droitdu.net

Un site utilisant Plateforme OpenUM.ca

Swisscovid et le consentement

3 décembre 2020
Commentaires
Permalien

Disponible en téléchargement gratuit sur l’Apple Store et le Google Play Store depuis le 25 juin 2020, l’application de traçage de proximité Swisscovid, développée sur mandat de l’Office fédéral de la Santé Publique (OFSP), repose sur un principe d’utilisation volontaire.

Pourtant, le législateur fédéral aurait pu en théorie adopter une loi au sens formel qui aurait soumis toutes les personnes ayant téléchargé l’application au traitement de leurs données personnelles (sensibles, nous le verrons) sans qu’elles n’aient à y consentir au préalable, en application de l’art. 17 al. 2 et 19 al. 1 de la Loi fédérale du 19 juin 1992 sur la protection des données (LPD). Ces deux dispositions permettent en effet à un organe fédéral de traiter et de communiquer des données à des tiers sur la seule base d’une disposition légale formelle. À l’inverse, les autorités fédérales auraient également pu opter pour l’art. 17 al. 2 let. c LPD, qui autorise le traitement de données sensibles sur la seule base du consentement de la personne concernée.

Au final, le Parlement n’a suivi aucune de ces voies en chargeant, par le biais de deux motions (M 20.3144 et 20.3168), le Conseil fédéral d’élaborer un article 60a à la Loi fédérale du 28 septembre 2012 sur les épidémies (LEp), en vigueur depuis le 25 juin également : si cette disposition constitue bien la base légale de l’application légitimant le traitement des données par l’OFSP selon l’art. 17 al. 1 LPD, elle instaure par ailleurs une condition supplémentaire à son alinéa 3 : le consentement de l’utilisateur. Le Conseil fédéral explique dans son Message « qu’une participation volontaire est plus à même de gagner la confiance de la population » et donc que l’application soit utilisée à plus large échelle, assurant son efficacité.

Ainsi, les exigences du consentement contenues dans la LPD, applicable à Swisscovid de par l’art. 60a al. 6 LEp, doivent être remplies.

Le consentement en matière de protection des données

Le consentement est, en droit de la personnalité classique, un des motifs justificatifs pouvant lever l’illicéité d’une atteinte (art. 28 al. 2 du Code civil suisse du 10 décembre 1907, que reprend quasiment mot pour mot l’art. 13 al. 1 LPD, disposition qui ne s’applique cependant pas aux organes fédéraux). Un traitement de données peut constituer une telle atteinte s’il est opéré en violation des grands principes de protection des données (licéité, bonne foi, proportionnalité, reconnaissabilité, finalité et exactitude), ou d’une opposition de la personne concernée. S’agissant des organes fédéraux, il faut encore remplir des conditions particulières (art. 17 ss LPD), telle une base légale.

Le consentement se définit comme « l’expression de l’accord de la personne concernée à ce qu’un tiers porte une atteinte déterminée à sa personnalité » [1]. Dans le domaine qui nous intéresse, l’art. 4 ch. 11) du Règlement général du 27 avril 2016 sur la protection des données (RGPD) le définit plus spécifiquement comme

« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

[1] Meier Philippe, Protection des données – Fondements, principes généraux et droit privé, Précis de droit Stämpfli, 2011, n 826.

Il ne requiert donc pas de forme particulière ; il peut être donné de manière expresse, tacite ou par actes concluants, par oral ou par écrit. Ainsi, un clic de souris sur un site web représente un accord exprès. Il en va de même d’une pression sur l’écran de son smartphone[2].

[2] Idem, n 874 et n 892.

Les qualités que le consentement doit revêtir lorsqu’il est exigé sont décrites à l’art. 4 al. 5 LPD, disposition intitulée « principes » ; c’est dire l’importance de cette notion, qui est l’expression du droit constitutionnel à l’autodétermination en matière informationnelle (art. 13 al. 2 de la Constitution fédérale suisse du 18 avril 1999)[3], c’est-à-dire le droit de choisir si, par qui et selon quelles modalités nos données vont être traitées.

[3] Idem, n 824.

  1. Le consentement doit en premier lieu être libre ; la personne concernée ne doit pas avoir accepté le traitement de ses données sous la contrainte ou la menace, ni subir de désavantages disproportionnés si elle le refusait[4].

[4] Idem, n851 et n 853.

Cet aspect est garanti dans le cadre de Swisscovid par l’art. 60a al. 3 LEp, qui prévoit que « les autorités, les entreprises et les particuliers ne peuvent pas favoriser ou désavantager une personne en raison de sa participation ou de sa non-participation au système de traçage de proximité ; les conventions contraires sont sans effet ». Ainsi, un employeur ne pourrait par exemple pas sous-payer un employé qui refuserait d’utiliser l’application, et encore moins le licencier. S’agissant des « prestations destinées à l’usage public », la LEp prévoit même une amende en cas de discrimination pour cause de non-participation au système de traçage de proximité (art. 83 al. 1 let. n LEp), ce qui garantit le caractère libre du consentement. Bien qu’il n’existe pas encore de jurisprudence sur la question, un article de Maître Miriam Mazou, avocate à Lausanne, traite en détail des éventuelles conséquences pénales si la discrimination devait intervenir dans un autre cas de figure que celui prévu par l’art. 83 al. 1 let. n LEp.

L’art. 60a al. 3 LEp va donc beaucoup plus loin que la simple illicéité du traitement en prévoyant comme sanction principale la nullité de l’acte ; aucun autre motif justificatif (loi ou intérêt prépondérant privé ou public) ne pourrait entrer en ligne de compte.

  • Deuxièmement, le consentement doit être éclairé ; avant d’accepter, la personne concernée doit avoir reçu une information complète et objective sur le traitement dont ses données vont faire l’objet, notamment l’auteur du traitement, son but, le type de données collectées et/ou traitées, combien de temps elles seront conservées et à qui elles seront transmises[5]. Ces informations doivent être aisément disponibles pour la personne avant qu’elle ne consente et peuvent revêtir n’importe quelle forme, même si la forme écrite est préférable pour des questions de preuve, qui incombe à l’auteur du traitement. Ainsi, il est possible de renseigner l’utilisateur par le biais d’une déclaration orale, écrite ou d’une vidéo explicative. Il faut encore que l’information soit donnée en des termes compréhensibles.

[5] Idem, n 861.

Dans le cas de Swisscovid, elle est programmée de sorte à ce que l’utilisateur soit obligé d’accepter la déclaration de confidentialité avant de pouvoir poursuivre l’installation. Cette déclaration donne toutes les informations mentionnées ci-dessus et explique le fonctionnement de l’application d’une manière suffisamment intelligible pour les profanes.

  • Troisièmement, et uniquement en cas de données sensibles, le consentement doit en outre être explicite (art. 4 al. 5 in fine LPD). L’accord est explicite lorsqu’il porte sur un traitement déterminé qui a été clairement évoqué[6].

[6] Idem, n 902.

Une donnée sensible est une donnée qui, de par sa nature, pourrait porter atteinte aux libertés fondamentales ou à la sphère privée de la personne si elle était divulguée ; l’art. 3 let. c LPD en mentionne une liste exhaustive[7] : opinions ou activités religieuses, philosophiques, politiques ou syndicales (ch. 1), santé, sphère intime ou appartenance à une race (ch. 2), mesures d’aide sociale (ch. 3), poursuites ou sanctions pénales et administratives (ch. 4).

[7] Idem, n 475.

Un diagnostic médical de contamination à la COVID-19 constitue évidemment une donnée sensible au sens du chiffre 2 puisqu’il porte sur la santé d’une personne, mais elle ne sera traitée (communiquée) que si cette dernière y consent. De plus, l’application Swisscovid fonctionne sur la base d’un protocole appelé Decentralized Privacy-Preserving Proximity Tracing (DP-3T), un système de traçage de contacts par Bluetooth où les données sont cryptées et décentralisées sur les téléphones des participants au lieu d’un serveur central, si bien qu’en principe, aucune donnée personnelle au sens de la LPD n’est traitée avant l’éventuelle communication d’un diagnostic positif via l’application.

L’anonymisation des données permet de réduire le risque que les personnes infectées soient identifiables, sans l’anéantir ; c’est ce que rappelle Swisscovid lorsque l’utilisateur testé positif choisit d’entrer le code qui lui a été délivré dans l’application afin d’avertir anonymement tous ses contacts. Cet accord supplémentaire repose sur l’art. 3 al. 2 de l’Ordonnance sur le système de traçage de proximité pour le coronavirus SARS-CoV-2 du 24 juin 2020 (OSTP), qui prévoit que « les participants sont informés qu’ils ont potentiellement été exposés au coronavirus uniquement si la personne infectée y a expressément consenti ». Il s’agit ici très probablement d’une erreur de traduction, car les versions allemande et italienne de l’OSTP parlent bien d’un consentement « explicite », comme la LPD.

En cliquant sur « compris », la personne accepte ainsi explicitement de communiquer son diagnostic à des tiers, au risque que ceux-ci puissent l’identifier grâce à la date de contamination potentielle que lui indiquera l’application, remplissant la dernière condition d’un consentement valable.

Conclusion

En élaborant les bases légales de l’application Swisscovid, le Conseil fédéral a repris et consolidé le système de la LPD en instaurant un consentement renforcé qui n’aurait pas été nécessaire selon cette même loi, l’eût-on prise isolément. Il en résulte une application conforme aux exigences légales, respectueuse des données personnelles et de l’autodétermination informationnelle des Suisses.

Pourtant, son succès reste mitigé, avec 1,84 million d’applications actives au 23 novembre 2020 pour 2,8 millions de téléchargements au total, sur environ 8,6 millions d’habitants (soit 21,39% de la population)…


Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets