Le Temps, 27/04/2020
Les Etats ne peuvent collecter, utiliser et conserver des données personnelles sensibles que dans des circonstances exceptionnelles et dans des conditions bien précises, en mettant en place des garanties juridiques suffisantes et un contrôle indépendant, écrit Dunja Mijatovic, commissaire aux droits de l’homme du Conseil de l’Europe
Le Covid-19 a déjà tué plus de 200 000 personnes dans le monde, dont plus de la moitié en Europe. On comprend donc pourquoi les gouvernements ont dû prendre des mesures extraordinaires. Alors que certains gouvernements allègent les contraintes, tous doivent veiller à ce que les mesures très restrictives adoptées ne perdurent pas au-delà de la période d’urgence sanitaire. A cet égard, la question de la surveillance est cruciale. Nombre de pays européens ont recours à des dispositifs numériques pour renforcer la capacité à freiner la propagation du coronavirus. Si les possibilités offertes par les outils numériques méritent d’être étudiées, l’impératif sanitaire ne doit cependant pas laisser carte blanche aux gouvernements pour espionner leur population.
Ces technologies peuvent, en effet, aider à écarter les menaces pesant sur la santé publique, mais elles risquent aussi de s’immiscer dans notre vie privée et limiter notre capacité à participer à la vie de la société. Ce risque se concrétise déjà dans plusieurs pays européens.
En Russie, le gouvernement a utilisé des caméras de reconnaissance faciale pour faire respecter les mesures de quarantaine, sans apporter la garantie que ces méthodes ne seront pas généralisées à d’autres fins. En Azerbaïdjan, les citoyens sont tenus d’envoyer par SMS des informations sur leurs déplacements à un système électronique, ce qui pourrait permettre à la police de les suivre à la trace. Au Monténégro, le gouvernement a publié sur son site internet les noms et les adresses des personnes tenues de s’isoler pendant quatorze jours à leur retour de l’étranger.
Dans le respect des limites juridiques
En Pologne, les personnes en quarantaine doivent télécharger une application pour smartphone fournie par le gouvernement et prendre des selfies horodatés précisant leurs coordonnées GPS plusieurs fois par jour. Tout manquement à cette obligation peut entraîner l’intervention de la police et une forte amende. La Turquie envisage d’utiliser un tel dispositif pour surveiller les porteurs du SARS-CoV-2. Au Royaume-Uni, le Guardian a révélé que des entreprises technologiques traitent les données confidentielles de patients de manière non transparente. Il ne s’agit là que des exemples les plus inquiétants d’une tendance générale à la surveillance observée en Europe, qui soulève des inquiétudes quant à sa compatibilité avec les normes relatives aux droits de l’homme applicables en matière de protection des données.
Si les gouvernements ne respectent pas ces limites juridiques, ils risquent de mettre en danger notre système de protection des droits de l’homme, sans nécessairement améliorer la protection de notre santé
La Cour européenne des droits de l’homme a reconnu que des restrictions peuvent être apportées et que l’utilisation de données à caractère personnel peut être nécessaire dans certaines situations d’urgence. Toutefois, elle a aussi souligné que les Etats ne peuvent collecter, utiliser et conserver des données personnelles sensibles que dans des circonstances exceptionnelles et dans des conditions bien précises, en mettant en place des garanties juridiques suffisantes et un contrôle indépendant. Ils doivent aussi veiller à ce que les mesures adoptées aient une base légale, soient nécessaires au but poursuivi, aussi peu intrusives que possible et levées dès que disparaissent les motifs ayant justifié leur instauration.
Si les gouvernements ne respectent pas ces limites juridiques, ils risquent de mettre en danger notre système de protection des droits de l’homme, sans nécessairement améliorer la protection de notre santé. Ils risquent aussi de perdre la confiance et le soutien de la population, dont dépend pourtant l’efficacité des efforts déployés par les pouvoirs publics. Il est donc encourageant que le Comité des ministres du Conseil de l’Europe ait adopté une déclaration le 22 avril dans laquelle il rappelle que «les mesures de lutte contre la maladie et ses conséquences plus larges doivent être prises conformément aux principes de l’Organisation et aux engagements pris par les Etats membres». C’est un message fort que les gouvernements doivent maintenant traduire en actes. Une démocratie n’a pas besoin de sacrifier la vie privée pour protéger la santé. Les gouvernements doivent trouver le juste équilibre entre ces deux impératifs. A cette fin, il est nécessaire de suivre trois grandes lignes d’action.
Trois lignes d’action
Premièrement, ils doivent veiller à ce que les dispositifs numériques soient compatibles avec les normes relatives au respect de la vie privée et à l’interdiction de la discrimination. Ces dispositifs doivent être anonymes, cryptés et décentralisés, fonctionner avec des logiciels libres et être accessibles au plus grand nombre, contribuant ainsi à réduire la fracture numérique. Leur utilisation doit être volontaire et fondée sur un consentement éclairé, poursuivre uniquement des objectifs de protection sanitaire, être limitée dans le temps et transparente. Les utilisateurs doivent pouvoir sortir du dispositif à tout moment, en effaçant toutes leurs données, et avoir accès à des voies de recours indépendantes et effectives pour contester les éventuelles intrusions dans leur vie privée.
Deuxièmement, les lois autorisant les Etats à collecter, utiliser et conserver des données à caractère personnel doivent être compatibles avec le droit au respect de la vie privée, tel qu’il est protégé par les constitutions nationales et par la jurisprudence de la Cour européenne des droits de l’homme et de la Cour de justice de l’UE.
Troisièmement, les initiatives gouvernementales doivent être soumises à un contrôle juridictionnel, mais aussi à des procédures impliquant le parlement et les institutions nationales des droits de l’homme et obligeant les autorités à rendre compte de leur action. Au minimum, des autorités indépendantes chargées de la protection des données doivent tester et approuver les dispositifs technologiques avant qu’ils soient utilisés par les pouvoirs publics et leurs partenaires. Une crise sanitaire est une menace réelle qui nécessite une réponse efficace. Toutefois, des mesures de surveillance qui fragilisent les droits de l’homme et l’Etat de droit ne sauraient constituer une solution démocratique.