On s'y perd un peu sur les qualifications juridiques pertinentes pour les projets d'app de "contact tracing".
Faisons le point :
1. Qu'est-ce qu'un «traitement» de données personnelles ?
2. Comment détermine-t-on qu'une personne est «identifiable» ?
3. Qui est responsable et quelles sont les obligations du responsable du traitement?
- l'anonymisation est un *traitement* consistant à transformer des données personnelles en infos anonymes
- des opérations portant sur des informations anonymes ne sont *pas* des *traitements*
Là encore, la est définition est large. Une donnée personnelle, c'est «toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement».
Il faut procéder pour cela à une analyse factuelle et juridique et, surtout: contextualisée. Une personne peut être identifiable par quelqu'un, sans forcément l'être par une autre personne.
Là aussi, la question n'est pas toujours si simple qu'elle en a l'air. C'est vrai en particulier lorsque les traitements impliquent plusieurs acteurs et utilisateurs.
- l'obligation d'«accountability»
- l'obligation de protection des données dès la conception et par défaut
Et ce, dès la conception de son système.
Tandis que, dans le cadre d'autres protocoles dits PEPP-PT, l'essentiel des opérations est effectué sur le serveur central.
L'important, c'est bien la prise en compte de ces risques.
2e ch. de la CJUE, 19 oct. 2016, affaire Patrick Breyer, C-582/14, curia.europa.eu/juris/document…