Le Comité européen de la protection des données personnelles publie une lettre concernant les applications de "suivi de proximité" COVID-19 edpb.europa.eu/news/news/2020…

Rappelons, toutefois, que le Comité est compétent pour les règles du RGPD - pas pour ePrivacy.

Or, la plupart des projets d'application discutés reposent sur l'utilisation d'informations stockées dans le terminal mobile des personnes. Cette utilisation relève des règles de l'article 5(3) de la directive 2002/58 ePrivacy.

Le consentement des utilisateurs est donc exigé.

(Ce, même si le traitement ultérieur de données personnelles - le cas échéant - peut avoir une base légale différente, tel que rappelé par le Comité).

Des dérogations à ce consentement sont toutefois permises par le droit européen, sous des conditions rigoureusement strictes.

(Article 15(1) et 11e considérant de la directive 2002/58 ePrivacy, et article 23 RGPD, tels qu'interprétés par la CJUE : arrêts CJUE, g. ch. 29 janvier 2008, affaire Promusicae, C-275/06, § 53 + notamment CJUE, g. ch. 21 décembre 2016, affaire Tele2/Watson, C 203/15 et C 698/15)

Ces dérogations nécessiteront cependant une base légale dans le droit national.

A défaut de loi, donc, le consentement reste une exigence incontournable pour l'accès aux informations stockées dans ces applications, tels que des identifiants Bluetooth aléatoires & temporaires.

En tout état de cause, ces applications, devront être accompagnées de solides garanties, non seulement juridiques, mais également d'ordre technique.

L'association @privacyint a publié une étude introductive, mais détaillée, sur le sujet - à lire - privacyinternational.org/explainer/3536…

Un dernier détail juridique sur les fameuses dérogations permises par le droit 🇪🇺

On lit parfois que les motifs d'intérêt général relatifs à la santé publique ne permettraient pas de déroger à l'article 5(3) - la santé publique n'étant pas citée parmi l'article 15 ePrivacy

Mais la liste des motifs de l'article 15 n'est pas limitative. Elle renvoie aux motifs de l'article 13 de la directive 95/46.

Or, depuis l'abrogation de la directive 95/46 - les réfs. à son article 13 sont entendues comme des références à l'article 23 du RGPD.

L'articulation entre l'article 15 ePrivacy et les autres motifs prévus par le droit général, a déjà fait l'objet d'une décision en g. chambre de la CJ 🇪🇺 (29 janvier 2008, affaire Promusicae, C-275/06, § 53).

Ce même raisonnement devrait également valoir avec le remplacement de l'article 13 de 95/46 par l'article 23 du RGPD et, donc, permettre les dérogations pour des motifs tenant à la santé publique.

Sous réserve de la proportionnalité de ces dérogations, bien entendu.

Pour récapituler : le droit européen offre tout à fait la flexibilité nécessaire pour des solutions technologiques qui pourraient contribuer utilement à la lutte contre le COVID-19.

Cette flexibilité n'est cependant, pas sans limites :

Elles nécessitent, soit le consentement des personnes, soit une loi nationale (soit les deux dans certains cas) et doivent respecter les libertés et droits fondamentaux, tel que le droit au respect de la vie privée.

Les solutions invasives qui entraînent le sentiment d'une surveillance constante des personnes et ne préviennent pas contre les risques d'abus sont donc proscrites par le droit 🇪🇺 (cf. notamment, CJUE, g. ch. 21 décembre 2016, affaire Tele2/Watson, C 203/15 et C 698/15)