Le 12 juin dernier, l’autorité de protec­tion des données norvé­gienne (l’APD) inter­di­sait tempo­rai­re­ment le trai­te­ment des données person­nelles opéré par l’Institut norvé­gien de santé publique (ci-après : « l’Institut »), lequel avait lancé une appli­ca­tion mobile de traçage pour lutter contre la Covid-19, dénom­mée « Smittestopp » (déci­sion dispo­nible sur le site de l’Institut, mais un résumé en anglais peut être consulté ici). Environ 14% de la popu­la­tion norvé­gienne de plus de 16 ans l’avaient téléchargée.

Contrairement à d’autres appli­ca­tions de traçage, l’application norvé­gienne enten­dait utili­ser la géolo­ca­li­sa­tion (par loca­li­sa­tion GPS), en plus d’un système de traçage de proxi­mité par Bluetooth. De plus, les données suivantes étaient notam­ment enre­gis­trées dans un cloud centra­lisé pendant 30 jours au maxi­mum (mais réduit à 10 jours maxi­mum par la suite) : numéro de télé­phone portable, âge, posi­tion GPS en continu, iden­ti­fiant unique qui suit le numéro de télé­phone, opéra­teur mobile, enre­gis­tre­ment des contacts Bluetooth. Au demeu­rant, la solu­tion imagi­née s’écartait des autres modèles adop­tés par d’autres pays, en ce sens que l’application servait deux buts distincts : (i) détec­ter les personnes poten­tiel­le­ment infec­tées et ralen­tir la propa­ga­tion du virus, et (ii) analy­ser les données à des fins de recherche pour contrô­ler les effets de mesures prises par l’Institut.

Dans sa déci­sion, l’APD notait d’emblée que la surveillance étatique des mouve­ments des indi­vi­dus et de leurs contacts impli­quait une très grande inter­fé­rence avec leur vie privée. Or, même dans une situa­tion excep­tion­nelle, telle que la pandé­mie de Covid-19, les droits fonda­men­taux devaient être respec­tés. L’autorité rele­vait ainsi que plus l’in­tru­sion dans la vie privée est grande, plus la néces­sité du trai­te­ment des données person­nelles doit être soumise à des exigences strictes. Par consé­quent, le trai­te­ment des données person­nelles devait être stric­te­ment néces­saire pour atteindre l’ob­jec­tif affi­ché de santé publique. Par ailleurs, l’APD rappe­lait certains prin­cipes fonda­men­taux de protec­tion des données à l’instar de la limi­ta­tion du but du trai­te­ment à des fins spéci­fiques et sans équi­voque, la mini­mi­sa­tion des données (qui suppose que les données récol­tées soient adéquates, perti­nentes et limi­tées à ce qui est néces­saire aux fins pour lesquelles elles sont trai­tées), ou encore la trans­pa­rence par rapport aux trai­te­ments de données envi­sa­gés. Elle se réfé­rait, de surcroît, aux Lignes direc­trices du Comité Européen de la Protection des données rela­tives à l’utilisation de données de loca­li­sa­tion et d’outils de recherche de contacts dans le cadre de la pandé­mie de Covid-19  et aux Considérations éthiques pour guider les utili­sa­tions de tech­no­lo­gies de traçage en lien avec la Covid-19, publiées par l’Organisation mondiale de la santé le 28 mai 2020.

Outre des éléments tech­niques gérés de façon plutôt aléa­toire (notam­ment pour sécu­ri­ser les données person­nelles), l’APD consta­tait les problèmes suivants :

• puisque l’application servait deux buts distincts, le risque que les utili­sa­teurs poten­tiels ne télé­char­geassent pas l’application était plus grand, car les utili­sa­teurs pour­raient être gênés de télé­char­ger une appli­ca­tion combi­nant plusieurs objec­tifs. Par ailleurs, pour être utile, l’application n’avait pas besoin du même seuil mini­mal d’utilisateurs : si 10% de la popu­la­tion suffi­raient à des fins de recherche, 60% au moins de la popu­la­tion devraient utili­ser l’application pour ralen­tir la propa­ga­tion du virus. Une sépa­ra­tion des fina­li­tés de trai­te­ment s’avérerait donc nécessaire ;
• la centra­li­sa­tion du stockage des données s’exposait à un risque accru de viola­tion des droits des personnes concer­nées. Une décen­tra­li­sa­tion du stockage des données serait donc recommandée ;
• pour être propor­tion­née, l’application de traçage aurait dû appor­ter des avan­tages sociaux. Or, au moment de la prise de déci­sion, seule­ment 0,01% de la popu­la­tion norvé­gienne avait été infec­tée par le virus et le risque d’infection avait consi­dé­ra­ble­ment dimi­nué. De plus, les mesures de contrôle des infec­tions (tests, isole­ment, détec­tion manuelle des infec­tions, etc.) semblaient bien fonc­tion­ner, et l’in­fec­tion Covid-19 était consi­dé­rée comme étant suffi­sam­ment contrô­lée. Enfin, en raison du faible nombre de personnes noti­fiées, l’utilité de l’application n’avait pas pu être démontrée ;
• les infor­ma­tions person­nelles collec­tées via l’application ne se limi­taient pas à ce qui était néces­saire pour atteindre les objec­tifs, contre­di­sant ainsi le prin­cipe de mini­mi­sa­tion des données. En parti­cu­lier, l’Institut n’avait pas su démon­trer en quoi il serait néces­saire de collec­ter des données GPS ;
• la garan­tie du droit d’accès aux données person­nelles n’était pas assurée.

En défi­ni­tive, cette déci­sion est impor­tante puisqu’elle est une des seules à avoir inter­dit – à tout le moins tempo­rai­re­ment – l’utilisation d’une appli­ca­tion de traçage. Il faut dire que les choix opérés par l’Institut n’étaient guère judi­cieux (centra­li­sa­tion des données ; plura­lité de fina­li­tés ; collecte de données GPS ; etc.). Par ailleurs, l’APD a mis en exergue un prin­cipe cardi­nal en protec­tion des données, celui de la propor­tion­na­lité. Il est du reste regret­table que certaines auto­ri­tés de protec­tion des données n’aient pas eu l’indépendance néces­saire (ni le courage ?) pour commen­ter de façon plus nuan­cée et critique le respect de ce prin­cipe par leurs offices de santé publique respec­tifs en lien avec le lance­ment de leur appli­ca­tion natio­nal de traçage.