La géolocalisation comme la reconnaissance faciale sont des maladies honteuses… jusqu’à ce qu’on se rende compte de leur utilité.
Critiquée par toutes les autorités de contrôle européennes, la géolocalisation pourrait s’avérer une arme de plus contre la « guerre » déclarée contre le Covid 19.
Pour ce faire, Thierry Breton, Commissaire européen en charge notamment du marché intérieur et du numérique, a lancé une initiative consistant à créer une méga base de données au niveau européen en demandant aux opérateurs de télécoms de communiquer les données de géolocalisation. Cette méga base sera constituée de données agréées et anonymisées.
Ce projet ne manque pas de créer la polémique au nom du sacro-saint respect de la vie privée et du RGPD.
Levons d’abord un tabou … les opérateurs de télécommunications ne se privent déjà pas pour « vendre » des données de géolocalisation anonymisées. Pourquoi donc ce qui est permis ou toléré dans la vie des affaires deviendrait critiquable pour sauver l’humanité ?
Ensuite faisons un constat. Les rédacteurs du RGPD ont pensé à tout … sauf à la possibilité de suspendre ou modérer le RGPD, en situation de crise. Mais peut-on les blâmer de ne pas avoir anticipé une situation pareille !
La démarche de la Commission pose une question juridique essentielle : le RGPD est-il applicable au cas d’espèce (données anonymisée) ?
Sur ce point les avis sont divergents et ce même au cœur de l’exécutif européen.
Pourtant la réponse figure noir sur blanc dans le Considérant 26 du règlement qui précise « Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. »
Pour l’heure le Contrôleur européen à la protection des données (CEPD), bien qu’il affirme ne pas disposer du modèle de données qui devrait être utilisé, est clair : « It is clear from your letter that you intend to use only anonymous data to map movements of people with the objective of ensuring the stability of the internal market and coordinating crisis response. Effectively anonymised data fall outside of the scope of data protection rules. Provided that the data to be obtained by the Commission is anonymised, data protection rules would not apply. Therefore, the role of the Commission as a controller under Regulation 2018/1725 would not be relevant in this case» ( « Il ressort clairement de votre lettre que vous avez l'intention de n'utiliser que des données anonymes pour cartographier les mouvements de personnes dans le but d'assurer la stabilité du marché intérieur et de coordonner la réponse à la crise. Les données effectivement anonymes ne relèvent pas du champ d'application des règles de protection des données. Pour autant que les données à obtenir par la Commission soient rendues anonymes, les règles de protection des données ne s'appliqueraient pas. Par conséquent, le rôle de contrôleur de la Commission en vertu du règlement 2018/1725 ne serait pas pertinent dans ce cas »).
Mais cette lettre du CEPD témoigne de toute l’ambiguïté de la question car après avoir rappelé que le RGPD n’était pas applicable en l’espèce il recommande à la Commission : de s’assurer du type de données auxquelles elle aura accès ; de fixer une durée nécessairement limitée du traitement ; de la nécessité de mettre en œuvre des mesures de sécurité adaptées ; de la nécessité de limiter l’accès à certaines personnes au sein des services de la Commission ; de la nécessité, si des prestataires tiers sont impliqués, de s’assurer du respect de ces mesures ; d’informer les citoyens européens et enfin de considérer ce projet comme « exceptionnel ».
En résumé le RGPD ne s’applique pas mais tous ses principes doivent être respectés ! Comprenne qui pourra !
Il faudra savoir en temps utile revoir le RGPD, comme tant d’autres choses, à l’aune du Covid 19. Créer des zones ou des périodes d’exclusion temporaires, revenir sur la protection des données de santé pour favoriser la recherche et les traitements médicaux et être plus clair sur le fait que le RGPD ne s’applique pas à des données anonymes, sans doute en revoyant la définition même de la notion de « données à caractère personnel » ou en adaptant le champ d’application du règlement.
Eric BARBRY est avocat associé du cabinet Racine et dirige l’équipe IP/IT & Data Protection. Il accompagne les entreprises dans leur transformation digitale et intervient dans la protection des données personnelles et le déploiement du RGPD
Pour en savoir plus sur les conséquences du Coronavirus pour les entreprises et leurs salariés, les questions qu'elles posent et les réponses à y apporter : retrouvez notre Dossier spécial Coronavirus (Covid-19) alimenté en temps réel
[Information Covid-19] Suivez l'actualité et adoptez au plus vite les mesures adaptées à votre entreprise avec Navis :
Vous êtes abonné ? Accédez à Navis à distance depuis votre domicile*
Pas encore abonné ? Nous vous offrons un accès temporaire au fonds documentaire Navis pendant 30 jours pour vous permettre de travailler à distance
* Si vous rencontrez le moindre problème de connexion à votre Navis, contactez notre Service Relations Clients au 01 41 05 22 22, du lundi au vendredi, de 9h à 18h.