Le succès du traçage des personnes porteuses du Covid-19 en Corée du Sud pour la gestion du risque épidémique a poussé de nombreux gouvernements en Europe à considérer des mesures comparables. En Espagne, l’orden SND/297/2020 du 27 mars 2020 a autorisé la mise en place de deux projets qui utilisent des données de géolocalisation dans le cadre de l’état d’urgence sanitaire. Cependant, le Règlement général sur la protection des données de l’Union européenne (RGPD) impose des conditions strictes au traitement de ces données. Les projets espagnols sont-ils compatibles avec le RGPD, ou pourraient-ils constituer une violation du droit à la vie privée et familiale ?
En Espagne, le Secrétariat d’État à la numérisation et l’intelligence artificielle est en charge du développement de ces politiques. Le premier, AsistenciaCOVID, est une application mobile par laquelle les citoyens pourront analyser leurs symptômes afin de savoir s’ils ont contracté le Covid-19. Cette application requiert des usagers qu’ils consentent au traitement de leurs données de géolocalisation, afin de déterminer s’ils sont réellement dans la communauté autonome où ils prétendent se trouver. Un deuxième projet concerne l’étude du respect du confinement de la population à travers les données de géolocalisation transférées par les opérateurs téléphoniques sans le consentement des usagers, avec des données anonymisées. Le but de ce projet est de savoir quel est le degré de respect du confinement par région, pour informer l’action du Gouvernement à l’avenir. Les données sont traités par l’Institut national de la statistique.
L’Agence espagnole de protection des données a présenté dernièrement un rapport où elle affirme que ces projets s’inscrivent dans le cadre juridique défini par le RGPD, et respectent pleinement les droits fondamentaux. AsistenciaCOVID nécessite en effet le consentement des usagers, et le second projet serait justifié par l’intérêt public de protection de la santé collective, dont la réglementation tient explicitement compte. Pourtant, de nombreux experts se sont prononcés contre le projet du Gouvernement. La lettre du projet rappelle la nécessité de respecter le RGPD et la loi nationale de protection des données, sans donner de détails quant aux modalités pratiques assurant ce respect. Les opposants trouvent regrettable que le projet ne spécifie ni la durée de la conservation des données, ni la méthode d’agrégation des données, l’effacement de celles-ci, pas plus que les garanties offertes aux citoyens dans ce cadre.
Le Comité européen de protection des données a rappelé le 16 mars dans une déclaration la nécessité d’assurer la protection de la vie privée, même dans les circonstances exceptionnelles que vit l’Espagne. Des mesures de surveillance de masse ne peuvent être tolérées, et afin de savoir si les projets espagnols, déjà initiés, ne dépassent pas cette ligne rouge, davantage de clarté et de précision dans les textes sont nécessaires. Le gouvernement espagnol nie que ces projets puissent permettre une surveillance individualisée du respect du confinement. Il serait néanmoins souhaitable de ne pas normaliser les dérogations aux droits fondamentaux sans garanties textuelles, et de prévoir par avance l’arrêt des projets après la fin de l’état d’urgence.
