azzi avocat

APPLICATION STOPCOVID: L’ETAT FRANCAIS VA-T-IL « TRACKER » SES CITOYENS?

5 Juin 2020 | Informatique & Liberté

Article publié le 10 avril 2020 et mis à jour le 10 mai puis le 5 juin

Le contexte international : la multiplication des initiatives de « traçage »

Dans le cadre des mesures adoptées pour endiguer la propagation du virus SARS-CoV-2, responsable de la maladie COVID 19, de nombreux États ont pris l’initiative de retracer les mouvements de leurs citoyens.

Ces technologies ont principalement trois finalités:

– créer des modélisations de la propagation du COVID 19 à l’échelle d’une région ou d’un pays déterminé: c’est dans cet objectif que les États-Unis se sont rapprochés des grandes entreprises tels que Facebook et Google afin de leur permettre d’exploiter des données, anonymisées, des utilisateurs.

C’est également dans ce but que l’opérateur de téléphonie « Orange » a annoncé avoir transmis à la Commission européenne les données anonymisées des utilisateurs de son réseau.

Cette initiative, dès lors qu’elle porte sur des données ne permettant pas d’identifier des personnes physiques, n’est pas concernée par la règlementation informatique et liberté et notamment par le Règlement Général sur la Protection des Données (« RGPD »).

– contrôler l’application des mesures de confinement: c’est ainsi que la Pologne oblige ses concitoyens infectés à télécharger une application sur leur téléphone portable, et, par les technologies combinées de la géolocalisation et de la reconnaissance faciale, prouver, au moyen de photos prises à intervalle régulier, qu’ils respectent bien la mesure de confinement à laquelle ils sont astreints;

– reconstituer a posteriori les interactions sociales d’un citoyen donné, par la technologie appelée « backtracking ». Elle permet de retracer les interactions sociales d’une personne afin de déterminer si elle a été en contact avec une personne infectée.

Cette technologie est notamment mise en œuvre à Singapour avec l’application « Tracetogether ».

En France, « STOPCOVID » ne dira pas « où » vous êtes, mais « qui » vous avez rencontré

La question de la localisation des français a été débattue très tôt au Parlement, lors de l’adoption de la loi d’urgence sanitaire du 23 mars 2020.

Deux sénateurs du groupe « Les Républicains » ont proposé un amendement permettant, pour une durée de 6 mois, d’utiliser les données de géolocalisation des téléphones portables des français pour lutter contre l’épidémie de COVID 19.

Cet amendement a été rejeté par la commission des lois du Sénat le 20 mars 2020.

L’application informatique « STOPCOVID » aura pour objectif, dans le cadre d’une stratégie de reprise d’activité post-confinement, de retracer les chaines de contamination par le virus.

L’application collectera non pas les données de géolocalisation mais les données Bluetooth du téléphone.

Un téléphone sur lequel est installé l’application permettra de détecter l’appareil d’une autre personne l’ayant installée, la distance entre les personnes étant estimée par un algorithme.

Cette technologie a pour objectif, sur le modèle Singapourien, de retracer les interactions sociales passées d’une personne. Elle permet de déterminer et d’alerter en cas de contact avec une personne infectée.

Les informations recueillies ne permettront pas dans un premier temps d’identifier des personnes physiques.

Les données seront pseudonymisées dans un premier temps, par l’utilisation d’un identifiant généré par le serveur centralisé.

En revanche, les données seront nécessairement associées à l’identification du téléphone d »une personne, une fois cette dernière diagnostiquée comme porteuse de la maladie.

Ceci dans le but d’informer toutes les personnes avec qui elle a été en contact et de les inviter à se faire dépister ou à s’isoler.

Le cadre juridique : le nécessaire respect du RGPD

Dès lors que des données permettant d’identifier une personne physique sont concernées, les dispositions du RGPD et de la loi n° 78-17 du 6 janvier 1978 (loi dite « Informatique et Liberté ») trouvent à s’appliquer.

S’y ajoutent, en matière de géolocalisation, les dispositions de la directive e-Privacy, transposées à l’article L34-1 V du Code des postes et communication électroniques.

Mais cette technologie ne sera pas mise en œuvre par STOPCOVID et le cadre juridique à respecter sera donc uniquement celui du RGPD.

La Commission nationale de l’informatique et des libertés (« CNIL ») autorité chargée de veiller au respect de la règlementation « informatique et libertés » a été associé au projet dès sa genèse.

Sa Présidente a été entendue par la commission des lois de l’assemblée nationale le 8 avril 2020, puis au sénat le 15.

La CNIL a ensuite rendu un avis plus détaillé le 24 avril 2020, validant le principe d‘une application de retraçage de contacts.

Dans sa délibération n° 2020-056 du 25 mai 2020 rendue sur le projet de décret d’application qui lui était soumis, elle apporte des précisions sur la conformité du traitement envisagé.

Elle y rappelle les principes du RGPD et de la loi « Informatique et Libertés » qui devront être respectés pour que le dispositif soit considéré comme licite.

1/ Le fondement légal choisi : l’intérêt public plutôt que le consentement

Au sens de l’article 6 du RGPD, un traitement de données personnelles n’est licite que s’il repose sur un des fondements suivants : le consentement, le contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux d’une personne physique déterminée, l’exercice d’une mission d’intérêt public, ou l’intérêt légitime.

L’État français dispose donc, au titre de la « mission d’intérêt public » prévue par le RGPD, de la possibilité d’imposer le suivi de leurs interactions sociales à ses citoyens.

Cela nécessite toutefois l’adoption d’une loi.

La contrainte n’a pourtant pas été, et ce depuis l’origine du projet, la voie choisie par le gouvernement.

L’installation de application STOPCOVID sur le téléphone se fera en effet sur la base du volontariat, c’est à dire, au sens du RGPD, alors même que la base légale du consentement n’a pas été retenue.

Un dispositif fondé sur le consentement, aurait en effet pu être mis en place sans le vote d’une loi.

La CNIL, suivant en cela l’avis émis par le Comité Européen de la Protection des Données le 21 avril, a cependant estimé que le fondement de la mission d’intérêt public était plus pertinent que celui du consentement.

Par ailleurs, au regard de l’aspect inédit en France d’un tel dispositif de traçage, le gouvernement et la Représentation nationale ont souhaité qu’un débat se tienne au Parlement sur le principe et les modalités de fonctionnement de l’application.

Initialement prévu au 28 avril, il a été repoussé au 27 mai 2020 en raison du retard pris pour le développement de l’outil STOPCOVID.

Les parlementaires ont entériné le principe d’une telle application, dont les modalités pratiques sont définies dans un décret du 29 mai, préalablement soumis à la CNIL pour avis.

La commission, dans sa délibération du 25 mai 2020, prend acte que ses recommandations ont été suivies et que le fondement légal du traitement est l’intérêt public.

2/ un traitement « nécessaire » et « proportionné »

Dans sa délibération du 24 avril, la CNIL avait insisté sur le fait que l’application STOPCOVID, pour être licite au sens du RGPD, devrait être nécessaire, utile et proportionnée.

Par nécessité on entend qu’un traitement de données de santé à l’échelle nationale doit répondre à un objectif ne pouvant être réalisé par des mesures moins attentatoires aux libertés individuelles.

L’autorité de régulation insistait notamment sur la nécessité d’intégrer la mise en œuvre de l’application STOPCOVID dans une stratégie sanitaire globale pilotée notamment par le ministère de la santé et des solidarités.

En effet, non accompagnée notamment d’un dépistage massif, et de la possibilité de la télécharger facilement sur les plateformes, la mise en œuvre de l’application se serait avérée vouée à l’échec.

Dans ce cas, la collecte de données ne permettant pas d’atteindre l’objectif poursuivi, ne remplirait pas l’exigence de « nécessité » et deviendrait donc illicite.

Dans sa délibération du 25 mai, la CNIL prend acte des études faisant état de l’utilité de l’application y compris lorsqu’elle est téléchargée par une partie limitée de la population.

L’autorité de régulation relève en outre que l’application trouve son utilité dans sa complémentarité avec les traitements Contact Covid et SIDEP.

L’ application pourra s’articuler avec les enquêtes sanitaires si la personne alertée décide de se faire dépister et se trouve alors recensée dans lesdits traitements.

3/ Nature des données personnelles collectées

Les données collectées doivent être « minimisées ». Cela signifie que seules les données strictement nécessaires à la finalité poursuivie ont vocation à être recueillies.

En l’espèce, les nom, prénom et adresse des personnes ne seront pas collectés.

L’installation de l’application sur le téléphone portable donnera lieu à la génération d’un pseudonyme par un serveur centralisé.

Aucun accès à la messagerie ou à d’autres données contenues dans le téléphone (tel le répertoire des contacts) ne serait prévu.

De même, les données permettant d’identifier un appareil spécifique (par exemple, la ré-identification par association entre le pseudonyme et l’adresse MAC) ne sont divulguées qu’en cas de contact avec une personne infectée.

Par ailleurs, l’application collectera nécessairement des données de santé puisque son objet est de retracer les chaines de contamination par le virus.

Le traitement de données de santé est en principe interdit par l’article 9-1. du RGPD.

Des exceptions sont toutefois prévues, notamment si la personne concernée donne son consentement (article 9-2. a)) ou pour des motifs de santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé (article 9-2 i) et considérant n°46).

4/ un consentement libre et éclairé (article 7 du RGPD)

Basé sur le « volontariat » le traitement devra donc recueillir le consentement libre et éclairé des personnes concernées.

Une personne physique pourra consentir de manière « éclairée » si elle a bénéficié de toutes les informations préalables nécessaires, concernant notamment la nature des données collectées, la finalité du traitement, et la durée de conservation des données.

Sur ce point la CNIL préconisait une information plus détaillée que celle originellement prévue par le décret.

Elle considère notamment qu’il est nécessaire que l’utilisateur soit informé, dès le téléchargement de l’application, de sa possibilité de la supprimer de son téléphone.

En outre l’autorité de régulation est d’avis qu’il faille inviter les utilisateurs qui désinstalleraient l’application à également supprimer leurs données centralisées sur le serveur.

Elle prévoit également une information spécifique à destination des enfants.

Le consentement doit également être donné librement.

Par conséquent, le téléchargement de l’application ne doit pas être contraint indirectement, par exemple par le maintien en confinement prolongé, ou l’interdiction d’accès aux transports publics en cas de refus.

Le consentement doit en outre pouvoir être retiré à tout moment, et l’application désinstallée, avec pour conséquence un arrêt du traitement des données de la personne concernée.

La CNIL, dans sa délibération du 25 mai 2020, constate que conformément à ses recommandations, aucune restriction au droit des personnes ne s’applique en cas de refus d’installation de STOPCOVID.

5/ l’interdiction des détournements de finalité

Afin d’assurer la conformité du traitement au RGPD, le responsable doit déterminer de manière précise la finalité de l’application « STOPCOVID ».

En l’espèce, le projet de décret soumis à la CNIL détermine les finalités principales suivantes :

– l’information d’une personne utilisatrice qu’elle s’est trouvée à proximité d’une personne ayant été diagnostiquée positive à la COVID-19 ;

– la sensibilisation des utilisateurs de l’application sur les symptômes de la maladie et les gestes barrières ;

– l’orientation de la personne alertée vers les acteurs de santé compétents.

Sur recommandation de la CNIL, le décret a été modifié pour préciser que la prise de contact d’une personne alertée avec un professionnel de santé restera un choix pour elle.

Seules ces finalités seront autorisées pour ce traitement.

Par conséquent, en aucun cas l’usage de l’application ne pourra être détourné dans le cadre d’une approche répressive.

STOPCOVID ne pourra pas servir à constater le non-respect par ses utilisateurs des mesures de confinement, de distanciation sociale, ou les interdictions de déplacement au-delà d’un certain périmètre.

En revanche, comme l’avait déjà fait remarquer une juriste, la réutilisation ultérieure des données à des fins de recherche scientifique est expressément autorisée par l’article 5 1. b) du RGPD.

La CNIL dans son avis du 24 avril préconisait, dans la mesure du possible, l’anonymisation des données pour ce traitement ultérieur.

6/ des données conservées pendant une durée limitée

Le traitement STOPCOVID aura une durée de 6 mois après la fin de l’état d’urgence sanitaire (actuellement prorogé jusqu’au 10 juillet 2020).

Les données traitées seront quant à elles conservées bien moins longtemps.

L’application « Tracetogether » utilisée à Singapour, conserve les informations sur la rencontre et la durée de cette dernière pendant 21 jours.

En France, les données de contact recueillies par l’application STOPCOVID seront conservées pendant une durée de 15 jours à compter de leur collecte, puis supprimées.

7/ les droits des personnes physique : droit d’opposition et d’effacement des données

Le projet de décret prévoyait de déroger au droit de s’opposer au traitement et d’ »effacer les données, en se fondant sur les exceptions prévues à l’article 23 du RGPD.

LA CNIL, vigilante sur ce point, a estimé que le droit d’effacement devait être maintenu, en cohérence avec le caractère volontaire du téléchargement.

8/ des mesures de sécurité informatique renforcées

Au cours de la conception de l’application, la question du stockage des données sur un serveur centralisé s’est posée.

Une centralisation des données du traitement sur un serveur externe permet d’attribuer plus facilement des identifiants pseudonymisés aux utilisateurs.

En revanche, elle présente des risques importants pour la sécurité des données, toutes stockées au même endroit, et qui peuvent donc être l’objet d’attaques informatiques.

Au contraire un stockage des données « en local », sur l’appareil lui-même, renforce le contrôle de la personne sur les données de santé la concernant.

C’est la première solution qui a été retenue pour l’application STOPCOVID.

Sur recommandations de la CNIL, la méthode de chiffrement initialement envisagée (3DES) a été remplacée par un plus algorithme plus performant, recommandé par l’Agence Nationale de Sécurité des Systèmes d’Information (l’ »ANSSI »).

Cette dernière diligentera par ailleurs des audits de sécurité tout au long du développement de l’application.

La CNIL constate également que les données seront hébergées chez un sous traitant certifié « hébergeur de données de santé », situé en France, et présentant de fortes garanties en termes de sécurité (qualifié SecNumCloud par l’ANSSI).

Dans son avis du 25 mai 2020, la commission s’inquiète enfin de l’utilisation d’un système de « captcha » (permettant de lutter contre la création de comptes robots) par une entreprise tierce, ce qui risquerait de fragiliser la sécurité du dispositif, et de conduire au transfert de données hors de l’Union européenne.

STOPCOVID : un accueil favorable par les français

Une étude menée par l’université britannique d’Oxford les 26 et 27 mars auprès d’un panel de citoyens français a révélé que 8 français sur 10 seraient volontaires pour télécharger l’application.

Certaines personnes interrogées étaient même favorables à une installation « automatique » de l’application sur les téléphones portables des français, processus au demeurant impossible techniquement.

La CNIL, dans son avis du 24 avril, mettait en garde le gouvernement contre le risque de créer dans la population un « phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée » et l’invite donc à réserver ce type de traitement à des situations exceptionnelles.

L’avenir dira si les intentions se traduisent en actes, ce d’autant que l’adhésion à cette technologie peut être fluctuante, et diminuer en parallèle avec la crainte inspirée par l’épidémie de COVID 19.

Au 3 juin 2020, soit 1 jour après sa mise en œuvre, l’application avait été téléchargée 600 000 fois selon les informations transmises par secrétaire d’État chargé du numérique.