Traçage et déconfinement : quels enjeux pour la gestion des données personnelles ?

28 Avril 2020 – 9 minutes de lecture

Fatoumata Brouard – Avocate en droit social et conformité RGPD 

Stopcovid données personnelles

Dans le cadre de la lutte contre la propagation du virus COVID-19, le gouvernement envisage de déployer sur le territoire national une application actuellement en cours de développement, fruit de la collaboration d’un collectif paneuropéen, désignée sous l’appellation de « StopCOVID ».

Si ce projet est initialement destiné à accompagner le déconfinement programmé en France dès le 11 mai prochain, sa finalisation technique à cette échéance est de l’ordre du « défi » selon le secrétaire d’Etat au numérique, Cédric O.

Avant même d’être précisément connues, les fonctionnalités de ce qui n’est encore qu’un prototype font déjà débat, comme en témoignent les réactions politiques dont la presse s’est fait l’écho ces dernières semaines ou les nombreuses parutions et mises en garde d’experts de la règlementation des données personnelles[1].

Les autorités de contrôle ont rendu leurs premiers avis récemment : le CEPD (Comité Européen de Protection des Données Personnelles)[2], la CNIL[3], le CNN[4], favorables au déploiement de l’application, mais sous réserve de contrôle de ses fonctionnalités définitives, de réalisation d’une étude d’impact appropriée, et sous conditions de garanties essentielles.

Les finalités du projet « StopCovid »

Il s’agit tout à la fois :

  • De cartographier la propagation du virus
  • D’identifier les personnes à risques que l’utilisateur aura croisé
  • De faire respecter les mesures sanitaires
  • D’analyser l’historique des interactions sociales.

Pour y parvenir, il est envisagé que l’application, que chacun serait libre de télécharger sur son smartphone, fonctionne via bluetooth (et non par GPS), et puisse, sans localiser les utilisateurs, les informer à chaque fois qu’ils auront croisé un sujet s’étant déclaré malade du Covid-19.

Les contraintes techniques sont nombreuses[5], notamment:

  • L’application devra être accessible à un large public
  • l’interopérabilité des systèmes d’exploitation des smartphones donne lieu à une collaboration active d’Apple (iOS) et Google (Android) qui restera à évaluer ;
  • l’application devra être en capacité de fonctionner en continu, sans que cela ne soit un frein pour les utilisateurs ;
  • où seront stockées les données : sur le téléphone de l’utilisateur ou sur un serveur central ?

Le débat et les enjeux

Le débat très vif, est à la hauteur des multiples enjeux soulevés, notamment :

  • Les libertés publiques: le recours à l’application doit rester fondé sur le consentement et le volontariat et ne pas entraver nos déplacements,
  • Le respect du principe de proportionnalité, dans le choix par l’Etat des moyens alternatifs mis en œuvre pour lutter contre la pandémie, la solution de traçage ne pouvant en constituer qu’un outil provisoire et secondaire, nécessaire primé par la mise à disposition de masques, ou de tests ,
  • La licéité de la collecte et du traitement des données personnelles ainsi collectées au regard notamment des principes du Règlement Général de Protection des Données (dit « RGPD») en ces articles 6[6] et 9 notamment, ou encore de la  Directive 2002/58/CE du 12 février 2002 (Directive « vie privée »),
  • La souveraineté nationale, à préserver face à Apple et Google, et de la dépendance de l’application gouvernementale à leurs technologies ,
  • L’enjeu démocratique a également été soulevé, dans la mesure où il était initialement exclu de soumettre le projet au vote de l’Assemblée Nationale, perspective si violemment critiquée par l’opposition mais aussi par d’éminents juristes et constitutionnalistes, que le gouvernement a dû reculer ,

Les associations de défense des dérives du numérique sont en alerte.

Un enjeu également soulevé par les observateurs tient à l’efficacité même du dispositif : ainsi, une étude d’Oxford estime que pour être pertinente, l’application devrait être utilisée par 60% de la population.  Il est, dès lors, légitime de s’interroger sur l’efficacité d’un tel dispositif :

  • Comment concilier cette exigence avec la proportion de citoyens non équipés de smartphones (66% de la population des plus de 70 ans, 25% de la population) ?
  • Comment assurer son déploiement en zone dites « blanches »[7] ?

L’efficacité du dispositif reposera également sur les actions de ses utilisateurs:

 

  • Pas d’application installée si l’utilisateur ne le décide pas, librement ;
  • L’utilisateur se déclarant lui-même malade, au-delà de la nécessité de disposer des tests indispensables à la détection de son infection, les malades asymptomatiques ne seraient pas identifiés par l’application, bien que potentiellement contagieux.

Quelles sont les garanties jugées nécessaires par les experts et les autorités de contrôle?

Les garanties tiennent essentiellement à :

  • L’anonymisation des données de santé collectées, de sorte d’écarter les risques de stigmatisation ou encore de discrimination économique
  • Le respect des règles de protection des données personnelles (finalités déterminées, destinataires identifiés, transparence, sécurité et confidentialité, durée de conservation limitée, ou encore proportionnalité et minimisation)
  • Le caractère provisoire du dispositif, afin d’éviter l’effet dit « de braquet » ;
  • La suppression des données après utilisation.

A noter également que le CNN a proposé que l’application soit rebaptisée « AlerteCOVID », « pour ne pas lui faire porter de fausses promesses [8]».

La CNIL s’est prononcée en faveur du dispositif qu’elle juge conforme au RGPD, sous réserve du respect de conditions et de garanties qu’elle a le pouvoir et la mission de contrôler a posteriori. Elle a souhaité être consultée une nouvelle fois pour examen du projet StopCOVID en sa version définitive.

Le contrôle de sa légalité est renvoyé à un débat et à un vote du Parlement, que le Premier Ministre Edouard Philippe a annoncé, lors de son discours à l’Assemblée Nationale du 28 avril 2020.[9]

StopCovid après confinement

La question se pose de la persistance, dans « le monde d’après » de ce type d’outils de surveillance  que nous nous accordions assez largement à décrier il y a quelques mois, et qui risquent de s’installer durablement dans la société de demain.

Plus concrètement, au-delà des nombreux enjeux juridiques, techniques et éthiques que ce projet, si StopCovid intègre bientôt nos smartphones, quelle en sera la conséquence en cas de détection par l’utilisateur d’un risque de contagion via l’application ? Mise en quarantaine, droit de retrait mais aussi prise en charge et suivi des personnes ainsi identifiées comme potentiellement infectés sont autant de sujets qui concrètement, accompagneront le déploiement de cette application de traçage de la population et son intégration à notre quotidien à l’avenir.

Notes de bas de page

[1] « Covid tracking: jusqu’où serons-nous collectivement prêts à abdiquer la protection de nos données personnelles », Guillaume DESGENS-PASANAU, magistrat, professeur associé au CNAM et ancien Directeur juridique de la CNIL ; « Géolocalisation et traçage des relations sociales : le déséquilibre entre sécurité sanitaire et protection des données personnelles », Jeanne BOSSI MALAFOSSE.

[2] Déclaration du CEPD, 19 mars 2020.

[3] Audition de la Présidente de la CNIL devant l’Assemblée Nationale, 8 avril 2020 ; Avis de la Cnil, 26 avril 2020.

[4] Avis du Conseil National du Numérique, 24 avril 2020.

[5] « l’application de traçage tourne au casse-tête pour le gouvernement », Le Figaro, 22 avril 2020.

[6] L’article 6 du RGPD est relatif à la licéité des traitements, l’article 9 encadrant les conditions de collecte et de traitements des données sensibles.

[7] Une zone blanche est, dans le domaine des télécommunications, une zone du territoire qui n’est pas desservie par un réseau donné, plus particulièrement un réseau de téléphonie mobile ou par Internet.

[8] Avis du Conseil National du Numérique, 24 avril 2020.

[9] « Pour l’heure, compte tenu des incertitudes sur cette application (StopCovid), je serais bien en peine de vous dire comment elle fonctionnera. Lorsque l’application fonctionnera, nous organiserons d’un débat spécifique suivi d’un vote spécifique » Edouard Philippe, Discours à l’Assemblée Nationale, 28 avril 2020.

    Vous aimez cette fiche pratique ?

    Suivez-nous pour en retrouver d’autres !

    Fatoumata Brouard

    Fatoumata Brouard

    Avocate en droit social et conformité RGPD 

    D’autres articles sélectionnés pour vous

    RGPD : Bilan 1 Mois après

    RGPD : Bilan 1 Mois après

    Christine Allan de Lavenne avocate en droit d’auteur-marques vous fait découvrir la nouvelle réforme des RGPD et son bilan 1 mois après.

    Share This