Actions sur le document

A l’heure du « déconfinement », les enjeux juridiques et sociétaux de l’application gouvernementale « STOPCOVID »

K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, Marion Moine, 6/05/2020

1.Une application en devenir. Si certaines applications mobiles dont les intitulés contiennent les termes « Stop » & « COVID » commencent à fleurir sur les plateformes de téléchargement, il ne faut pas se méprendre : il s’agit d’applications étrangères (par exemple, l’application « Stop Covid » actuellement téléchargeable est éditée par le gouvernent Géorgien). Pour pouvoir télécharger l’application du gouvernement français, il faudra attendre encore quelques temps – probablement au délà du 11 mai prochain –, puisqu’elle en est encore au stade embryonnaire. A ce jour, aucun prototype n’a vu le jour. Les débats parlementaires se focalisent ainsi, sur les seuls aspects théoriques du projet, à la lumière des conclusions des instances consultées sur ce sujet.
2. Les instances saisies du projet. Poursuivant la recommandation du Conseil scientifique COVID-19 dans son avis du 2 avril 2020, qui considère qu’un tel dispositif peut se révéler utile dans la stratégie à venir de déconfinement (1) , le secrétaire d’Etat chargé du numérique, Monsieur Cédric O, a en effet saisi, pour avis, les instances nationales compétentes du projet d’application « stopCOVID », à savoir :
- le Conseil national du numérique, le 14 avril 2020 ;
- la Commission Nationale Informatique et libertés (ci-après la « CNIL ») le 20 avril 2020, sur les aspects relatifs à la règlementation en matière de protection des données.
Ces deux instances se sont fondées sur le protocole ROBERT (ROBust and privacy-presERving proximity Tracing), une contribution rédigée par l’Inria (Institut national de recherche en sciences et technologies du numérique - France) et la Fraunhofer AISEC (Institut Allemand). Celui-ci fournit les premiers éléments techniques et fonctionnels de l’application. Elles ont également été éclairées par les lignes directrices 04/2020 du comité européen de la protection données du 21 avril 2020 sur le contact tracing

3. Un projet d’application visant à conquérir la confiance des utilisateurs. Pour cela, le gouvernement n’envisage pas d’imposer aux résidants français le téléchargement et l’utilisation de son application, qui reposerait sur une démarche volontaire. La CNIL, mais aussi le Conseil national du numérique, considèrent que la base du volontariat est « déterminante pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population » (2). La CNIL précise d’ailleurs, en faisant l’amalgame avec les conditions du consentement à un traitement (article 7 .4. du RGPD), que le « volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application ». Par conséquences négatives, elle entend le refus d’accès aux tests et aux soins, le téléchargement de l’application comme condition sine qua non de la possibilité de se déplacer à la levée du confinement, de l’accès à certains services (par exemple, les transports). « Les utilisateurs de l’application ne devraient pas » non plus « davantage être contraints de sortir en possession de leurs équipements mobiles » et « les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application ».

4. Les avis rendus le même jour à son sujet, à savoir le 24 avril dernier, par le Conseil national du numérique et la CNIL (Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »), sont parfois redondants, mais complémentaires et sources de précisions utiles. Avant d’exposer les points essentiels extraits de leurs contenus, il est nécessaire de revenir sur le fonctionnement imaginé de l’application « StopCOVID » dans le cadre du protocole ROBERT précédemment évoqué.

1. DESCRIPTION TECHNIQUE ET FONCTIONNELLE DE L’APPLICATION « STOPCOVID »
5. L’objectif ultime : identifier les contacts d’une personne infectée. Si tant est qu’il soit nécessaire de le rappeler, l’application « StopCOVID » devrait permettre de recenser les utilisateurs de l’application avec qui un autre utilisateur identifié comme « infecté » est entré en contact, afin de les prévenir pour qu’ils puissent ensuite adopter les mesures sanitaires adéquates (confinement volontaire, par exemple), mais surtout consulter un médecin.

6. Le recours à la technologie « bluetooth », et non à la géolocalisation. Pour fonctionner, l’application ne devrait pas recourir à la technologie de géolocalisation, au cœur des débats pendant un temps. Comme le rappelle la CNIL dans son avis précité, « il s’agirait d’une application de « suivi de contacts » (ou « contact tracing »), et non de suivi de personnes exposées ou diagnostiquées positives au virus ». Pour dresser la liste des personnes rencontrées, l’application aurait recours à la technologie « Bluetooth low Energy »BLE »), technologie sans fil dont la portée est de quelques mètres, et embarquée dans la grande majorité des équipements mobiles disponibles sur le marché. Grâce à cette technologie, un « historique de proximité » serait ainsi généré grâce à la détection, par l’intermédiaire des dispositifs BLE des équipements mobiles, des contacts de leurs utilisateurs. D’après le Conseil national du numérique, lorsqu’un utilisateur sera testé positif au COVID-19 et que cette information aura été saisie dans l’application (par l’utilisateur), l’application devrait transmettre un « historique de proximité à un serveur central, opéré par les autorités sanitaires. En fonction des caractéristiques de chaque rencontre dans cette liste (Durée et distance), les utilisateurs les plus à risque » seront « alertés par des notifications sur leur application » (3). Tout l’enjeu réside désormais, sur l’efficacité des systèmes Bluetooth qui n’ont pas été développés pour mesurer les distances et les durées des contacts, mais également dans les paramétrages constructeurs (par exemple ceux d’Apple, ayant conduit le secrétaire d’Etat à solliciter la société pour qu’elle assouplisse le fonctionnement Bluetooth des Iphones pour l’application StopCOVID).

7. La collecte de données pseudonymes, et non anonymes. N’en déplaise à certains, les données qui seront ainsi collectées, si elles ne devraient pas contenir de données d’identification directe (par exemple, les noms et prénoms), n’en seront pas moins identifiantes. En effet, un identifiant (par exemple une série de chiffres et de lettres) sera nécessairement utile afin d’assurer l’efficacité de l’application. Il ne s’agira alors pas d’une donnée anonyme – échappant aux dispositions de la réglementation informatique et libertés comme on a pu le lire – mais bien d’une donnée pseudonyme, qui pourra, par le truchement d’autres informations, révéler l’identité des individus (4). Il convient de noter ici, qu’après avoir rappelé qu’il s’agissait bien de données à caractère personnel, la CNIL a reconnu que « les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification des personnes physiques associées aux données stockées, pour une durée nécessairement limitée, par le serveur central » (5) .

8. Une technologie développée pour les seuls équipements mobiles doté d’un dispositif BLE. A la lumière de son fonctionnement exposé ci-dessus, l’application devrait donc être disponible sur les seuls smartphones (en français « ordiphones »), et autres équipements mobiles pourvus de la technologie BLE. Le recours aux équipements personnels des individus met en exergue le clivage numérique avec les personnes âgées, mais aussi les personnes en situation de précarité, lequel est aggravé par le fait que ce sont souvent ces dernières qui sont les plus vulnérables vis-à-vis du COVID.

2. LE CONTENU DES AVIS

2.1. L’avis du Conseil national du numérique
9. Un avis positif. Le conseil national du numérique considère que les « applications d’historique de proximité peuvent être utiles pour lutter contre le COVID-19, et doivent pour cela s’inscrire dans une stratégie plus globale de santé publique ». Selon lui, « ce type d’application (…) ne sont qu’une partie de la réponse sanitaire dont l’efficacité dépendra sûrement plus des mesures de distanciation et de la mise à disposition de tests ».

10. Un avis contenant douze recommandations pratiques. A l’issue de son analyse, le Conseil national du numérique a dressé une liste de douze recommandations à la mise en place de l’application. Celles-ci se répartissent autour de cinq thématiques évocatrices que sont « confiance et gouvernance », « souveraineté », « transparence », " communication " , « fracture numérique », et « expérience utilisateurs ». Parmi ces recommandations, on relèvera celle encourageant les autorités à adopter un décret encadrant les conditions de la mise en œuvre de l’application, sa durée dans le temps, et surtout, les garanties sur la protection des données (recommandation n°2), mais aussi celle souverainiste, encourageant les pouvoirs publics à « favoriser une seule application pour la France, sous l’autorité du Ministère de la santé » (recommandation n°3). En outre, le Conseil national du numérique a salué l’initiative du Secrétaire d’État du numérique, en intégrant dans ses recommandations la publication du « code source de l’application et des systèmes associés, ainsi que leur documentation sous des licences libres » (recommandation n°3). Enfin, on soulignera qu’il est suggéré de « renommer l’application « AlerteCOVID » pour ne pas lui faire porter de fausses promesses ».

11. L’impératif d’exactitude des données collectées. Enfin, le Conseil national du numérique a envisagé les dérives liées à une utilisation mal intentionnée. En effet, si de nombreuses personnes se déclarent favorables à cette application, l’absence de contrôle pourrait conduire à traiter des données inexactes fournies par un utilisateur sain, mais mal intentionné qui se serait déclaré positif sur l’application. Pour pallier la difficulté, une solution serait « de ne permettre à un utilisateur de se déclarer infecté dans l’application qu’après avoir entré une clé qui lui serait donnée par le laboratoire médical l’ayant testé » . (6)

2.2. L’avis de la CNIL
12. Les droits en balance : une atteinte proportionnée. C’est après avoir rappelé que ce projet d’application pose des « question inédites en termes de protection de la vie privée », que la CNIL souligne que cette dernière est garantie par la Constitution française et d’autres sources de droit. En conséquence, « son atteinte ne peut être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé » visée au onzième alinéa du préambule de la Constitution. L’atteinte devra donc être proportionnée aux objectifs poursuivis par le gouvernement. Cela se traduit en particulier, par le respect du principe de proportionnalité dans la collecte et la conservation des données, nécessitant ainsi que l’application soit retirée dès que son utilité aura disparue. Si les données devaient ensuite être exploitées à des fins scientifiques ou statistiques, elles devront être, cette fois-ci préalablement, bel et bien anonymisées.

13. Un dispositif qui suppose le traitement d’informations relatives à la santé, données sensibles faisant l’objet d’un régime spécifique de traitement. Si les alertes qui seront émises par les utilisateurs infectés révèlent bien évidemment leur état de santé, « l’information selon laquelle une personne présente un risque suffisamment élevé d’avoir contracté une maladie, et conduisant notamment à ce qu’elle en soit informée par l’application est (…) une donnée concernant la santé (…) bénéficiant également du régime de protection spécifique de ces données sensibles prévus par le » règlement européen 2016/679 de protection des données à caractère personnel (ci-après le « RGPD »). En effet, en application du considérant 35 du RGPD « les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ». Ainsi, en application du RGPD, un risque de maladie est une donnée personnelle de santé.

14. Un traitement qui ne nécessite pas le recueil du consentement exprès et spécifique des utilisateurs. S’agissant d’un traitement impliquant des données de santé, celui-ci doit être fondé à double titre : sur une base légale justifiant de la légitimité du traitement (articles 6 du RGPD, et 5 de la loi informatique et libertés n°78-17, dite « LIL »), mais également correspondre à l’une des exceptions textuelles à l’interdiction de traiter des données de santé (article 9 du RGPD). S’agissant de la base légale du traitement, celui-ci peut se fonder tant sur le consentement des utilisateurs (article 6, 1. a) du RGPD) que sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19 (article 6, 1. e) du RGPD). Toutefois, et contre toute attente, c’est cette dernière que la CNIL estime comme « la plus appropriée pour le développement par l’autorité publique de l’application « StopCovid » (7) . Selon elle, cette base légale permet « de concilier en toute sécurité juridique le caractère volontaire de l’utilisation de cette application et les éventuelles incitations des pouvoirs publics à une telle utilisation, afin de promouvoir son utilisation la plus large possible » (8) . S’agissant de l’exception à l’interdiction de traiter des données de santé, là encore la CNIL n’impose pas le consentement, et s’inscrit dans le cas d’ouverture de l’article 9, 2. i) du RGPD lequel permet un tel traitement lorsqu’il « est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou (…), sur la base du droit de l'Union ou du droit de l'Etat membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ». En conséquence, si c’est cette dernière exception sera celle privilégiée par le gouvernement, il devra adopter une norme spécifique – a priori, une loi – encadrant le traitement.

15. Les conditions de mise en œuvre du traitement de données. La CNIL préconise enfin, que le traitement soit mis en œuvre sous la responsabilité du « ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire ». Bien sûr, le traitement devra faire l’objet d’une analyse d’impact préalable, qui pourra, comme le recommande la CNIL, être publiée « à des fins de transparence » (9) , laquelle permettra notamment d’analyser le niveau de sécurité des mesures techniques et organisationnelles pour protéger les données qui seront hébergées sur le serveur central. Enfin, le respect des droits des personnes sur leurs données est une garantie essentielle. Elles devront être informées dans des termes clairs et simples des caractéristiques des traitements de leurs données (articles 12, 13, 14 du RGPD), lesquelles devront pouvoir, en dépit du contexte de pandémie, exercer leurs droits conformément aux dispositions des articles 12 à 22 du RGPD.

(1) Dans son avis du deux avril deux mille vingt, le conseil scientifique COVID-19 suggère plusieurs critères de sortie du confinement, dont l’un est de pouvoir « s’assurer que les éléments d’une stratégie post-confinement, seront opérationnels, incluant notamment (…) de nouveaux outils numériques permettant de renforcer l’efficacité du contrôle sanitaire de l’épidémie».
(2) V. page 5 de l’avis de la CNIL.
(3) V. Page 10 de l’avis du Conseil national du numérique en date du 24 avril 2020.
(4) V. page 3 de l’avis de la CNIL : « Il faut souligner qu’afin de pouvoir informer un utilisateur d’une exposition possible au virus, le serveur central doit vérifier s’il existe une concordance entre les pseudonymes attribués, lors de son installation, à l’application de cet utilisateur et ceux ayant été transmis au serveur central par l’application d’une autre personne reconnue comme positive. Il en résulte que demeure un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée. Du fait de ce lien, la Commission estime que le dispositif traitera des données à caractère personnel au sens du RGPD. »
(5) V. pages 3 & 4 de l’avis de la CNIL.
(6) V. Page 15 de l’avis du Conseil national du numérique en date du 24 avril 2020.
(7) V. page 6 de l’avis de la CNIL.
(8) V. page 6 de l’avis de la CNIL.
(9) V. page 9 de l‘avis de la CNIL.


Retrouvez l'article original ici...

Vous pouvez aussi voir...