Covid-19 et protection des données personnelles

Covid-19 et protection des données personnelles

Covid-19 et protection des données personnelles

La lutte contre la crise sanitaire et le renforcement de la surveillance électronique

Dans ce contexte d’urgence sanitaire lié à l’épidémie du Covid-19, le gouvernement français a adopté des Ordonnances successives et l’emploi d’outils de contrôle tels que les attestations de déplacement dérogatoire.

Pour une meilleure accessibilité de l’usager à ce justificatif de déplacement limité à des motifs précis, sous peine de constituer une infraction, le gouvernement a rapidement mis en place un dispositif de générateur d’attestation de déplacement dérogatoire disponible ligne.

L’attestation de déplacement dérogatoire numérique peut dès lors être générée et téléchargé directement sur le site du Ministère de l’intérieur depuis un ordinateur, un téléphone portable ou tout autre terminal d’accès à internet sur lequel elle peut être conservée puis présentée en cas de contrôle par un officier de police judiciaire.

Un QR code figurant sur l’attestation de déplacement dérogatoire numérique peut alors être « flashé » par les autorités de police qui accèdent depuis un terminal tiers, aux information essentielles de l’attestation requises pour contrôler la régularité du déplacement dérogatoire effectué par l’usager.

Cependant, cette attestation de déplacement dérogatoire numérique suscite des préoccupations en matière de libertés fondamentales, et notamment concernant le respect du droit à la vie privée et la protection des données personnelles.

A cette fin, voici quelques éléments de réponse et de réflexions aux problématiques liées à l’emploi de l’attestation de déplacement dérogatoire numérique dans un contexte où la surveillance électronique est susceptible d’être généralisée sur le territoire national et européen.

C’est dans ce sens que cet article vient compléter mon interview au journal de 13h diffusé par Radio Caraïbes International ce 13 avril 2020[1].

  • Les données peuvent-elles être conservées et stockées lors du contrôle de l’attestation de déplacement dérogatoire électronique ?

En principe, selon les dires du gouvernement et du ministre de l’Intérieur Christophe Castaner, aucune donnée saisie sur le formulaire du générateur d’attestation en ligne n’est conservée. Plusieurs spécialistes, notamment des développeurs Web ou experts en cybersécurité, ont pu le confirmer.
D’après leurs vérifications, durant la génération de l’attestation, aucune information personnelle ne serait envoyée sur le site du Ministère de l’Intérieur. L’usager a par ailleurs accès sur le site du Ministère de l’intérieur, à un onglet relatif à la politique de confidentialité.

Il existe donc a priori des garanties. Néanmoins, des doutes subsistent quant aux informations transmises par le QR-Code au moment du contrôle par les autorités de police.

En effet, pour effectuer le contrôle des déplacements dérogatoires sur présentation de l’attestation numérique par l’usager, les forces de l’ordre sont équipées d’un smartphone sur lequel est installé une application appelée «Covidreader » et qui permet de « flasher » le QR-Code pour accéder aux informations essentielles de l’attestation.

D’ailleurs, tout usager a la possibilité de vérifier la teneur de ces informations en « flashant » directement le QR-Code avec l’appareil photo de son smartphone.

Les autorités de police n’auraient par ailleurs accès à ces données que de manière temporaire, puisque celles-ci ne seraient pas collectées et encore moins conservées. Sur ce point, bien que les autorités nationales se veuillent rassurantes, il n’en reste pas moins que l’accès au code source de l’application « Covidreader » reste à ce jour impossible.

Aux termes des Ordonnances gouvernementales successives prévoyant des dérogations importantes aux libertés individuelles, ce dispositif d’attestation de déplacement dérogatoire numérique et son contrôle par les autorités doit retenir toute notre vigilance.

  • Que penser de l’hypothèse d’un tracking et d’un tracing ?

Le tracking ou la géolocalisation est un système de suivi qui permet de retrouver la localisation d’une personne par l’identification et le traitement de ses données personnelles.

L’application « Covidreader » installée sur le smartphone des officiers de police ne calcule pas automatiquement la distance avec le domicile. Il n’y a donc pas en principe de géolocalisation ou de tracking lors du contrôle. Néanmoins, le smartphone utilisé par les officiers de police judiciaire pour le contrôle des attestations de déplacement dérogatoire, dispose d’une autre application. Il s’agit d’une application de cartographie qui permet de vérifier la distance par rapport à l’adresse du domicile au moment du contrôle. En effet, il convient de s’assurer que le déplacement s’effectue dans un rayon de proximité du domicile de la personne contrôlée en ce qui concerne l’activité sportive ou encore les achats de première nécessité.

Même si là encore, le Ministère de l’Intérieur se veut rassurant et a rappelé qu’il n’était pas prévu de lier les deux applications, certains syndicats des forces de l’ordre ont quant à eux fait savoir que ce projet de tracking est à l’étude. Il faut donc rester vigilant sur ce point, car si ce procédé venait à s’appliquer, nous ferions face à une collecte des données personnelles qui appellerait une révision du décret fixant les modalités de contrôle de l’attestation  de déplacement dérogatoire numérique.

S’agissant d’un potentiel contact tracing, c’est-à-dire un traçage numérique des personnes infectées par le virus Covid-19 et celui des personnes avec lesquelles elles ont pu entrer en contact, une application mobile est également à l’étude. Appelée « Stop Covid », cette application permettrait à ses utilisateurs d’être informés lorsqu’une personne avec qui ils ont été en contact a été testée positive au virus Covid-19, et afin de les inciter eux aussi au dépistage.

Si l’utilisation de cet outil de contrôle peut apparaître justifiée par des raisons légitimes liées à la sécurité sanitaire, il n’en reste pas moins un moyen d’ingérence dans la vie privée des individus, et qui constituerait une atteinte incontestable aux droits de l’homme. Cependant, les moyens employés pour atteindre ce but de sécurité sanitaire ne doivent pas être exempts de proportionnalité et ne peuvent constituer une atteinte manifestement excessive au respect notamment de la vie privée et de la protection des données personnelles.

C’est notamment ce qu’a souligné le président de la Commission nationale consultative des droits de l’Homme (CNCDH), autorité administrative indépendante chargée de la promotion et de la protection des droits de l’homme en France, et pour lequel les mesures prises dans le cadre de l’état d’urgence sanitaire « doivent respecter un triple impératif : elles doivent être nécessaires, proportionnées, et provisoires »[2].

La CNCDH a d’ailleurs décidé de s’autosaisir du projet de mise en place de l’application StopCovid. Elle souligne dans un Communiqué de presse du 24 avril notamment les « risques d’atteintes transversales aux libertés et droits fondamentaux », les appréhensions autour du consentement libre et éclairé des utilisateurs, et le doute quant à l’efficacité de l’application et ses effets se révélant « incertains voire néfastes »[3].

La Commission nationale de l’information et des libertés (CNIL) s’est d’ailleurs récemment positionnée sur l’utilisation de cet outil.
Saisie par le secrétaire d’Etat chargé du numérique d’une demande d’avis s’agissant des conditions et modalités d’une potentielle utilisation de l’application « StopCovid », la CNIL a rendu son avis le 24 avril dernier[4].

Favorisant la technologie du Bluetooth au détriment de la géolocalisation, l’utilisation nécessitant des pseudonymes et le recueil de données non-identifiantes, et se limitant au volontariat des individus, l’application ne semble pas altérer les droits et libertés garantis par les textes européens et nationaux s’agissant notamment de la protection des données personnelles.

Cependant, la Commission souligne le lien entre les pseudonymes et les applications téléchargées, chaque application étant installée sur un terminal qui correspond à une personne physique identifiable. Ainsi, bien que le dispositif tende à minimiser le risque de réidentification de la personne malade, il y a lieu de considérer que l’application va traiter des données à caractère personnel au sens du Règlement général sur la protection des données (ci-après « RGPD »).

La Commission considère que l’application est conforme au RGPD et respecte les exigences de la Convention dite 108+ et de la Loi Informatique et Libertés, mais sous réserve du respect de certaines conditions :
– L’application ne peut être utilisée que si son utilité est avérée, et l’information des personnes est essentielle ;
– Le recours à l’application doit se limiter aux circonstances exceptionnelles afin d’éviter le « phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée » ;
– La collecte et le traitement des données doit répondre à un objectif déterminé à l’avance en vertu du principe de limitation des finalités (Article 5-1.b. du RGPD), et la conservation des données doit être temporaire.
L’atteinte au droit à la vie privée -constitutionnellement et conventionnellement garanti- résultant de la collecte et du traitement des données doit être proportionnée à cet objectif, et les données doivent être supprimées dès l’instant où l’application se révèle inutile ;
– L’impact du dispositif sur la situation sanitaire doit être étudié et régulièrement documenté afin d’éviter de tomber dans le « solutionnisme technologique ». Son effectivité dépendant d’une large utilisation et du bon calibrage des algorithmes, il conviendra également de rendre l’application accessible et transparente ;
– Le ministère chargé de la santé « ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire » doit être en mesure d’assurer la responsabilité du traitement et des règles en matière de protection des données personnelles ;
– La Commission rappelle l’exigence d’exactitude des données et de sécurité de ces dernières en proposant différents outils et techniques à privilégier. Enfin, elle souligne la nécessité de fonder l’application sur des bases légales nationales.

Le traçage restant néanmoins de la surveillance et donc attentatoire aux libertés individuelles, de nombreux spécialistes du numérique et notamment la Quadrature du Net et le collectif Ecran total[5] invitent à la plus grande prudence quant à l’utilisation de l’application StopCovid.

Le gouvernement hésite actuellement à conserver le projet, conscient que les exigences sont nombreuses et grandes, que les critiques se feraient vives et l’utilisation, potentiellement trop rare pour faire ses preuves.

S’inscrivant dans un projet d’organismes européens (instituts de recherche et entreprises notamment) nommé Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), StopCovid n’a pas un rayonnement uniquement national. Que penser d’un dispositif de surveillance européen ?

  • Le recours à un dispositif commun aux Etats membres de l’Union européenne, pour quelles garanties ?

Le Contrôleur européen de la protection des données (CEPD) s’inquiète de la multiplication des applications de traçage numérique mises en place suite à la pandémie de Covid-19 et préconise comme le Comité Européen de la Protection des Données (CEPD), l’utilisation d’une application de backtracking sanitaire commune à tous les Etats membres de l’Union européenne et respectueuse du Règlement général sur la protection des données (RGPD)[6].

A ce titre, le CEPD affirme soutenir « fermement la proposition de la Commission pour une adoption volontaire de ces applications, un choix qui devrait être fait par les individus en gage de responsabilité collective » dans son Communiqué en date du 14 avril 2020, concernant le projet d’orientation de la Commission européenne sur les applications de soutien à la lutte contre la pandémie de COVID-19.

L’utilisation d’une telle application remettrait en cause très sérieusement le respect des droits de l’homme et des libertés fondamentales en Europe.

Dès 1973, le Conseil de l’Europe se montre vigilant sur la question de la surveillance de masse. Dans le Rapport du comité d’experts en matière de droits de l’Homme au comité des ministres sur le droit au respect de la vie privée (DH/Exp (73) 17), le comité d’experts souligne que :

« La protection du droit au respect de la vie privée s’avère de plus en plus nécessaire à mesure que les changements dans le monde moderne s’accélèrent et que la science et la technique progressent. Des phénomènes […] contribuent à aggraver les menaces qui pèsent sur le droit de l’individu à voir sa vie privée respectée. Mais c’est avant tout l’application concrète des moyens techniques modernes à la surveillance ou à l’observation des individus qui entraîne les conséquences les plus graves dans le droit au respect de la vie privée » (Point 16).

De nombreux comités du Conseil de l’Europe se sont chargés de publier des rapports précis et consciencieux sur la surveillance de masse, des débats et conférences sur le sujet n’ont cessé d’être organisés afin de prévenir au mieux des atteintes aux droits et libertés des individus.

Le backtracking (ou traçage, surveillance numérique) dans le droit de la CEDH constitue une atteinte à l’article 8 de la Convention européenne des droits de l’Homme (ci-après « la Convention ») consacrant un droit au respect de la vie privée et familiale.
La Cour européenne des droits de l’Homme (ci-après « la Cour » ou « la CourEDH ») a construit une jurisprudence en la matière allant de la confiance étatique au besoin de stricte nécessité des mesures de surveillance, en passant par un contrôle de la clarté et de la prévisibilité des dispositions légales prévoyant ces mesures.

Les dispositifs et outils de surveillance sont apparus progressivement au cours des avancées technologiques, et leur utilisation par les gouvernements a mis un certain temps avant d’être contestée devant les instances internationales. Un premier arrêt est intervenu en 1978 s’agissant de la législation allemande qui permettait aux autorités de surveiller les correspondances et communications téléphoniques, sans informer les intéressés des mesures prises à leur encontre.
La Cour dans cet arrêt Klass et autres c. Allemagne du 6 septembre 1978 (req. n° 5029/71) ne retient pas une violation de l’article 8, considérant que l’ingérence apparaissait « nécessaire, dans une société démocratique, à la sécurité nationale, la défense de l’ordre et la prévention des infractions pénales ».

Ainsi, la Cour considère qu’aux motifs de la sécurité nationale et de la stricte nécessité des mesures, l’ingérence prévue par les textes était bien proportionnée au but poursuivi et n’emportait pas une violation du droit au respect de la vie privée.
Dans un arrêt Weber et Saravia c. Allemagne du 29 juin 2006 (décision sur la recevabilité, req. n° 54934/00), elle confirme sa position et précise que « l’Etat défendeur, dans le cadre de sa marge d’appréciation relativement large en la matière, était fondé à considérer l’atteinte au secret des télécommunications résultant des dispositions litigieuses comme nécessaire, dans une société démocratique, à la sécurité nationale et à la prévention des infractions pénales » (§137).

C’est dans son arrêt Liberty et autres c. Royaume-Uni du 1er juillet 2008 (req. n° 58243/00) que la Cour retient une violation de l’article 8, et ce au regard du manque de clarté et de prévisibilité des dispositions prévoyant une surveillance électronique (interception et analyse des communications avec l’étranger par les autorités en l’espèce). L’ingérence dans les droits des requérantes ne pouvait être considérée comme étant prévue par la loi, et la Cour dans cet arrêt montre même son nouvel angle de réflexion à savoir le contrôle d’une protection suffisante contre les abus de l’Etat.

Dans l’arrêt Uzun c. Allemagne du 2 septembre 2010 (req. n° 35623/05), la Cour ne retient pas une violation de l’article 8 mais rappelle ses exigences. Elle estime en premier lieu que la surveillance par GPS ainsi que le traitement et l’utilisation des données collectées, valait ingérence dans l’exercice de son droit à la vie privée. Elle rappelle également qu’une telle ingérence doit être nécessaire dans une société démocratique et proportionnée aux buts légitimes poursuivis par l’Etat. Enfin, la Cour affirme que « lorsqu’il s’agit de mesures de surveillance secrète par les autorités publiques, l’absence de contrôle public et le risque d’abus de pouvoir impliquent que le droit interne offre une protection contre les ingérences arbitraires dans l’exercice des droits garantis par l’article 8 » (§63).
La Cour dès lors alors une attention toute particulière sur les protections contre l’arbitraire et le risque d’abus de l’Etat.

C’est en ce sens que la Cour a condamné la Russie dans son arrêt de Grande Chambre Roman Zakharov c. Russie du 4 décembre 2015 (req. n° 47143/06). En effet, elle considère que « les dispositions du droit russe régissant l’interception de communications ne comportent pas de garanties adéquates et effectives contre l’arbitraire et le risque d’abus inhérent à tout système de surveillance secrète », risque « particulièrement élevé » en Russie (§302).
Également, dans une affaire visant des opérations secrètes de surveillance antiterroriste en Hongrie (arrêt Szabó et Vissy c. Hongrie du 12 janvier 2016, req. n° 37138/14), la Cour rappelle la nécessité pour l’Etat de recourir à des technologies précises et des outils de surveillance de masse afin de protéger sa population, mais retient une violation de l’article 8 en ce que la législation hongroise n’était pas suffisamment protectrice de potentiels abus, les interceptions étant indifférenciées et un contrôle des mesures, inexistant.

Ainsi, la Cour à travers sa jurisprudence en matière de surveillance électronique de masse considère que :
–  si les dispositions qui prévoient la surveillance numérique et notamment de masse sont claires et prévisibles,
–  si elles répondent à une nécessité stricte de l’Etat (répondant souvent au motif impérieux de sécurité nationale), et
– si les garanties de lutte contre l’arbitraire qui entourent la mise en œuvre des mesures prévues par la loi sont suffisantes,
alors l’ingérence étatique est proportionnée au but poursuivi et n’emportera pas violation de l’article 8 de la Convention.

Cependant, depuis son arrêt Centrum För Rättvisa c. Suède du 19 juin 2018 (req. n° 35252/08) dans lequel la Cour invite à des améliorations du système suédois notamment s’agissant des garanties contre l’arbitraire et le risque d’abus mais conclut à la non-violation de l’article 8 de la Convention, un recul de la méfiance à l’égard de la surveillance de masse semble s’opérer.
La fondation requérante interpellait la Cour sur la législation suédoise permettant d’intercepter des signaux électroniques aux fins du renseignement étranger. Il est avancé l’absence de notification en situation de surveillance secrète sur mobile et internet, et l’absence de recours pour une personne soupçonnant l’interception de ses communications. A la suite de l’arrêt de Chambre, un renvoi est fait devant la Grande Chambre le 4 février 2019, qui conclut également à la non-violation de l’article 8.

La CourEDH semble accorder une forme de légitimé à la surveillance de masse en matière de terrorisme notamment, et plus globalement de menace à la sécurité nationale, et ce même si les mesures ne sont pas strictement nécessaires.

Cette position est confirmée dans l’arrêt Big Brother Watch et autres c. Royaume-Uni du 13 septembre 2018 (req. n° 58170/13, 62322/14 et 24960/15) qui écarte la CourEDH du chemin qu’elle empruntait jusqu’alors conjointement avec la Cour de justice de l’Union européenne (ci-après « CJUE »).

Dans cette affaire, les requêtes ont été formées à la suite des révélations d’Edward Snowden sur les programmes de surveillance et de partage de renseignements entre les Etats-Unis et le Royaume-Uni. Les dispositifs d’interception massive de communications, le partage de renseignements entre les Etats et la collecte de données de communication auprès de fournisseurs de services de communications sont particulièrement visés.

La Cour conclut que le régime d’interception massive, en ce qu’il ne respectait pas les critères développés par la jurisprudence de la Cour (dispositions claires et précises, garanties contre les abus de pouvoir et l’arbitraire) emportait violation de l’article 8. La Cour juge également que le système de collecte de données de communications violait l’article 8 du fait de son illégalité ; les systèmes d’interception et de collecte de données auprès de fournisseurs de services de communication emportaient par ailleurs violation de l’article 10 en raison des garanties insuffisantes en matière de confidentialité et notamment journalistique.
En revanche, le dispositif de partage de renseignements n’emporte, selon la Chambre, aucune violation de la Convention.
Cette affaire a été renvoyée devant la Grande Chambre qui a tenu une audience le 10 juillet 2019.

Le principe de surveillance n’est pas en lui-même contesté, ce sont les modalités d’exécution qui le sont. Certains y voient une sorte de banalisation de l’utilisation des dispositifs de surveillance[7].

Il semblerait que cet arrêt rassure les Etats contre lesquels des requêtes ont été formées ces dernières années. La loi renseignement française de 2015 a par exemple fait l’objet d’une requête devant la CEDH pour des opérations et systèmes semblables. La Cour se montrant sévère non pas sur les dispositifs de surveillance de masse en eux-mêmes, mais plutôt sur leur encadrement, leur mise en œuvre et les garanties qui les entourent, elle pourrait trancher dans le sens d’une non-violation de la Convention par l’Etat français.

La CEDH et la CJUE s’agissant de la surveillance électronique de masse :           
Il est évident qu’un contraste entre droit de la CEDH et droit de l’Union européenne en matière de surveillance de masse s’opère et s’intensifie depuis les dernières années.

Du côté de la CourEDH et comme il a été dit précédemment, les allégations de violation en matière de surveillance de masse concernent très souvent les articles 8 (droit au respect de la vie privée et familiale), 10 (liberté d’expression) et 13 (droit à un recours effectif) de la Convention.

S’agissant de la CJUE, outre les différents textes des institutions de l’Union, on vise surtout les dispositions de la Charte des droits fondamentaux de l’Union européenne (ci-après « CDFUE » ou « la Charte ») et notamment l’article 7 (respect de la vie privée et familiale) et celles du RGPD. En effet, ce dernier prévoit en son article 6-1.e. que « [l]e traitement n’est licite que si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement », et précise à son article 9-2.i. « tels que la protection contre les menaces transfrontalières graves pesant sur la santé ».

Bien qu’en la matière les positions des deux cours européennes se rejoignaient largement, comportement marqué par les nombreuses références de la CJUE à la Convention européenne des droits de l’Homme et les applications communes des juges du contrôle de la clarté et prévisibilité de la loi ainsi que du test de nécessité des mesures, il semblerait qu’un écart se creuse quant à ce dernier élément.

Pour la CJUE, une collecte et un traitement des données personnelles s’opérant de manière indifférenciée et générale, est susceptible de porter atteinte aux droits et libertés des ressortissants des Etats membres de l’UE. En effet, les dérogations à ces derniers doivent se limiter au strict nécessaire.

C’est en ce sens que la Cour dans son arrêt Maximillian Schrems contre Data Protection Commissioner du 6 octobre 2015 (affaire C-362/14) considère qu’une « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte » (§94 de l’arrêt).
Cet arrêt vient par ailleurs renforcer et élargir les avancées en matière de protection des données et de la vie privée contenues dans l’arrêt de Grande Chambre Digital Rights Ireland Ltd & Michael Seitlinger e.a. du 8 avril 2014 (affaires jointes C-293/12 & C-594/12), affaires pour lesquelles elle avait été saisie d’une question préjudicielle. La Cour semblait fonder l’interdiction de la surveillance de masse non plus seulement sur le respect de la vie privée et de la protection des données personnelles, mais également sur le droit à un recours effectif. Dans l’arrêt Schrems elle rappelle l’exigence de clarté et de prévisibilité de la loi, et considère qu’un traitement sans différenciation et sans limitation des données à caractère personnel constitue une atteinte aux droits fondamentaux consacrés par la Charte (et notamment les articles 7 et 8).

Cette position semblait être partagée par la CourEDH qui ne cessait jusqu’alors de rappeler les exigences de clarté, prévisibilité des dispositions légales et de stricte nécessité des mesures de surveillance électronique. Cependant, depuis l’affaire Big Brother Watch et autres c. Royaume-Uni précitée, la Cour réalise un contrôle plus intense s’agissant des garanties de lutte contre l’arbitraire entourant la mise en œuvre des mesures, que du dispositif de surveillance de masse lui-même.

Il faut toutefois souligner qu’il est possible d’obtenir une garantie de contrôle par la Cour de justice de l’Union européenne (CJUE) dans le cadre de l’application de la Charte des droits fondamentaux de l’Union européenne d’une part et de la Cour européenne des droits de l’Homme (CourEDH) dans le cadre de l’application de la Convention européenne des droits de l’Homme d’autre part. Il existe également la Convention dite 108 +, adoptée par les Etats membres du Conseil de l’europe et qui est elle aussi pleinement applicable en la matière.

En effet, la CJUE est compétente pour vérifier de manière générale si ce système de surveillance contreviendrait au respect des droits fondamentaux des ressortissants des Etats-membres de l’Union européenne, garantis notamment par la Charte des droits fondamentaux de l’Union européenne. Elle peut également être amenée à décider si ce dispositif est conforme aux textes de l’Union, et en particulier au Règlement général sur la protection des données (RGPD).

La Cour européenne des droits de l’homme peut en outre être saisie de requêtes individuelles relatives à un ou plusieurs grief(s) de violation d’un ou plusieurs des droits protégés par la Convention européenne des droits de l’homme, en particulier celui du droit au respect de la vie privée garanti par l’article 8 de ladite Convention.

Ces normes juridiques et ces organes de contrôle européens permettent de garantir la protection des droits et libertés des citoyens se trouvant sur le territoire du Conseil de l’europe et de l’Union européenne. Ils constituent donc un cadre européen suffisamment contraignant pour permettre un contrôle effectif de légalité d’un tel moyen de surveillance, s’il venait à être adopté et appliqué.

  • Quelles sont les moyens dont disposent les citoyens français et ceux résidant en France à l’encontre d’éventuelles violations au titre de la protection des données personnelles ?

En matière de protection des données personnelles, la Commission nationale de l’information et des libertés (CNIL) peut être saisie de toute plainte relative au droit d’accès, de rectification et de modification.

Par ailleurs, il convient de souligner que la France n’a pas fait savoir au Conseil de l’europe qu’elle entendait se prévaloir des mesures dérogatoires prévues par l’article 15 de la Convention européenne des droits de l’homme[8], cette dernière restant alors pleinement applicable. Voir également sur ce sujet.

Ainsi, si toute personne s’estime victime d’une violation de ses droits, notamment du droit au respect de la vie privée, de la protection des données personnelles ou de la violation du secret médical, il conserve la faculté de saisir les juridictions nationales et, sous réserve de l’épuisement des voies de recours internes, d’introduire une requête devant la Cour européenne des droits de l’homme.

Article co-rédigé par Julien MARTIN, Avocat au barreau de Strasbourg et Lucile BERTRAND, Master 2 Contentieux des droits fondamentaux et Membre de la Clinique juridique à la Faculté de droit de Grenoble

[1] RCI Midi, le journal de 13h du 13 Avril 2020, présenté par Pascale Lavenaire, consultable en ligne : https://www.rci.fm/martinique/emission/RCI-Midi-le-journal-de-13h/RCI-Midi-le-journal-de-13h-13-Avril
[2] Emission RCF du 16 avril 2020 présentée par Stéphanie Gallet, Libertés fondamentales : pour le président de la CNCDH, « on ne peut pas s’habituer au confinement », consultable en ligne : https://rcf.fr/la-matinale/libertes-fondamentales-pour-le-president-de-la-cncdh-ne-peut-pas-s-habituer-au-confineme
[3] Suivi numérique des personnes : un risque d’atteinte disproportionnée aux droits et libertés pour une efficacité incertaine, Communiqué de presse de la CNCDH du 24 avril 2020 publié le 28 avril 2020.
[4] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919).
[5] Tribunes consultables en ligne, sur Le monde (https://www.lemonde.fr/idees/article/2020/04/25/stopcovid-est-un-projet-desastreux-pilote-par-des-apprentis-sorciers_6037721_3232.html) et Terrestres (https://www.terrestres.org/2020/04/27/ne-laissons-pas-sinstaller-le-monde-sans-contact/).
[6] Les applications mobiles pour lutter contre le Coronavirus soutenues au niveau européen – La Revue du Digital, 7 avril 2020, consultable en ligne : https://www.larevuedudigital.com/les-applications-mobiles-pour-lutter-contre-le-coronavirus-soutenues-au-niveau-europeen/
[7] Big Brother Watch et autres c. Royaume-Uni, Cour EDH, 13 septembre 2018 : validation du principe de la surveillance de masse mais encadrement étroit de ses modalités, Article du 2 octobre 2018 de Sylvie Peyrou pour GDR ELSJ, consultable en ligne (http://www.gdr-elsj.eu/2018/10/02/informations-generales/big-brother-watch-et-autres-c-royaume-uni-cour-edh-13-septembre-2018-validation-du-principe-de-la-surveillance-de-masse-mais-encadrement-etroit-de-ses-modalites/)
[8] Article 15 de la Convention européenne des droits de l’Homme – Dérogation en cas d’état d’urgence « 1. En cas de guerre ou en cas d’autre danger public menaçant la vie de la nation, toute Haute Partie contractante peut prendre des mesures dérogeant aux obligations prévues par la présente Convention, dans la stricte mesure où la situation l’exige et à la condition que ces mesures ne soient pas en contradiction avec les autres obligations découlant du droit international.
2. La disposition précédente n’autorise aucune dérogation à l’article 2, sauf pour le cas de décès résultant d’actes licites de guerre, et aux articles 3, 4 (paragraphe 1) et 7.
3. Toute Haute Partie contractante qui exerce ce droit de dérogation tient le Secrétaire général du Conseil de l’Europe pleinement informé des mesures prises et des motifs qui les ont inspirées. Elle doit également informer le Secrétaire général du Conseil de l’Europe de la date à laquelle ces mesures ont cessé d’être en vigueur et les dispositions de la Convention reçoivent de nouveau pleine application ».

Julien MARTIN