… et non de numérique, ni d'ordiphone.
La Commission nationale de l'informatique et des libertés – CNIL – , instituée alors, a servi de modèle à d'autres pays, en Europe et même au-delà. L'Union européenne, après la France, s'est à son tour saisie de la question, pour offrir un cadre juridique harmonisé et protecteur aux citoyens européens dans leur ensemble, s'agissant de l'utilisation de leurs données à caractère personnel.
À cet égard, nous pouvons mentionner la directive sur la protection de la vie privée dans le secteur des communications électroniques du 12 juillet 2002, dite directive « ePrivacy », visant à garantir la protection de la vie privée dès lors que les correspondances empruntent des moyens de communication électronique. Nous pouvons également mentionner l'adoption du règlement général sur la protection des données du 27 avril 2016, plus connu sous l'acronyme RGPD, qui a fait l'objet de débats nourris dans cette enceinte en 2018.
Ces textes, loin de faire obstacle à toute utilisation des données personnelles dans le cadre d'une stratégie sanitaire, ont arrêté les grands principes que les traitements de données à caractère personnel doivent respecter. Ils constituent autant de garanties pour le respect de notre vie privée et la sauvegarde des libertés individuelles. Au nombre de ces principes, j'en citerai trois en particulier ; tous sont définis à l'article 5 du RGPD et méritent d'être rappelés.
Le premier d'entre eux est le principe de limitation des finalités. Il s'agit d'un principe cardinal en matière de protection des données à caractère personnel, lesquelles doivent exclusivement être utilisées pour atteindre un objectif précis et déterminé d'avance. Ainsi, tout traitement de données à caractère personnel doit correspondre à des finalités « déterminées, explicites et légitimes ». Déterminées, car on ne peut collecter des données par hasard, ni même à des fins préventives ; explicites, car les personnes concernées doivent savoir pourquoi et comment leurs données sont traitées ; légitimes, car leur traitement doit être en rapport avec l'activité du responsable de traitement.
Le deuxième d'entre eux est un principe dit de minimisation, autrement dit de proportionnalité. Il signifie que l'on ne peut traiter que les données pertinentes et strictement nécessaires au regard de la finalité poursuivie par le traitement – autrement dit de l'objectif poursuivi par le responsable de traitement.