Recevez chaque jour toute l'actualité du numérique

x

[Avis d'expert] Le RGPD s'applique-t-il aux données géolocalisées anonymisées liées au Covid-19 ?

Alors que le tracking est de plus en plus évoqué comme un outil indispensable pour sortir du confinement en relative sécurité, les débats sur la compatibilité de cette technologie avec le respect de la vie privée réapparaissent. Eric Barbry, avocat associé en charge de la pratique IP IT & Data protection au sein du Cabinet Racine, livre son analyse.
mis à jour le 08 avril 2020 à 18H30
Twitter Facebook Linkedin Flipboard Email
×

[Avis d'expert] Le RGPD s'applique-t-il aux données géolocalisées anonymisées liées au Covid-19 ?
Souriez vous êtes géolocalisé © Unsplash/ Sebastian Hietsch

Une fois encore, les pros et anti RGPD s’affrontent. Le nouvel objet de la discorde : le projet de Thierry Breton, Commissaire européen en charge notamment du marché intérieur et du numérique consistant à créer une méga base de données au niveau européen en demandant aux opérateurs de télécoms de communiquer les données de géolocalisation. Cette méga base sera constituée de données agréées et anonymisées.

Amendements et polémiques

De tels dispositifs existent déjà (Chine, Allemagne, Italie, Israël, …) avec des caractères plus ou moins intrusifs. Le modèle sans doute le plus "abouti", si l’on peut s’exprimer ainsi, étant celui d’un contrôle individuel des personnes contaminées en Corée du Sud. Ce projet ne manque pas de créer la polémique au principe du sacro-saint respect de la vie privée et du respect du RGPD.

En témoigne le projet d’amendement des sénateurs Chaize et Retailleau qui consistait à ajouter dans la loi d'urgence pour faire face à l'épidémie de Covid-19 un amendement ainsi libellé : "afin de faire face aux conséquences de l’épidémie de Covid-19 et en particulier d’assurer la continuité du fonctionnement des services et des réseaux mentionnés à l’article L. 732-1 du code de la sécurité intérieure, toute mesure visant à permettre la collecte et le traitement de données de santé et de localisation, est autorisée pendant une durée de six mois suivant la date de publication de la présente loi." Amendement finalement écarté pour éviter toute polémique.

En témoigne aussi l’émoi de certains eurodéputés comme Sophia in’t Veld, qui s’interroge publiquement sur la nécessité d’amasser "de très grandes quantités" de données de localisation, alors même que les Européens sont bloqués chez eux…

Relire les textes

Mais pourquoi tant d’histoires, alors même qu’au cas d’espèce le RGPD n’est pas applicable ?

Il suffit pour s’en convaincre de lire le Considérant 26 du Règlement qui précise :  "Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche."

Et pour ceux qui ne seraient pas encore totalement convaincus il suffit alors de lire la lettre du Contrôleur européen à la protection des données (CEPD) saisi sur le sujet et qui indique clairement : "It is clear from your letter that you intend to use only anonymous data to map movements of people with the objective of ensuring the stability of the internal market and coordinating crisis response. Effectively anonymised data fall outside of the scope of data protection rules. Provided that the data to be obtained by the Commission is anonymised, data protection rules would not apply. Therefore, the role of the Commission as a controller under Regulation 2018/1725 would not be relevant in this case 1". (*)

Des principes à respecter

Le RGPD ne s’applique pas mais tous les principes et les règles doivent être respectés !

Bien qu’écartant le RGPD, à priori la position du CEPD témoigne tout de même d’un inconfort certain puisqu’il recommande à la Commission :

  • de s’assurer du type de données auxquelles elle aura accès ;
  • de la durée nécessairement limitée du traitement ;
  • de la nécessité de mettre en œuvre des mesures de sécurité adaptées ;
  • de la nécessité, si des prestataires tiers sont impliqués,
  • de s’assurer du respect de ces mesures ;
  • de la nécessité de limiter les accès à certains membres de la Commission ; d’informer les citoyens européens…
  • et enfin de considérer ce traitement comme exceptionnel !

En résumé, le RGPD ne s’applique pas mais tous ces principes et les règles doivent être respectés !

Une telle position est inaudible et il ne faut pas s’étonner que certains continuent à penser que le RGPD s’applique même aux données à caractère personnel anonymisées…

Rien de neuf ?

Il est pour le moins curieux que l’on s’émeuve de cette initiative alors que de l’aveu même des opérateurs, tous vendent déjà des données de géolocalisation anonymisées. Pourquoi donc ce qui est permis ou toléré dans la vie des affaires deviendrait critiquable pour sauver l’Humanité ?

Une chose est certaine, passée la crise, il faudra sans doute revoir le RGPD pour gommer ses incertitudes comme sur sa non-application aux données anonymisées et sa rigidité notamment sur les questions de traitement de données de santé essentiellement basées sur le consentement et dont on voit la limite aujourd’hui…


Eric Barbry, avocat associé, chargé de la pratique IP IT & Data protection, Cabinet Racine



Les avis d'experts sont publiés sous l'entière responsabilité de leur auteur et n'engagent en rien la rédaction de L'usine digitale. 

 

----------------

"Il ressort clairement de votre lettre que vous avez l'intention de n'utiliser que des données anonymes pour cartographier les mouvements de personnes dans le but d'assurer la stabilité du marché intérieur et de coordonner la réponse à la crise. Les données effectivement anonymes ne relèvent pas du champ d'application des règles de protection des données. Pour autant que les données à obtenir par la Commission soient rendues anonymes, les règles de protection des données ne s'appliqueraient pas. Par conséquent, le rôle de la Commission en tant que responsable du traitement au titre du règlement 2018/1725 ne serait pas pertinent dans ce cas." (traduction de l'auteur) 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media