StopCovid : focus sur les problématiques RGPD


Droit


24 avril 2020

Le projet fait débat depuis son annonce, car il pourrait mettre en danger la protection de la vie privée

"StopCovid" est le projet d’application de "suivi de contacts" ou contact tracing en cours de développement par le Gouvernement. Les recherches sont pilotées par l’Institut national de recherche en sciences et technologies du numérique (Inria).

Par le cabinet d’avocats CMS Francis Lefebvre Avocats mobilisé pour apporter son expertise sur les mesures prises dans le cadre de la crise sanitaire actuelle.

Un outil d’aide à la sortie de la crise

L’application est présentée comme un outil s’inscrivant dans la stratégie globale de déconfinement, à visée exclusivement sanitaire.

L’objectif du contact tracing est de prévenir les personnes potentiellement exposées et les inviter éventuellement à se faire dépister. En effet, lorsque deux personnes se trouvent pendant une certaine durée, à une distance rapprochée, le portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne seront prévenus de manière automatique.

Lors de son audition devant le Sénat le 14 avril 2020, Cédric O (Secrétaire d’État au Numérique) assurait qu’il s’agirait d’un outil français, installé sur la base du volontariat, utilisant des données "anonymisées", supprimées "au-delà de quelques semaines", en open source, et temporaire. Un débat parlementaire doit se tenir les 28 et 29 avril prochains, qui devrait être suivi d’un vote. L’utilisation de l’application est encore incertaine.

Cadre juridique

La Commission Européenne a reconnu que de telles applications de contact tracing pouvaient permettre d’aider à interrompre les chaînes de contamination. Elle préconise une approche paneuropéenne notamment par la mise en place d’une "boîte à outils" qui comportera des spécifications visant à garantir l’efficacité de telles applications ainsi que l’identification de bonnes pratiques.

La présidente de la CNIL, Madame Denis, lors de son audition par la Commission des lois de l’Assemblée nationale le 8 avril 2020, a confirmé que les textes protégeant les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique pour la protection de la santé publique à condition que des garanties adaptées soient mises en œuvre.

Le traitement des données de localisation doit être envisagé sous le prisme de deux textes : la directive ePrivacy, qui soumet ce traitement au consentement sauf en cas d’anonymisation (pour y déroger, il conviendrait d’adopter une loi pour mobiliser les exceptions (notamment celle de "sécurité publique") et le RGPD, applicable à tout traitement de données personnelles, sauf à ce que celles-ci soient rendues anonymes.

Le projet proposé à ce jour consisterait dans une application dont le téléchargement ne serait pas obligatoire et qui fonctionnerait via Bluetooth (ie. les déplacements des personnes ne seraient pas enregistrés contrairement à un suivi GPS.)

Problématiques RGPD à respecter dès la conception de l’application : le Privacy by design

S’il est difficile de se prononcer sur un projet dont les caractéristiques restent floues, certaines exigences fondamentales devront être respectées, comme cela a été rappelé par la présidente de la CNIL lors de son audition devant le Sénat le 15 avril 2020.

La définition et la limitation des finalités : il est nécessaire de garantir que les données ne pourront pas être utilisées pour des finalités sans rapport avec la gestion de la crise sanitaire.
Un traitement adéquat (réellement utile pour traiter la crise sanitaire), nécessaire (qui ne doit pas être une solution de confort) et proportionné (les solutions les moins intrusives sont à privilégier).
Le caractère temporaire : le traitement doit être exclusivement lié à gestion de la crise. La question de la durée de conservation des données doit être examinée. Par principe, les données doivent être supprimées en fin de traitement ou conservées pour une durée limitée et justifiée, de manière sécurisée.
La minimisation des données  : seules les données strictement nécessaires doivent être collectées. Ainsi, d’après les indications du Gouvernement, les noms et prénoms ne paraissent pas utiles dans la mesure où l’application n’a pas vocation à dresser une liste des personnes contaminées).
Le stockage des données en local (ie. sur le terminal de l’utilisateur). La CNIL souligne en ce sens que les données Bluetooth, chiffrées directement sur téléphone sous le contrôle de l’utilisateur, offrent plus de garanties que le suivi GPS.
La maîtrise des personnes sur leurs données : pour être valide, le consentement doit être éclairé (informé), spécifique à la finalité, univoque et libre. Le refus d’installer l’application ne doit entraîner aucune conséquence préjudiciable pour l’individu. Il conviendra notamment de s’assurer que l’employeur ne conditionnera pas le retour sur les lieux de travail à l’installation de l’application. L’individu doit également pouvoir désinstaller l’application à sa convenance.
La transparence et le droit d’information : les utilisateurs doivent recevoir l’ensemble des informations requises par l’article 13 du RGPD.
L’exigence du critère adéquat pourrait faire défaut dans la mesure où l’efficacité d’une telle application est discutée (nécessité d’avoir un nombre significatif d’utilisateurs, pourcentage élevé des personnes à risques ne disposant pas d’un téléphone compatible avec l’application (Smartphone), problématique des zones blanches, fiabilité du Bluetooth…).

Si certains pays ont développé de telles mesures de traçages numériques, à l’instar de Singapour (application développée et basée sur le Bluetooth, très similaire à celle envisagée par la France) ou encore la Pologne (recours à la reconnaissance faciale afin de faire des "selfies géolocalisés" pour permettre au Gouvernement de vérifier le respect de la quarantaine, mesure nettement plus intrusive), ce projet suscite de vifs débats, en France, sur le respect de la vie privée et des libertés individuelles.

A cet égard, l’association La Quadrature du Net a fait parvenir au Parlement ses arguments et regrette une "efficacité hasardeuse" et des "libertés inutilement sacrifiées".

En tout état de cause, la mise en œuvre de l’application devra être soumise à l’avis préalable de la CNIL. Cette dernière rappelle que ce dispositif exceptionnel ne peut être, à lui seul, la solution de sortie de crise.


Valérie Noriega