A la demande de Thierry Breton, une poignée d’opérateurs télécoms européens fournira à la Commission européenne les données de géolocalisation de leurs clients, utilisées à des fins de cartographie des déplacements de la population. Des données agrégées, anonymisées et détruites lorsque la crise sera derrière nous, tels sont les garde-fous prévus.
Quand bien même, en France, aucune mesure spécifique n’a été prise pour le moment par les autorités quant à utiliser les données de géolocalisation des opérateurs télécoms, l’Union européenne a de son côté lancé les grandes manoeuvres. Thierry Breton s’est adressé directement à la GSMA, l’association qui réunit plusieurs centaines d’opérateurs, et s’est entretenu cette semaine avec plusieurs telcos européens. La Commission européenne a en effet pour projet d’utiliser les données de géolocalisation des mobiles des clients de ces derniers afin de cartographier les déplacements des populations à des fins de coordination de la réponse à la crise sanitaire en cours.
Le projet s’appuie sur un opérateur par pays, généralement le leader du marché. Orange en France, Vodafone outre-Manche, Deutsche Telekom outre-Rhin, Telefonica en Espagne, Telecom Italia en Italie ou encore A1 Telekom en Autriche ont donné leur accord. Sur Europe 1, Stéphane Richard a confirmé l’information, profitant de l’occasion pour assurer que cette utilisation des données de l’opérateur ne sera pas intrusive et qu’il n’est pas question de pister des déplacements individuels.
Pas de flicage
En effet, l’European Data Privacy Supervisor, le Polonais Wojciech Wiewiórowski, consulté sur la question par le cabinet de Thierry Breton, a donné son feu vert. Le juriste estime en effet que le projet présente les garde-fous nécessaires à assurer la confidentialité et le respect de la vie privée des citoyens européens. Il se dit ainsi satisfait de l’anonymisation et de l’agrégation des données, tout en rappelant « qu’une anonymisation efficace nécessite plus que la simple suppression d'identifiants évidents tels que les numéros de téléphone et les numéros IMEI ».
Wojciech Wiewiórowski s’exprime également sur la durée de conservation des données. Le projet des autorités européennes entend effacer ces jeux de données dès la fin de la crise. Un choix bienvenu pour l’EDPS, qui souligne toutefois que la solution envisagée doit être reconnue explicitement comme « extraordinaire » et qu’il doit être clairement établi que « ces services spéciaux sont déployés en raison de cette crise spécifique et sont de caractère temporaire ». Enfin, sur le recours à des prestataires, le patron de la Cnil européenne entend que tout tiers devra « appliquer des mesures de sécurité équivalentes et être également liés par des obligations strictes de confidentialité et des interdictions d'utilisation ultérieure ». Il suggère enfin de limiter l’accès aux données à des experts assermentés en data science et en épidémiologie.
Transparence absolue exigée
Ce faisant, l’initiative européenne ne devrait connaître aucun obstacle, d’autant que certains Etats membres ont déjà recours aux données de géolocalisation de leurs opérateurs nationaux, tandis qu’en France Orange travaille avec l’Inserm, fournissant à l’institution des données mobiles de géolocalisation agrégées. Néanmoins, l’EDPS énonce en conclusion de son avis une dernière exigence : la transparence totale à l’égard du public sur les finalités et les procédures, tout en conseillant fortement que les gendarmes nationaux des données personnelles soient inclus dans la boucle.
Or hier, la Cnil a publié une note relative aux projets de recherche que pourraient mener des acteurs de la santé, s’engageant à traiter en priorité, dans des délais extrêmement courts, les demandes d’autorisation qui ne seraient pas conformes aux méthodologies de référence.