Dans une déclaration conjointe publiée aujourd’hui, la présidente du Comité de la Convention 108 du Conseil de l’Europe sur la protection des données, Alessandra Pierucci, et le commissaire du Conseil de l’Europe à la protection des données, Jean Philippe Walter, mettent en garde contre les effets secondaires possibles des applications numériques de suivi des contacts dans la prévention de la pandémie à COVID-19 et préconisent la mise en place de garanties suffisantes pour prévenir les risques d’atteintes aux données à caractère personnel et à la vie privée.
Depuis le début de la pandémie, les gouvernements et les parties associées à la lutte contre le virus s’appuient sur des analyses de données et des technologies numériques pour faire face à cette menace. Des applications mobiles ont été utilisées dans certains pays et sont envisagées dans d’autres comme une réponse complémentaire à la nécessité d’effectuer rapidement une surveillance des contacts.
La déclaration, qui vise à contribuer à la réflexion en cours dans de nombreux pays, a été diffusée pour rappeler que, là où ces solutions sont choisies, des garanties juridiques et techniques rigoureuses devront être prévues pour atténuer les risques d’atteintes aux données à caractère personnel et à la vie privée.
Si ces applications sont déployées, elles devront l’être pendant une période limitée et sur une base volontaire uniquement. Elles devront présenter des spécificités dans leur conception pour prévenir ou réduire au minimum les risques, par exemple pour garantir la non-utilisation des données de localisation des personnes, l’impossibilité d’une identification directe ou de toute nouvelle identification.
Cette déclaration fait suite à une première Déclaration conjointe sur le droit à la protection des données dans le contexte de la pandémie à COVID-19, publiée le 30 mars.
En 1981, le Conseil de l’Europe a adopté le premier traité international sur les droits des personnes à la protection de leurs données à caractère personnel, la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, aussi connue sous le nom de « Convention 108 ». En 2018, le traité a été actualisé par un protocole, qui n’est pas encore entré en vigueur et qui vise à ce que ses principes de protection des données demeurent adaptés aux nouveaux outils et pratiques. À ce jour, 55 pays ont ratifié la « Convention 108 » et bien d’autres l’ont pris comme modèle pour leur nouvelle législation sur la protection des données.