Le RGPD : Future victime de la Covid-19 ?

Dans la série des dégâts collatéraux du virus apparu en tout début d’année 2020, et qui ne cesse de s’étendre, on peut se demander si le Règlement sur la Protection des Données personnelles (RGPD) arrivé en grande pompe en Europe en mai 2018 – il y a une éternité – ne va pas succomber à son tour.

Qu’est-ce à dire ?

La crise sanitaire sans précédent à laquelle nous faisons face fait rejaillir non seulement des réflexes grégaires sur le plan individuel (peur du manque, théories du complot, suspicion, et bientôt délation ?) mais aussi la tentation des Etats, même supposés démocratiques, de juguler la pandémie en posant la question de la traçabilité du virus au prisme des données téléphoniques par exemple (voir l’article du Monde du 27 mars à ce sujet : bit.ly/34gr2tU ou encore du 5 avril : bit.ly/2JKvaZm).

Que dit la CNIL depuis le début de la pandémie ?

Le 6 mars la CNIL a tenu a rappelé les principes relatifs à la collecte des données personnelles, notamment les données de santé des employés, agents ou visiteurs (lien ici : bit.ly/3aMi4GX ).

En synthèse l’employeur ne peut demander, et encore moins collecter, des informations relatives à la recherche de symptômes du Covid-19, auprès de ses employés ou visiteurs. Ces questions relevant de la sphère privée tout comme celles relatives aux orientations religieuses. Il est vrai qu’en février/mars de cette année, et juste avant le confinement, de nombreux questionnaires de ce type commençaient à fleurir dans certaines sociétés qui organisaient en leur sein des événements, laissant une impression navigant entre intrusion et impolitesse.

En revanche l’employeur, en tant que responsable de la santé et de la sécurité des salariés, doit tout mettre en œuvre, tant sur le plan de l’information que de la prévention. Cette dernière condition est nécessaire, mais est-elle suffisante pour autant ? Ne risque-t-on pas de voir plus de contrôle sur un manquement éventuel des entreprises sur ces points de prévention qu’une vraie responsabilisation des individus eux-mêmes en tant que potentiel vecteur du virus (et donc potentielle mise en danger de la vie d’autrui)?

Ces questions ne sont pas tant décorrélées que celles attenantes à la fin du RGPD ? Pourquoi ? Parce que fondamentalement les semaines et mois prochains vont démontrer une interprétation différente selon qu’il s’agisse d’une donnée liée à la consommation qu’à une donnée liée à un individu.

Données consommateurs et données individuelles : des traitements à venir différents ?

Des pays comme la Corée du Sud ne semblent pas s’embarrasser de ces questions et ont déjà mis en place les applications idoines (voir article du Monde du 05 avril : bit.ly/34cDx9C ), applications dont les résultats semblent probants malgré une intrusion massive dans la vie privée des personnes.

Cette traçabilité, qui intéresse les plus hautes instances de la République semble-t-il par son efficacité, pose la question des libertés individuelles. On pourrait, pour justifier l’emploi de telles mesures, pointer le manque d’auto-discipline des français dans ce qu’il est convenu d’appeler plutôt un semi-confinement.

Ainsi on loue notre hôpital public, on applaudit à juste titre nos aide-soignants(es), mais on continue à saturer les hôpitaux avec des comportements individuels à risque. En France on n’est jamais avare ni de contradiction, ni de polémiques. Si la question d’une dichotomie entre données commerciales et données individuelles fait jour c’est aussi parce que nous évoluons dans un pays à la gouvernance historiquement centralisée qui glisse vers un hédonisme sécuritaire dont les dernières élections présidentielles n’ont fait que confirmer la tendance.

En somme il semble que nous préférions un nouveau contrat sociale où vivre dans un état « sécurisé » nous laisserait consommer à loisir avec la contrepartie de restreindre les libertés individuelles.

Nous pourrions ainsi à dessein opposer la gestion de la crise par l’Allemagne, pays fédéral, qui semble aujourd’hui mieux contrôler la situation, mais peut-être, pour tempérer ce point de vue, que les données épidémiologiques au départ n’étaient pas non plus les mêmes que les nôtres, l’avenir nous le dira.

En synthèse

Le RGPD tenait sur un triptyque clair : portabilité-traçabilité-anonymisation avec des définitions détaillées notamment sur la notion de consentement. De nouveaux métiers et de nouveaux process en sont nés. Ils resteront ainsi que cette indéniable avancée sur la conscientisation de l’extension de l’individu au prisme de ses données personnelles.

Le Covid-19 ne va pas tuer le RGPD mais nous allons très certainement assister à sa mutation à l’instar du virus.

Avec la crise sanitaire et la nécessité de la résorber puis d’occire le virus, la notion de traçabilité d’un point de vue santé va nécessairement évoluer. Les Etats pour se prémunir (dans tous les sens du terme) vont donc faire évoluer la notion-même de données personnelles.

Charge à nous, en tant que citoyen, de ne pas veiller à son empiètement total.

Olivier Guillouzouic

Fondateur et Dirigeant de la société METEORS, société de Data Intelligence
Auteur du livre « Le Nouveau Défi des Marques: La Data Stratégie »
Intervenant à Sciences-Po Lille, l’IAE Lille et Grenoble Ecole de Management