Le contact tracing pour lutter contre la propagation du Covid-19

contact tracingAlain Bensoussan a été interviewé par frenchweb.fr sur le projet StopCovid, une application de contact tracing pour lutter contre la propagation du Covid-19.

Alain Bensoussan, avocat spécialisé dans le droit numérique et les nouvelles technologies, s’exprime sur l’application mobile que développe le gouvernement en partenariat avec l’inria : le « StopCovid ». Cette application de géolocalisation qui repose sur la base du volontariat est une solutions de traçage numérique pour identifier les personnes ayant été en contact avec le Covid-19.

Un enjeu sanitaire majeur peut-il justifier l’atteinte aux libertés publiques ?

Les règles issues du Règlement européen sur la protection des données du 27 avril 2916 (RGPD) interdisent la collecte et le traitement de données de santé (art. 9). Cette notion recouvre toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable.

Il est donc difficile de faire ce type de tracing en tant que tel, explique Alain Bensoussan, à moins d’entrer dans l’une des exceptions qui autorisent l’utilisation de ces données. Cela peut être le cas lorsque le traitement est nécessaire pour :

  • « des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée » ;
  • « des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ».

Dans le cas d’un état d’urgence tel que nous le vivons aujourd’hui, il est ainsi possible de prendre des règles d’exception par rapport aux principes généraux. Selon Alain Bensoussan, « Il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire ».

Ainsi, « Le Conseil constitutionnel demande qu’à chaque fois qu’il y a une ingérence, une atteinte extrêmement importante à une liberté, cela soit limité dans le temps et qu’il y ait des garanties pour que cela ne s’inscrive pas dans une politique liberticide au-delà de la résolution du problème exceptionnel », rappelle Alain Bensoussan.

Le contact tracing et le respect du principe de proportionnalité

Un dispositif de traçage numérique tel que le contact tracing ou la géolocalisation s’il peut être justifié par l’intérêt public doit néanmoins « respecter l’essence du droit à la protection des données ».

Cela signifie qu’il faut trouver un principe de proportionnalité. « Là on va porter atteinte à un certain nombre de principes fondamentaux, mais il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire », développe Alain Bensoussan.

Les premiers garde-fous à prévoir seraient :

  • de limiter un tel dispositif dans le temps ;
  • d’informer les personnes et
  • de détruire les éléments ainsi acquis dès la fin de la situation d’urgence sanitaire.

Alain Bensoussan met aussi en avant l’obligation d’auditabilité et de transparence des délibérations du comité scientifique.

En outre, il faut libérer les technologies numériques lorsqu’est en jeu non pas le caractère privé de la vie mais la vie en tant que telle.

(1) Retrouvez le point de vue juridique de Alain Bensoussan pour Frenchweb concernant l’App Stop Covid, « Pourquoi est-il difficile d’imposer une app de tracking en France? », Frenchweb.fr, 15 avril 2020.

 




Gestion du COVID-19 et analyse des données de localisation

analyse des données de localisation

La Cnil a été auditionnée par la commission des lois le 8 avril sur l’utilisation de technologies d’analyse des données de localisation pour repérer les personnes atteintes du COVID-19.

Les technologies proposant une analyse des données de localisation des individus

Les technologies fondées sur l’analyse les déplacements de la population sont multiples : reconnaissance faciale, utilisations de drones, tracking, applications de « suivi de contacts » en utilisant la technologie des smartphones, etc.

L’analyse des données de localisation des individus permet aux autorités de :

  • cartographier la propagation du virus ;
  • faire respecter les mesures prises par les gouvernements ;
  • faire du suivi de contacts.

La position de la Cnil  

Dans son propos liminaire lors de son audition (1), la Cnil rappelle les règles issues du Règlement européen sur la protection des données du 27 avril 2916 (RGPD) et de la loi informatique et libertés modifiée.

  • Respect du principe de licéité : Le traitement devra reposer sur une base légale : consentement, obligation légale, mission d’intérêt public ou sauvegarde des intérêts vitaux des personnes. Si un suivi individualisé des personnes était mis en œuvre, la Cnil privilégie le volontariat, avec un consentement réellement libre et éclairé. Le fait de refuser l’application ne devra avoir aucune conséquence préjudiciable.
  • Possibilité de collecter des données de santé : La collecte de données de santé, en principe interdite, pourrait être autorisée par l’une des exceptions prévues à l’article 9 du RGPD et l’article 44 de la loi informatique et libertés modifiée, comme le consentement, la nécessité de la prise en charge sanitaire, l’intérêt public dans le domaine de la santé publique, etc.
  • Limitation des finalités : Les données ne pourront pas être traitées ultérieurement à des fins autres que la gestion de la crise sanitaire.
  • Respect du principe de minimisation des données : L’idée est de consommer le moins de données personnelles possible. Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire pourront être collectées. La Cnil propose à titre d’exemple de collecter un identifiant unique généré lors de l’installation de l’application de suivi des contacts plutôt que de collecter des informations nominatives.
  • Limitation de la durée de conservation : La durée de conservation des données devra être limitée à la finalité. Ainsi, la Cnil recommande de détruire les données ou de les conserver un temps limité et de façon protégée, pour ne servir qu’à des finalités complémentaires de recherche ou de gestion d’éventuels contentieux.
  • Information des personnes concernées : Les personnes concernées devront être informées de manière transparente sur le dispositif mis en œuvre : données collectées, destinataire, finalité, etc.
  • Garantie d’une sécurité appropriée : Le stockage des données en local, sur le terminal de l’utilisateur doit être privilégié.
  • Dispositif adéquate, nécessaire et proportionné : Le dispositif mis en place devra être utile pour traiter la crise sanitaire et sans qu’aucune autre alternative efficace ne soit possible.

La Cnil recommande le traitement des données de localisation anonymisées, moins intrusif que le suivi individuel.

Ainsi, la Cnil fournit une première analyse « informatique et libertés » sur le recours à des technologies proposant une analyse des données de localisation des individus pour assurer un déconfinement le plus sécurisé possible. Les solutions numériques peuvent être un des éléments de ce déconfinement mais elles ne doivent pas être utilisées au détriment de la vie privée et des libertés individuelles.

Emmanuel Walle
Oriane Maurice
Lexing Département Social Numérique

(1) Cnil, Propos liminaire, audition commission des lois Assemblée nationale, 8 avril 2020.

 




Les résultats de l’enquête « IP tracking » rendus publics

IP trackingL’« IP tracking » est une pratique consistant pour un site internet à « retenir le nombre de connexions d’un internaute [à son site] via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires » (1).

Or, cette pratique de l’IP tracking soulève des problématiques en matière de protection des données à caractère personnel, mais également en matière de pratiques commerciales déloyales.

C’est pourquoi la Cnil et la DGCCRF ont mené une enquête conjointe sur le sujet et ont procédé au contrôle de plusieurs sites de sociétés françaises de e-commerce sur ces pratiques de modulation des prix de vente, notamment en matière de transport.

Les résultats de cette enquête « IP tracking » viennent d’être rendus publics et montrent que de nombreuses techniques de modulation des prix sont largement utilisées par les e-commerçants.

Ainsi, l’étude réalisée a permis d’observer que, sur certains sites de transports, les prix étaient modulés en fonction de la date d’achat du billet et du taux de remplissage (pratique dite de « Yield management » fondée sur le nombre de places offertes ou restant dans l’avion ou le train concerné). Sur d’autres sites, les frais de dossier étaient modulés en fonction de l’heure de la réservation (selon un système d’heures « pleines » et d’heures « creuses »). Toutefois, les résultats de l’étude montrent qu’aucune technique d’IP tracking n’était mise en œuvre en tant que telle sur les sites vérifiés pour la mise en œuvre de ces pratiques.

D’autres investigations ont été réalisées auprès de sociétés de vente à distance et de leurs prestataires techniques dans le domaine du marketing comportemental (sur les pratiques de « retargeting » ou encore de « real time bidding » notamment). Là encore, aucune utilisation de l’adresse IP de l’internaute afin de moduler les prix n’a été relevée.

Une pratique a toutefois été mise en évidence, visant à modifier le prix proposé en fonction du site internet précédemment consulté par l’internaute. Dans cette hypothèse, les résultats de l’enquête montrent qu’un internaute passé au préalable par un comparateur de prix par exemple peut se voir offrir un prix d’appel plus attractif, mais que celui-ci sera alors majoré de divers frais « opaques » qui, au final, rendront le prix total quasi-identique à celui pouvant être visualisé par un internaute qui ne serait pas passé par ce comparateur. S’il ne s’agit pas nécessairement d’IP tracking à proprement parler, cette pratique est tout de même actuellement en cours d’examen par la Cnil et la DGCCRF.

En tout état de cause, l’enquête sur la pratique de l’IP tracking ne devrait pas en rester là puisque la Commission des affaires juridiques du Parlement européen a demandé à la Commission européenne, le 27 novembre dernier, d’enquêter sur la fréquence de cette pratique qui, selon elle, « génère une concurrence déloyale et […] constitue un détournement des données personnelles des utilisateurs ». Les résultats de cette enquête « IP tracking » au niveau européen sont particulièrement attendus par les e-commerçants qui devront en tenir compte dans le cadre de leurs pratiques de modulation des prix online.

Céline Avignon
Mathilde Alzamora
Lexing Droit Marketing électronique

(1) D’après la définition donnée par la Commission des affaires juridiques du Parlement européen dans son avis à l’intention de la commission du marché intérieur et de la protection des consommateurs sur l’application de la directive 2005/29/CE relative aux pratiques commerciales déloyales, 27-11-2013.




L’IP tracking : une technique marketing légale ?

IP trackingCéline Avignon, interrogée par Giulietta Gamberini pour latribune.fr, revient sur les aspects juridiques de l’IP tracking, une technique marketing permettant, grâce à une adresse IP, de retracer le parcours d’un internaute dans un double objectif d’analyse marketing et de relance commerciale. Si l’IP tracking, ou web tracking, est une technique utilisée par les sites de vente en ligne, est-ce pour autant une pratique commerciale légale ? C’est à cette question que se propose de répondre Céline Avignon.

Le Code de consommation pose le principe de l’interdiction de toute pratique commerciale déloyale susceptible d’altérer, de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé. La pratique consistant à faire croire indûment à une diminution de la disponibilité d’un bien ou d’un service pourrait être considérée comme telle, voire s’apparenter à une pratique commerciale trompeuse.

L’adresse IP constituant par ailleurs une donnée à caractère personnel, il convient de faire application des dispositions de la loi Informatique et libertés. Si l’IP tracking est réalisé grâce à l’installation de cookies sur l’ordinateur du consommateur, l’article 32 II de la loi informatique et libertés impose, avec quelques exceptions très restreintes, d’informer préalablement l’internaute et d’obtenir son accord. Les éventuelles clauses d’information ou de consentement insérées dans les conditions d’accès au site ne suffiraient pas à remplir cette obligation légale.

L’arsenal juridique protecteur des droits des consommateurs ne s’applique toutefois que si le site web est destiné à un public français, ou si les données personnelles sont traitées sur le territoire national, ou encore si l’un des moyens de traitement des données est localisé en France. Dans la négative, ce dispositif ne s’appliquerait pas à l’IP tracking.

Céline Avignon pour LaTribune.fr, le 22 juillet 2013




IP tracking or not IP tracking ?

ip trackingCéline Avignon – IP tracking ou pistage de l’adresse IP. Rarement une pratique marketing aura soulevée autant d’intérêts. En atteste le buzz autour de celle-ci dans le milieu des nouvelles technologies et du marketing. Techniquement, l’IP tracking consiste à analyser le comportement d’un internaute grâce à son adresse IP et à le reconnaitre. Lorsque l’internaute revient sur le site, l’éditeur le reconnaît en temps réel grâce à un cookie qu’il a installé sur son équipement (ordinateur, tablette, portable) et l’affichage dynamique des prix serait modifié dans le but de déclencher plus rapidement l’achat.
Schématiquement, l’IP tracking fonctionne selon le schéma suivant :
Tracking
Juridiquement, cette pratique pose la question de sa conformité au droit de la consommation et de la protection des données à caractère personnel.
La Présidente de la Cnil, Madame Falque-Pierrotin, saisie par l’euro députée Madame Françoise Castex (1), a d’ailleurs indiqué que la commission mènerait une enquête sur cette pratique en concertation avec la DGCCRF, sur la base de la convention de coopération conclue en 2011 pour la protection des données des consommateurs sur internet, instituant une collaboration étroite entre la Cnil et le CSCE (Centre de surveillance du commerce électronique).

Dans ce contexte, la Cnil a examiné cette pratique en séance plénière le 13 juin 2013. Elle a indiqué que si une telle pratique était avérée, elle poserait notamment la question de la loyauté de la collecte des données permettant de mettre en œuvre l’IP Tracking, dans la mesure où « cette pratique serait opérée à l’insu des personnes et sans qu’elles soient en mesure de connaitre, voire d’agir sur les mécanismes conduisant à moduler le tarif affiché » (2).

A cette occasion, la Commission a également précisé à l’issue de la séance précitée que « l’IP Tracking doit également être examiné sur le fondement des pratiques commerciales déloyales, régies par l’article L. 120-1 et suivants du Code de la consommation, qui visent les procédés  » qui altèrent, ou sont susceptibles d’altérer de manière substantielle, le comportement du consommateur normalement informé et raisonnablement attentif et avisé, à l’égard d’un bien ou d’un service  » ».

Dans le même temps l’assemblée nationale a rejeté deux amendements du projet de loi relatif à la consommation visant renforcer l’arsenal juridique pour lutter contre cette pratique, en considérant sans doute que les autorités disposaient déjà dans l’arsenal juridique existant de fondements juridiques pour condamner ce type de pratiques.

Dans ce contexte, la Cnil qui a indiqué ne pas avoir à ce jour d’éléments suffisants sur l’existence et les conditions de fonctionnement de l’IP Tracking en France, risque dans le cadre de l’enquête qu’elle mène avec la DGCCRF, d’effectuer des contrôles auprès des éditeurs de sites internet.

Compte tenu notamment des potentielles sanctions pénales encourues en cas de pratique avérée, il est fortement recommandé de réaliser un audit interne pour déterminer la conformité des pratiques s’appuyant sur la collecte de l’adresse IP et l’installation de cookies tant d’un point de vue du droit de la consommation que de la protection des données à caractère personnel.

En effet, il est notamment rappelé, au-delà de l’aspect potentiellement trompeur d’une telle pratique, que l’installation de cookies sur le terminal d’un consommateur est strictement encadré par l’article 32 II de la loi informatique et libertés qui impose pour les cookies autres que ceux ayant pour finalité de permettre ou faciliter la communication par voie électronique ou ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, l’information et le recueil de consentement préalable de l’internaute (3).

Lexing Droit Marketing électronique

(1) Question parlementaire du 29-1-2013 et réponse donnée par Mme Reding au nom de la Commission le 12-3-2013.
(2) Cnil, « IP Tracking : collaboration en cours entre la CNIL et la DGCCRF », article du 28-6-2013.
(3) Cf. notre article, « Le nouveau régime juridique des cookies : information et consentement« , Marketing Direct N°151 – 01/11/2011.