Applications de traçage et base de données COVID-19: pour l’APD, les avant-projets d’arrêtés royaux doivent être revus

Retour au relevé des communiqués de presse
30 Avril 2020
L’Autorité de protection des données (APD) a été consultée en urgence afin de rendre un avis sur deux avant-projets d’arrêtés royaux portant respectivement sur l’utilisation d’applications de traçage et sur la constitution d’une base de données « afin de prévenir la propagation du coronavirus ». La protection des données personnelles n’est pas un obstacle à la mise en place d’outils technologiques dans le cadre de la lutte contre l’épidémie COVID-19, tant que ceux-ci respectent certains principes fondamentaux. Les textes normatifs qui prévoient et encadrent l’utilisation de ces outils doivent notamment être précis et complets pour assurer une transparence optimale vis-à-vis du citoyen et la nécessité de recourir à une application de traçage doit être démontrée, estime l’APD.

Des garanties supplémentaires pour le citoyen

Le sujet a fait couler beaucoup d’encre : dans le cadre de la lutte contre la propagation du coronavirus, il est envisagé de retracer les contacts qu’une personne testée positive pourrait avoir contaminés. Ce traçage pourrait se faire en tentant de se souvenir des personnes que l’on a croisées et, complémentairement, via une application (qui fonctionnerait sur base de clés numériques ne permettant pas d’identifier directement les personnes concernées).

Le Centre de Connaissances de l’APD, qui est compétent pour formuler des avis sur des projets normatifs, a été consulté quant à deux avant-projets d’arrêtés royaux permettant d’encadrer, d’une part l’utilisation d’applications numériques de traçage de contacts et, d’autre part la création d’une base de données par Sciensano. Ses avis sur ces avant-projets contiennent de nombreuses considérations qui peuvent être résumées en deux points essentiels :

  • Il faut démontrer la nécessité et la proportionnalité des applications de traçage et de la création d’une base de données auprès de Sciensano :
    • Les ingérences dans la vie privée des citoyens que permettent ces arrêtés royaux ne sont admissibles que si elles sont nécessaires et proportionnées à la réalisation de l’objectif d’intérêt général qu’est la lutte contre la propagation du virus.
    • La mise en place d’un système de traçage par le biais d’applications n’est admissible que si celui-ci constitue le moyen le moins intrusif pour atteindre l’objectif poursuivi, et qu’il existe un juste équilibre entre les intérêts en présence (proportionnalité).
  • Les projets doivent fournir des garanties supplémentaires pour les citoyens :
    • Les textes doivent être davantage précisés pour éviter toute dérive. L’ arrêté relatif à la création d’une base de données par Sciensano doit notamment être plus clair concernant la provenance des données collectées, les tiers à qui ces données médicales pourront être transmises et les usages qu’ils pourront en faire.
    • Les textes doivent également prévoir qu’aucun recoupement ne pourra se faire entre les différentes bases de données constituées dans le cadre de la lutte contre l’épidémie (ou avec toute autre base de données), ou encore que les données récoltées ne pourront être réutilisées à d’autres fins.

Exigences minimales pour une application de traçage

En plus des remarques qu’elle a fournies relatives aux avant-projets, l’APD rappelle que toute application de traçage doit être conforme aux règles et spécifications définies par l’EDPB  (Comité Européen de la protection des données dans lequel l’APD joue un rôle actif), qui a récemment publié des lignes directrices et une « boîte à outils » à ce sujet.

Il est par exemple nécessaire de s’assurer que le téléchargement et l’utilisation d’une application de traçage se fassent réellement sur base volontaire et qu’aucun citoyen refusant de l’utiliser ne puisse subir un quelconque désavantage (comme par exemple se voir refuser l’accès à un bien ou à un service).

Le code source de toute application devra également être publié au préalable, afin de laisser un délai raisonnable à des experts pour contrôler son fonctionnement. Chaque application devra également faire l’objet d’une analyse d’impact avant son lancement et, dans le cas où cette analyse viendrait à révéler l’existence de risques élevés, être soumise à l’avis du Secrétariat Général de l’APD.

La santé publique est essentielle pour l’APD

Pour l’APD, la santé publique est primordiale et sa préservation n’est pas incompatible avec le droit à la vie privée.

David Stevens, Président de l’APD rappelle : « Le sujet du traçage en vue de préserver la santé publique nous tient très à cœur. Nous touchons ici à deux grandes priorités de l’APD : les données sensibles (médicales) d’une part, et le traitement de données par des autorités publiques d’autre part. »

L’APD travaille d’arrache-pied depuis le début de la crise du coronavirus afin de contribuer à trouver des solutions à la fois efficaces contre le COVID-19, mais aussi respectueuses des données personnelles des citoyens. A côté de sa participation aux réflexions européennes sur le sujet, de la fourniture, dans des délais extrêmement courts, d’avis sur des projets normatifs ou sur des analyses d’impact, l’APD a également publié sur son site internet un dossier entièrement dédié au coronavirus.

Alexandra Jaspar, directrice du Centre de Connaissances de l’APD, conclut : « Les règles en matière de protection des données ne s’opposent pas par principe à la création d’un cadre permettant l’utilisation d’une application de traçage. Ce cadre doit cependant respecter une série de balises prévues par le Règlement général sur la protection des données, et précisées par les différentes autorités européennes regroupées au sein du Comité européen de la protection des données. »