’exigent pas la fourniture d’une identité exacte lors de l’ouverture de la ligne.
De la même façon, les entreprises qui possèdent des flottes de téléphones portables ne communiquent pas nécessairement aux opérateurs les noms de leurs salariés qui les utilisent individuellement. Ainsi, la géolocalisation nominative se heurterait à une faille qui ne pourrait être comblée que par une obligation de dénonciation du véritable utilisateur de la ligne par le titulaire de l’abonnement ; obligation de dénonciation qui est exclue en droit français(7). Nul doute que tout cela laisserait un goût amer et présagerait d’une dérive juridique très inquiétante. Enfin, en présence d’une épidémie transfrontalière, la question de l’utilisateur d’une ligne étrangère se poserait nécessairement, puisqu’elle impliquerait la communication d’une identité par un opérateur étranger, soumettant ainsi l’ordre public et la sécurité nationale au bon vouloir d’entreprises d’autres pays de transmettre les coordonnées de leurs abonnés aux autorités françaises.
Une nouvelle responsabilité naîtrait alors à la charge des entreprises,
car elles deviendraient comptables de la collecte et du traitement d’informations de santé de leurs salariés avec les obligations du responsable de traitement imposées par la CNIL, ce qui serait une nouvelle charge complexe et coûteuse à assumer à laquelle s’ajouteraient des obligations de sécurité et de cyber- sécurité particulièrement renforcées puisqu’il s’agit de données sensibles. On peut gager également que certains salariés refuseraient de consentir à cette collecte par leur employeur craignant légitimement pour leurs conditions de travail et leur employabilité. Quelle serait alors la responsabilité des entreprises vis-à-vis de l’État français pour défaut de collecte ?
Le projet porterait atteinte aux droits de l’Homme et aux libertés fondamentales.
Au regard des obligations internationales de la France, un système de surveillance généralisée des individus ne serait pas sans conséquences, puisqu’il porterait atteinte à l’article 8 de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales (CESDH) qui, lui aussi, protège la vie privée des individus. Ainsi, la Cour européenne des droits de l’Homme (CEDH) s’est prononcée sur la violation de l’article 8 de la Convention par l’État finlandais(8) dont une cour d’appel avait rendu public le nom d’un individu séropositif ainsi que celui de son ex-compagne, dans une affaire d’agression sexuelle. La Cour avait affirmé que cette ingérence dans la vie privée(9) n’était pas nécessaire dans une société démocratique, notamment au regard des conséquences que peuvent avoir pour les individus un statut de séropositif connus de tous, entraînant irrémédiablement leur exclusion de la société. Ce raisonnement montre que les juges garants des droits de l’Homme ont conscience des dérives dramatiques de l’étalage des données relatives à la santé.
En ce qui concerne l’épidémie de Covid-19, la peur et la panique éprouvées par une partie de la population, malheureusement illustrées par le comportement de certains concitoyens, laissent présager du pire pour les personnes qui se verraient fichées « contaminées » dans le cadre d’un système de géolocalisation généralisée. C’est le respect même de la vie privée qui serait menacé. Par nature, les données collectées porteraient sur la vie privée des personnes concernées, puisqu’elles feraient ressortir leur état de santé, mais également tous leurs déplacements pendant le temps de la collecte, que ce soit au travail, dans les lieux de culte, les associations, au domicile des proches, etc. ainsi, la collecte conduirait tous les destinataires des données, au premier rang desquels l’État, – car il faut espérer que les personnes privées seront écartées –, à s’immiscer dans la vie privée de chaque citoyen, surveillant ainsi leurs allées et venues.
Les libertés individuelles seraient elles aussi bafouées.
La mesure à l’étude confinerait à l’assignation à résidence généralisée de toute une population perçue, par cela même qu’elle est potentiellement infectée ou carrément malade, comme un groupe terroriste. Même au pinacle de son action contre la France, des activistes ou sympathisants du groupe État islamique, pourtant assignés à résidence et certainement dûment surveillés, du moins pour la plupart d’entre eux, n’ont pas connu pareil traitement sans qu’un juge ne pût le contrôler. Même les personnes purgeant une peine sous bracelet électronique ne sont pas astreintes à un suivi aussi invasif. En plus d’accorder à l’État un droit exceptionnel d’immixtion dans la vie privée de ses citoyens, cette mesure ne serait pas sans poser des questions fondamentales quant à la liberté d’aller et venir, soumise, de surcroît, à un contrôle confié à une machine dont la fiabilité n’est pas à toute épreuve.
Au final, l’infraction à l’obligation de confinement résulterait du constat automatique d’un déplacement, sans que l’utilisateur ne soit à l’abri d’une panne du relais le plus proche de chez lui ou d’une erreur de collecte, et le juge, s’il devait encore avoir un rôle, serait cantonné à celui, subalterne, de simple chambre d’enregistrement. Sans doute objectera-t-on que la mesure ne concernerait, au final, qu’un nombre réduit d’individus, au vu du nombre de cas de contamination recensés en France depuis ces derniers jours. Ce serait oublier toutes les personnes, du livreur d’Amazon au médecin de l’hôpital, en passant par les proches, qui seraient amenées à entrer en contact avec les personnes contaminées. Elle se retrouveraient également visées par le suivi en temps réel de leur ligne mobile, et devraient subir les mêmes conséquences. Autre atteinte aux libertés individuelles fondamentales, un tel projet obligerait également tout individu à conserver son téléphone portable en permanence avec lui, ce qui serait inimaginable car cela conduirait à un bouleversement de société dont on doute qu’il soit accepté. L’évolution du capitalisme industriel vers un capitalisme numérique présentée par l’économiste Daniel Cohen dans l’article d’Antoine Reverchon ne devrait pas ouvrir la voie à une quelconque aliénation des libertés individuelles(10).
L’ensemble de ces atteintes ouvrirait la voie à l’inconstitutionnalité du projet.
On sait combien le Conseil Constitutionnel privilégie la protection de la vie privée, dont fait évidemment partie la santé de tout un chacun, puisqu’elle est un corolaire de la liberté proclamée par la Déclaration des droits de l’homme et du citoyen(11). Se pose alors nécessairement le problème sous-jacent de la constitutionnalité de cette mesure. Une saisine du Conseil constitutionnel par les parlementaires ou via une Question Prioritaire de Constitutionnalité serait à prévoir conduisant le Conseil à pratiquer son triple test usuel (1. Adéquation par rapport au but poursuivi, 2. Nécessité au sens où la mesure est ou n’est pas nécessaire pour faire respecter le confinement et pour en mesurer l’efficacité et 3. Proportionnalité évaluée entre le taux de mortalité, l’insuffisance des capacités hospitalières et des moyens médicaux pour lutter contre l’épidémie et l’atteinte aux libertés d’un projet de géolocalisation)(12).
La protection des données personnelles serait à revoir en profondeur.
On se souvient que peu après le début de la mesure du confinement suite à la crise du coronavirus, les opérateurs français de téléphonie mobile, au premier rang desquels Orange, avaient fait état de ce que de nombreux franciliens en avaient profité pour se rendre en villégiature dans leur résidence secondaire, à l’île de Ré ou ailleurs, pour joindre l’agréable à l’utile. Ce constat, somme toute simple, reposait sur des données statistiques d’utilisation des antennes relais de téléphonie mobile, desquelles il ressortait une baisse du trafic en région parisienne concomitamment à une augmentation comparable du trafic en province. Après tout, ces données, agrégées et purement anonymes, fondées sur la quantité d’informations reçues et transmises par telle ou telle antenne relais, facilement accessibles à l’opérateur, ne dérangeaient personne ; un relevé du trafic autoroutier à cette même période aurait conduit au même résultat. Mais ce serait à condition de ne pas aller plus loin car anonymiser des données reste contrôler et ne donne pas, pour autant, le droit de tout faire avec.
Et c’est bien un des points d’attention à avoir car le projet à l’étude vise à aller beaucoup plus loin. Il ne s’agirait plus simplement d’une simple étude statistique, mais bien de savoir, en temps réel, où se situe chaque personne contaminée ou susceptible de l’être, à quelques dizaines de mètres près. En effet, sur la base des antennes relais activées par un téléphone portable dès qu’il reçoit ou émet un appel vocal ou de données, il est possible de savoir où se situe son utilisateur. Cependant, à la différence des utilisations habituelles des services de géolocalisation que nous utilisons quotidiennement, il ne s’agit pas de proposer à l’utilisateur de se rendre dans tel restaurant à proximité, mais bien de s’assurer, au contraire, qu’il n’a aucune velléité de déplacement quelconque. Elle contient donc une mesure coercitive qui interpelle évidemment. Certes, le Règlement général sur la protection des données (RGPD) autorise le traitement de ce type de données sans le consentement de la personne concernée, notamment face à une menace sanitaire transfrontalière, mais toujours sous réserve des principes de nécessité et de proportionnalité du traitement face à la situation(13) : le projet envisagé serait-il nécessaire et proportionnel face à la situation au regard du droit ? Serions- nous donc affectés au point de vouloir changer nos normes fondamentales, héritage d’un passé bien plus meurtrier qu’une pandémie de quelques mois ? D’ailleurs, dans un récent avis, le comité européen de la protection des données (G29) a rappelé qu’à moins de recourir à la loi ou d’avoir obtenu le consentement préalable de la personne concernée, les données de géolocalisation en temps réel des téléphones portables devaient être anonymisées(14).
Cette obligation juridique nécessaire viderait de son intérêt l’objectif de tracer les personnes malades. Par ailleurs, pour satisfaire l’exigence d’un traitement nécessaire et proportionné, il faudrait assurer un recours effectif au juge.
Des enjeux critiques de guerre économique et juridique seraient à prendre en compte.
Ouvrir la voie à la géolocalisation reviendrait à donner le pouvoir à des personnes morales privés françaises ou étrangères de tracer la population française et surtout de constituer et d’exploiter à des fins statistiques ou autres, une base de données avec toutes les données recueillies de santé et de déplacements de la population française. Cela irait à l’encontre de l’essence même du Règlement Européen sur la Protection des Données personnelles qui a érigé des protections pour permettre à la France et aux pays européens de conserver la souveraineté des données de leurs citoyens. Par ailleurs, donner l’opportunité à des entreprises étrangères de recueillir des données de santé de la population française leur donneraient un avantage compétitif majeur au mépris des entreprises françaises qui ne pourraient pas bénéficier de la réciproque avec des avantages équivalents à l’étranger.
De plus, on ne saurait concevoir que ces données, par nature très sensibles et témoignant non seulement de l’état de santé, mais encore de certaines opinions ou habitudes des personnes qui en font l’objet, ne tombent entre les mains d’autres entités que les opérateurs téléphoniques ou de l’État. La tentation serait en effet trop forte, dans un pareil cas, pour un employeur, un banquier ou un assureur, de profiter de ces informations au détriment de son client ou de son salarié. La base de données ainsi constituée ouvrirait un champ de risques encore inexploré : qui la contrôle, qui l’utilise, qui y a accès sans parler des risques en matière de cyber-sécurité qui seraient accrus pour profiter de cette manne de données ?
La mise en œuvre poserait également question même si elle est temporaire le temps d’une crise. L’état français n’ayant pas les moyens d’opérer lui-même une base, il devrait déléguer cette tâche de collecte et de traitement à des opérateurs privés avec une capacité limitée voire très limitée de leur faire respecter leurs obligations puisque son contrôle serait indirect, exercé au travers de l’application de sanctions pour non-respect de la loi ou du contrat de délégation. La sécurité des citoyens pourrait souffrir des délais d’application résultant naturellement du temps de contrôle par le juge ou de sanctions insuffisamment dissuasives pour certaines entreprises.
Ainsi, la mesure proposée prend des airs d’illégalité et de disproportion inquiétante quelle que puisse être la situation sanitaire. Il paraît plus judicieux, plutôt que de généraliser un suivi géolocalisé de chaque ligne mobile, d’envisager une campagne de test, moins invasive et tout aussi efficace. A ce jour la population française est d’ailleurs majoritairement opposée au projet(15). La guerre économique étant présente à tout niveau ; si la technologie devient un facilitateur, faisons-en sorte que le rempart du Droit prévienne des stratégies indésirables de conquête économique.
Véronique Chapuis & Matthieu Juglar
Présidente LEX Colibri Avocat cabinet JLT Avocats
Avec
Capucine Viviani & Léo-Paul Hochedez
stagiaire LEX Colibri stagiaire JLT Avocats
.
Références :
1 Article L. 3136-1 de la loi sur l’état d’urgence sanitaire.
2 Jacques Cheminat, Traquer le virus mais pas la vie privée, Le Monde Informatique, 30 mars 2020, https://www.lemondeinformatique.fr/actualites/lire-geolocalisation-traquer-le-coronavirus-mais-pas-la-vie-privee-78609.html
3 PH VD, Les portables pourraient prédire les épidémies d’Ebola, Nouvel Obs. https://www.nouvelobs.com/rue89/rue89-tech/20140825.RUE5400/les-portables-pourraient-predire-les-epidemies-d-ebola.html, 21 nov. 2016.
Pour aller plus loin : Les différentes actions et entreprises qui s’attardent sur la géolocalisation des épidémies (Ebola) + les difficultés techniques de l’époque- 21 novembre 2016 https://www.nouvelobs.com/rue89/rue89-tech/20140825.RUE5400/les-portables-pourraient-predire-les-epidemies-d-ebola.html ou Géolocalisation en Afrique par Orange, Teleccom et L’ONG Flowminder : www.worldpop.org.uk/ebola/ ou https://studylibfr.com/doc/2348343/la-sant%C3%A9–bien-commun-de-la-soci%C3%A9t%C3%A9-num%C3%A9rique.
Julien Coriat, thèse, expliquant techniquement comment marche la géolocalisation en situation de crise ( toutes crises confondues) et où sont envoyées les données en posant la question de l’interopérabilité dans la gestion et le contrôle des données. https://tel.archives- ouvertes.fr/tel-01970777/document, cf.page 3.
YOAN GONTHIER LE Guen, La protection des données personnelles en situation de crise sanitaire exceptionnelle : L’hypothèse du traçage géographique des citoyens à fin de lutte épidémique – http://www.revuedlf.com/dossier/colloque-virtuel-droit-et-coronavirus-le-droit-face-aux-circonstances-sanitaires-exceptionnelles/.
4 Comité CARE, Bfmtv, https://www.bfmtv.com/tech/les-donnees-de-geolocalisation-de-nos-smartphones-mises-a-profit-pour-stopper-le-coronavirus-1881652.html.
5 Assemblée Nationale, Mission d’information parlementaire sur l’épidémie, Audition d’Edouard Phillipe et Olivier Véran 1 er avril 2020 sur : www2.assemblée-nationale.fr
6 Reuters, citation Edouard Philippe, 1er avril 2020.
7 Art. 226-10 du code pénal
8 CEDH, Z c. Finlande, no 22009/93, 25 février 1997
9 Cons. const., 30 mars 2012, n° 2012-227 QPC, cons. 6 que la liberté proclamée par [article 2 DDHC89] implique le respect de la vie privée”
10 Le Monde, 2 avril 2020.
11 Cons. Const. 30 mars 2012, N° 2012-227-QPC, consid. 6
12 DDHC art 2 (liberté) art 7 (liberté d’aller et de venir), Préambule 46 points 5 et 6, Jurisprudence du Conseil constitutionnel reconnaît le respect au droit de la vie privée (« La constitutionnalisation du droit au respect de la vie privée », Vincent MAZEAUD, Nouveaux cahiers du Conseil constitutionnel n° 48, p. 7 à 20, juin 2015).
13 RGPD, art. 9.2, §i.
14 A. Guérin, Coronavirus : les recommandations du Comité européen de la protection des données aux responsables de traitements : Dalloz actualité, 30 Mars 2020
15 Matthieu Goar, Anxieuse, l’opinion approuve les mesures de l’exécutif, sondage Ipsos, Le Monde 21 mars 2020
Bibliographie :
-
Y. GONTHIER LE GUEN, La protection des données en situation de crise sanitaire exceptionnelle [en ligne], 27 mars 2020, https://www.youtube.com/watch?v=XpBxlmwkEJA&t=63s
-
KEMPF Raphaël, « Il faut dénoncer l’état d’urgence sanitaire pour ce qu’il est : une loi scélérate » [en ligne], Le Monde, 24 mars 2020, https://www.lemonde.fr/idees/article/2020/03/24/raphael-kempf-il-faut-denoncer-l-etat-d-urgence-sanitaire-pour-ce-qu-il-est-une-loi- scelerate_6034279_3232.html
-
GUERIN-FRANÇOIS Alexandra, « Coronavirus : les recommandations du Comité européen de la protection des données aux responsables de traitements » [en ligne], Dalloz actualité, 31 mars 2020 https://www.dalloz.fr/
-
MAZEAUD Vincent, « La constitutionnalisation du droit au respect de la vie privée » [en ligne], Nouveaux cahiers du Conseil constitutionnel n° 48, p. 7 à 20, juin 2015, disponible ici : https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/la- constitutionnalisation-du-droit-au-respect-de-la-vie-privee
-
GOESEL-LE BIHAN Valérie, « Le contrôle de proportionnalité exercé par le Conseil Constitutionnel » [en ligne], Cahiers du Conseil Constitutionnel n° 22, juin 2007, https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/le-controle-de- proportionnalite-exerce-par-le-conseil-constitutionnel
-
BECHEREL Sophie, Journal de 7h-9h du 30 mars 2020, France Inter, https://www.franceinter.fr/emissions/le-7-9/le-7-9-30-mars-2020
-
LOI n° 2020-290 du 23 mars 2020 « d’urgence pour faire face à l’épidémie de covid-19 », https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041746313&dateTexte=20200401
-
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, https://www.cnil.fr/fr/reglement-europeen- protection-donnees
-
Convention de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, entrée en vigueur le 3 septembre 1953, https://www.echr.coe.int/Documents/Convention_FRA.pdf
-
Charte des droits fondamentaux de l’Union Européenne (2000/C 364/01), adoptée le 7 décembre 2000, https://www.europarl.europa.eu/charter/pdf/text_fr.pdf
-
Agence des droits fondamentaux de l’Union européenne et du Conseil de l’Europe, « Manuel de droit européen de la protection des données personnelles » [en ligne], édition 2018, https://www.echr.coe.int/Documents/Handbook_data_protection_FRA.pdf