La présidence de la République a indiqué qu’elle avait, le 24 mars dernier, saisi le Comité CARE (Comité Analyse, recherche et expertise), présidée par la prix Nobel F. Barré-Sinoussi, qui doit l’accompagner dans la préparation du déconfinement, d’une mission d’expertise délicate : il s’agit de se prononcer sur l’opportunité de mettre en place une stratégie numérique d’identification des personnes ayant été en contact avec des personnes infectées, en utilisant notamment la géolocalisation des smartphones. Il s’agit, en clair, d’appliquer la doctrine coréenne et de « remonter » le fil des contagions éventuelles d’un patient infecté en identifiant les personnes qu’il a croisées. Mais l’outil permet aussi de vérifier qu’un malade confiné chez lui respecte ce confinement. Il s’agirait là, à l’évidence, dès lors que le consentement des personnes ne serait pas donné et que les données ne seraient pas anonymisées, d’une atteinte à la protection des données personnelles.

Certains juristes considèrent qu’il n’existe pas de base légale pour mettre en place un tel dispositif de géolocalisation, qui s’applique pourtant déjà (mais sur des individus, pas sur des groupes) dans le cadre de certaines enquêtes. Toutefois, l’article 9 du RGPD (règlement général sur la protection des données) prévoit que tout traitement de données personnelles à caractère sensible, et en particulier des données sur la santé, est interdit sauf certaines dérogations, parmi lesquelles on trouve le motif d’intérêt public : l’on pourrait interpréter ce texte comme donnant une base légale à une exploitation des données de géolocalisation des personnes infectées et des groupes qu’elles rencontrent. Il est vrai que les exemples cités dans le texte (menaces transfrontalières, garantie de la qualité des soins…) paraissent loin du motif qui serait en l’occurrence avancé.

La CNIL a fait ce qu’elle fait toujours quand elle a le sentiment que ses compétences (en l’occurrence la protection des données personnelles) ne sont pas respectées : elle a publié des recommandations adressées au Comité CARE, pour l’éclairer dans ses choix. Elle commence par expliquer qu’il vaudrait mieux avoir recours à des données anonymisées ou ne les recueillir qu’avec le consentement des personnes. Comme, en l’occurrence, ce ne serait pas possible, elle est d’avis qu’il faudrait alors que le Parlement se prononce, que la mesure soit limitée dans le temps et que sa portée (l’utilisation faite) soit très précise. La porte n’est donc pas fermée mais avec d’une part, l’exigence d’un débat public, d’autre part des limites strictes mises à cette dérogation, en tout cas sans aucune pérennisation. Le Comité Care aura du mal à porter un autre avis…