Article publié le 10 avril et mis à jour le 10 mai 2020
Le contexte international : la multiplication des initiatives de « traçage »
Dans le cadre des mesures adoptées pour endiguer la propagation du virus SARS-CoV-2 responsable de la maladie COVID 19, de nombreux États ont pris l’initiative de retracer les mouvements de leurs citoyens.
Ces technologies ont principalement trois finalités:
– créer des modélisations de la propagation du COVID 19 à l’échelle d’une région ou d’un pays déterminé: c’est dans cet objectif que les États-Unis se sont rapprochés des grandes entreprises tels que Facebook et Google afin de leur permettre d’exploiter des données, anonymisées, des utilisateurs.
C’est également dans ce but que l’opérateur de téléphonie « Orange » a annoncé avoir transmis à la Commission européenne les données anonymisées des utilisateurs de son réseau.
Cette initiative, dès lors qu’elle porte sur des données ne permettant pas d’identifier des personnes physiques, n’est pas concernée par la règlementation informatique et liberté et notamment par le Règlement Général sur la Protection des Données (« RGPD »).
– contrôler l’application des mesures de confinement: c’est ainsi que la Pologne oblige ses concitoyens infectés à télécharger une application sur leur téléphone portable, et, par les technologies combinées de la géolocalisation et de la reconnaissance faciale, prouver, au moyen de photos prises à intervalle régulier, qu’ils respectent bien la mesure de confinement à laquelle ils sont astreints;
– reconstituer a posteriori les interactions sociales d’un citoyen donné, par la technologie appelée « backtracking ». Elle permet de retracer les interactions sociales d’une personne afin de déterminer si elle a été en contact avec une personne infectée.
Cette technologie est notamment mise en œuvre à Singapour avec l’application « Tracetogether ».
En France, le projet d’application « STOPCOVID » ne dira pas « où » vous êtes, mais « qui » vous avez rencontré
La question de la localisation des français a été débattue très tôt au Parlement, lors de l’adoption de la loi d’urgence sanitaire du 23 mars 2020.
Deux sénateurs du groupe « Les Républicains » ont proposé un amendement permettant, pour une durée de 6 mois, d’utiliser les données de géolocalisation des téléphones portables des français pour lutter contre l’épidémie de COVID 19.
Cet amendement a été rejeté par la commission des lois du Sénat le 20 mars 2020.
L’application informatique « STOPCOVID » aura pour objectif, dans le cadre d’une stratégie de reprise d’activité post-confinement, de retracer les chaines de contamination par le virus.
Le système proposé fonctionnera non pas en collectant les données de géolocalisation mais les données Bluetooth du téléphone.
Un téléphone sur lequel est installé l’application permettrait de détecter l’appareil d’une autre personne l’ayant installée.
Cette technologie permettrait, sur le modèle Singapourien, de retracer les interactions sociales passées d’une personne et notamment de savoir, où et pendant combien de temps elle aurait été en contact avec une personne infectée.
Pseudonymisées dans un premier temps sur la base d’un identifiant de type « QR », les données deviendraient nécessairement associées à l’identification de l’appareil d’une personne physique une fois celle -ci diagnostiquée comme porteuse de la maladie.
Ceci permettrait d’informer toutes les personnes avec qui elle a été en contact et de les inviter à se faire dépister ou à se confiner.
Le cadre juridique : le nécessaire respect du RGPD
Dès lors que des données permettant d’identifier une personne physique sont concernées, les dispositions du RGPD et de la loi n° 78-17 du 6 janvier 1978 (loi dite « Informatique et Liberté ») trouvent à s’appliquer.
S’y ajoutent, en matière de géolocalisation, les dispositions de la directive e-Privacy, transposées à l’article L34-1 V du Code des postes et communication électroniques.
Mais cette technologie ne sera pas mise en œuvre par STOPCOVID et le cadre juridique à respecter sera donc uniquement celui du RGPD.
La Présidente de la Commission nationale de l’informatique et des libertés (« CNIL ») a été entendue par la commission des lois de l’assemblée nationale le 8 avril 2020, puis au sénat le 15.
La CNIL a ensuite rendu un avis plus détaillé le 24 avril 2020.
Elle y rappelle les principes du RGPD et de la loi « Informatique et Libertés » qui devront être respectés pour que le dispositif soit considéré comme licite.
1/ La nécessaire détermination d’une base légale
Au sens de l’article 6 du RGPD, un traitement de données personnelles n’est licite que s’il repose sur un des fondements suivants : le consentement, le contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux d’une personne physique déterminée, l’exercice d’une mission d’intérêt public ou l’intérêt légitime.
L’État français dispose donc, au titre de la « mission d’intérêt public » prévue par le RGPD, de la possibilité d’imposer le suivi de leurs interactions sociales à ses citoyens.
Cela nécessite toutefois l’adoption d’une loi.
La contrainte ne semble pas, et ce depuis l’origine du projet, être la voie choisie par le gouvernement.
L’installation d’une application sur le téléphone se ferait en effet sur la base du volontariat, c’est à dire, au sens du RGPD, du consentement.
La CNIL, suivant en cela l’avis émis par le Comité Européen de la Protection des Données le 21 avril, a cependant estimé que le fondement de la mission d’intérêt public était plus pertinent que celui du consentement.
Par ailleurs, au regard de l’aspect inédit en France d’un tel dispositif de traçage, le gouvernement et la Représentation nationale ont souhaité qu’un débat se tienne au Parlement sur le principe et les modalités de fonctionnement de l’application.
Initialement prévu au 28 avril, il a été repoussé au 25 mai en raison du retard pris pour le développement de l’application, qui se heurte encore à de nombreux défis techniques.
2/ Nature des données personnelles collectées
Les données collectées doivent être « minimisées ». Cela signifie que seules les données strictement nécessaires à la finalité poursuivie ont vocation à être recueillies.
En l’espèce, les noms, prénoms et adresse des personnes ne seront pas collectés.
L’installation de l’application sur le téléphone portable donnera lieu à la génération d’un pseudonyme par un serveur centralisé.
Aucun accès à la messagerie ou à d’autres données contenues dans le téléphone (tel le répertoire des contacts) ne serait prévu.
De même les données permettant d’identifier un appareil spécifique (ré-identification par association entre le pseudonyme et l’adresse MAC par exemple) ne devraient être divulguées qu’en cas de contact avec une personne infectée.
L’usage de cette technologie ne serait bien entendu utile que cumulé avec un dépistage des cas de personnes infectées, ce qui pose la question du traitement des données de santé.
Celui-ci est en principe interdit par l’article 9-1. du RGPD.
Des exceptions sont toutefois prévues, notamment si la personne concernée donne son consentement (article 9-2. a)) ou pour des motifs de santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé (article 9-2 i)et considérant n°46).
3/ un traitement « nécessaire » et « proportionné »
Pour être licite, le traitement envisagé devra être considéré comme « nécessaire », c’est à dire remplir un objectif ne pouvant être réalisé par des mesures moins attentatoires aux libertés individuelles.
Cette condition semble a priori devoir être remplie dès lors que l’alternative a, jusqu’à présent en France, été l’adoption de mesures de confinement total.
Cette atteinte à la vie privée se substituerait donc une atteinte à la liberté d’aller et venir, conduisant un journaliste à évoquer le port d’un « bracelet électronique » en lieu et place de la prison.
Néanmoins, la CNIL a, dans son avis du 24 avril 2020, insisté sur la nécessité d’intégrer la mise en œuvre de l’application STOPCOVID dans une stratégie sanitaire globale pilotée notamment par le ministère de la santé et des solidarités.
En effet, non accompagnée notamment d’un dépistage massif, et de la possibilité de la télécharger facilement sur les plateformes, la mise en œuvre de l’application s’avèrerait vouée à l’échec.
Dans ce cas, la collecte de données ne permettant pas d’atteindre l’objectif poursuivi, ne remplirait pas l’exigence de « nécessité » et deviendrait donc illicite.
4/ un consentement libre et éclairé (article 7 du RGPD)
Basé sur le « volontariat » le traitement devra donc recueillir le consentement libre et éclairé des personnes concernées.
Une personne physique pourra consentir de manière « éclairée » si elle a bénéficié de toutes les informations préalables nécessaires, concernant notamment la nature des données collectées, la finalité du traitement, et la durée de conservation des données.
Le consentement au sens du RGPD doit également être donné librement c’est à dire que le téléchargement de l’application ne doit pas être contraint indirectement, par exemple par le maintien en confinement prolongé, ou l’interdiction d’accès aux transports publics en cas de refus.
Le consentement doit en outre pouvoir être retiré à tout moment, et l’application désinstallée, ayant pour conséquence un arrêt du traitement des données de la personne concernée.
5/ l’interdiction des détournements de finalité
Le traçage des citoyens peut avoir divers objectifs (rappelés en première partie de cet article).
Dans le but d’une conformité au RGPD, il sera nécessaire au responsable de traitement de déterminer de manière précise la finalité envisagée pour l’application « STOPCOVID » actuellement en développement.
Par exemple, les données traitées pour contrôler les interactions sociales d’une personne en vue de la prévenir qu’elle a été en contact avec une personne infectée ne pourraient être ensuite réutilisées dans le cadre d’une approche répressive, pour sanctionner des personnes n’ayant pas respecté, soit les mesures de confinement, soit les interdictions de déplacement au-delà d’un certain périmètre.
En revanche, comme l’avait déjà fait remarquer une juriste, la réutilisation ultérieure des données à des fins de recherche scientifique est expressément autorisée par l’article 5 1. b) du RGPD.
La CNIL dans son avis du 24 avril favorise, dans la mesure du possible, l’anonymisation des données pour ce traitement ultérieur.
6/ des données conservées pendant une durée limitée
La conservation des données traitées ne pourra être indéfinie, et les données recueillies par l’application devront être effacées à l’issue d’un certain délai.
La détermination de ce délai, nécessairement corrélé à la finalité du traitement, ne manquera pas d’être source de difficulté.
L’application « Tracetogether » dont le code source a été rendu public par Singapour, conserve les informations sur la rencontre et la durée de cette dernière pendant 21 jours.
7/ des mesures de sécurité informatique à définir
Un débat et actuellement en cours sur la question de la centralisation des données, qui paraît plus efficace mais plus attentatoire aux libertés.
En effet, une centralisation des données du traitement sur un serveur externe permettra d’attribuer plus facilement des identifiants pseudonymisés, mais présenterai des risques importants pour la sécurité des données, qui peuvent être l’objet d’attaques informatiques.
Au contraire un stockage des données « en local », sur l’appareil lui-même, renforce le contrôle de la personne sur les données de santé la concernant.
Dans l’éventualité d’une centralisation des données, la CNIL a invité le gouvernement à mettre en œuvre les mesures de sécurité informatique les plus récentes, estimant que l’algorithme de chiffrement envisagé (3DES) ne devait en principe plus être utilisé.
Un dispositif initialement plébiscité par l’opinion
Une étude menée par l’université britannique d’Oxford les 26 et 27 mars auprès d’un panel de citoyens français a révélé que 8 français sur 10 seraient volontaires pour télécharger l’application.
Certaines personnes interrogées étaient même favorables à une installation « automatique » de l’application sur les téléphones portables des français, processus au demeurant impossible techniquement.
L’avenir dira si les intentions se traduisent en actes ce d’autant que l’adhésion à cette technologie peut être fluctuante, et diminuer en parallèle avec la crainte inspirée par l’épidémie de COVID 19.
La CNIL, dans son avis du 24 avril, met en garde le gouvernement contre le risque de créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et l’invite donc à réserver ce type de traitement à des situations exceptionnelles.
Le gouvernement table en tous cas sur un téléchargement à grande échelle de l’application, dont le succès dépendra en outre d’un dépistage massif de la population.
Pas de contribution, soyez le premier