La pandémie du nouveau coronavirus, Covid-19, a poussé certains gouvernements à prendre des mesures draconiennes pour limiter la propagation de la maladie sur leurs territoires : entre restrictions de déplacement, confinement total et traçage des mouvements via des applications mobiles, les pays touchés par la pandémie semblent tirer à hue et à dia, notamment en ce qui concerne les droits de l’Homme et la protection des données à caractère personnel. Est-ce vraiment le cas ? Pour en parler, nous avons invité pour ce 111e épisode de Startup story sponsored by l’UIT et la GBS, Emna El Fekhih, consultante en droit de protection des données personnelles.
Evoquant l’article 24 de la Constitution de la République tunisienne selon lequel «l’État protège la vie privée, l’inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles», notre invitée a mis en avant le rôle de l’Etat en tant que garant de la protection de ces données telles que définies par l’article 4 de la loi organique de 2004 relative à la protection des données à caractère personnel – «toutes les informations quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement d’identifier une personne physique ou la rendent identifiable, à l’exception des informations liées à la vie publique ou considérées comme telles par la loi».
Elle a noté que les informations relatives à l’état de santé d’un citoyen contaminé par le Covid-19, devenaient, alors, une information liée à la vie publique. Ce qui signifie, en d’autres termes, que l’Etat doit disposer de ces informations, en ce contexte pandémique, afin de prendre les dispositions nécessaires à la protection de ses citoyens. « On a vu que certains cas pourraient manifester de la résistance quant à la communication des informations nécessaires sur les personnes qu’ils avaient fréquentées ou les endroits dans lesquels ils s’étaient rendus alors qu’ils étaient porteurs du virus. Utiliser une application de traçage des déplacements et mouvements d’une personne contaminée par le Covid-19, permet, donc, de mettre en place des mesures de prévention».
Notre invitée a, dans ce sens, rappelé l’exemple de l’Allemagne qui avait lancé une application mobile de tracking pour surveiller la carthographie de la propagation du nouveau coronavirus. Baptisée “Corona-Datenspende” (don de données corona), cette application est, notons-le, utilisée sur la base du volontariat. C’est à dire que les citoyens allemands ne sont aucunement dans l’obligation de communiquer les données relatives à leur état de santé. Le dispositif est, pour rappel, composé d’un bracelet sur lequel sont embarqués des capteurs capables de mesurer la température et le rythme cardiaque des utilisateurs. Les données collectées sont ensuite stockées sur l’application mobile.
Tomber de Charybde en Scylla
L’Etat tunisien a, lui aussi, lancé une application mobile – « Co-Vivre-20 » – pour assurer le suivi du respect des consignes du ministère de la Santé pour les personnes soumises au confinement obligatoire. Cette application a été développée conjointement par le ministère de la Santé et le ministère des Technologies de la communication et de la Transformation digitale. L’accès à l’application requiert la communication du numéro GSM. Toute personne non-concernée par le confinement obligatoire est automatiquement identifiée en tant que telle. Elle en est notifiée dès insertion du numéro de téléphone et ne peut, de ce fait, accéder à l’application.
La collecte de ces données par le gouvernement – même si utilisées à des fins préventives – peut exposer les citoyens à des risques supplémentaires. Cette procédure légale, en cette période de pandémie, demeure ainsi du moment qu’elle est provisoire. «Le provisoire qui dure est un risque conséquent sans parler bien évidemment du piratage et de la vente des données», a avancé Emna El Fekhih soulignant que la législation tunisienne relative à la protection des données personnelles imposait la destruction des données collectées en situation exceptionnelle. L’article 45 de la loi organique de 2004 stipule : « Les données à caractère personnel doivent être détruites dès l’expiration du délai fixé à sa conservation dans la déclaration ou l’autorisation ou les lois spécifiques ou en cas de réalisation des finalités pour lesquelles elles ont été collectées ou lorsqu’elles deviennent inutiles pour l’activité du responsable du traitement».
Nous noterons que cette même loi stipule, également, dans son article 25 que : «L’instance peut décider la communication des données à caractère personnel en cas de cessation d’activité pour les motifs indiqués à l’article précédent (…) si elle juge que ces données sont utiles pour une exploitation à des fins historiques et scientifiques ».
L’interview au complet est disponible sur SoundCloud.
Nadya Jennene