Brièvement évoquée par le chef de l’Etat lors de son allocution du 13 avril 2020, la mise en place d’une application mobile de suivi pour identifier les « chaînes de transmission » du coronavirus est envisagée par le gouvernement français, ainsi que d’autres gouvernements des pays membres de l’Union Européenne.
Préalablement, le secrétaire d’Etat au Numérique avait indiqué le 11 avril 2020 que la France était engagée dans le développement d’une application, en collaboration avec l’Allemagne et la Suisse, ayant précisé que : « l’installation » serait « volontaire », les données « stockées temporairement » et l’anonymat « total ».
Sur cette initiative, le pouvoir exécutif français semble vouloir se rallier à l’avis du conseil scientifique Covid-19 du 2 avril 2020 qui a invité le gouvernement à étudier « les nouveaux outils numériques permettant de renforcer l’efficacité du contrôle sanitaire de l’épidémie ».
De manière très concrète, les développements devraient conduire à la mise à disposition d’une application mobile qui listerait les interactions captées par Bluetooth. S’il s’avérait ensuite qu’une personne est testée positive au Covid-19, les personnes avec qui elle a interagi dans la dernière quinzaine seraient alors prévenues et encouragées à se faire tester (sans que ne soit mentionné l’identité de la personne malade).
Or, il s’agit d’envisager le traitement de données de santé, étant rappelé que les données de santé constituent par définition des données sensibles, dont le traitement est en principe interdit (Art. 9 du RGPD).
Au niveau international
La démarche conjointe de la France, de l’Allemagne et de la Suisse s’inscrit dans le prolongement d’autres initiatives à l’étranger, dont notamment celle de Singapour qui a été citée en référence par le chef de l’Etat français. Cette application dénommée « Trace Together » permet de connecter un téléphone à un autre ou tout autre appareil connecté à quelques mètres lorsque tous sont activés. Elle permet ainsi aux personnes ayant activé l’application de savoir si elles ont croisé une ou plusieurs personnes « contaminée », le tout de manière anonyme, sans que l’identité des personnes rencontrées ne soit divulguée. L’alerte peut être rétroactive. Ainsi, si une personne est testée positive a posteriori, les personnes qui auraient pu la croiser quelques jours auparavant, pourront être aussi prévenues et invitées à rester en confinement ou bien à effectuer un test.
Au niveau européen
Il existe au niveau européen un projet dénommé « PEPP-PT ». Le contrôleur européen des données, Wojciech Wiewiórowski, a fait savoir qu’il souhaitait une approche européenne du sujet, déplorant la multiplication non coordonnée des projets d’application dans les Etats membres. Dans un communiqué en date du 6 avril 2020, le contrôleur européen souligne que « le RGPD permet le traitement de données sensibles lorsque cela est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique, comme la protection contre les graves menaces sanitaires transfrontalières ».
Il rappelle ensuite le périmètre dans lequel doivent s’inscrire ces projets qu’ils soient communautaires ou nationaux : objectifs précis et limités, proportionnalité des données collectées, caractère temporaire des dispositifs mis en œuvre.
Le contrôleur européen a donné ensuite sa préférence pour le système de traçage de contacts à l’aide de la technologie Bluetooth. En pratique, pour qu’elle soit efficace, l’application devrait être adoptée par une majorité de la population, avec une interopérabilité indispensable entre les terminaux et les réseaux. Toutefois, outre les personnes rétives craignant qu’un certain nombre de garanties pour la protection des données personnelles et de la vie privée ne soient pas respectées, plusieurs millions de personnes ne possèdent pas de terminaux mobiles. Par ailleurs, il faudrait que le Bluetooth soit activé à chaque sortie.
De son côté, Thierry BRETON, Membre de la Commission Européenne, a effectué le 8 avril 2020 l’annonce d’une approche paneuropéenne pour les applications mobiles COVID-19.
Le descriptif de cette approche est prévu pour être publié le 15 avril 2020 et sera complété par des orientations de la Commission sur le respect de la vie privée et la protection des données.
Au niveau français
La CNIL pilote, avec le Comité Européen de la Protection des Données (CEPD) ainsi que certains de ses homologues, cette réflexion. Dans le cadre des travaux de contrôle liés à la crise sanitaire, Marie-Laure DENIS, Présidente de la CNIL, a été auditionnée par la commission des lois de l’Assemblée nationale le 8 avril 2020.
S’exprimant à propos d’une application de suivi pour la sortie du confinement, la Présidente de la CNIL a insisté pour qu’elle soit basée sur le volontariat, avec un consentement réellement libre et éclairé des personnes concernées, sur la base des règles définies par le Règlement Général sur la Protection des Données (RGPD), ainsi que la Loi Informatique & Libertés dans sa dernière version en vigueur.
Le fait de refuser l’application ne doit entrainer aucune conséquence pour les personnes exerçant ce droit de refus.
La Présidente a souligné que la CNIL veillerait notamment à ce que ce dispositif soit mis en place pour une durée limitée, en s’attachant à ce qu’il soit vérifié que chaque personne ayant à donner son consentement soit informé sur les catégories de données la concernant susceptibles d’être traitées, par qui, pour quelle finalité, dans quelles conditions, et avec qui les données seraient partagées.
De ce point de vue, le recours à une technologie s’appuyant sur des données Bluetooth, « qui sont chiffrées directement sur le téléphone, sous le contrôle de son utilisateur, apportent davantage de garanties du point de vue de la protection des données que celles qui s’appuient sur un suivi géolocalisé », a ainsi relevé la Présidente de la CNIL.
Lors de son allocution du 13 avril 2020, le chef de l’Etat a laissé entendre qu’une loi serait nécessaire pour légaliser le déploiement massif d’une telle application. Ses propos rejoignent ici ceux de la Présidente de la CNIL qui a fait savoir que si un dispositif de suivi des personnes devait être mis en place de manière obligatoire, sans le consentement des personnes concernées, alors une loi serait nécessaire pour l’autoriser. Préalablement, le projet de texte législatif devrait démontrer la nécessité d’une telle application pour répondre à la crise sanitaire ainsi que la proportionnalité du traitement envisagé, y compris en termes de durée pour la conservation des données.
L’avis de notre expert : le respect des principes éthiques, quelle que soit la solution retenue
La mise en œuvre d’une application de suivi pour la sortie du confinement doit s’inscrire dans le respect des principes de protection des données personnelles et de la vie privée.
Le respect de ces exigences minimales pour la protection des droits et libertés de chacun s’impose tant au gouvernement, qu’aux administrations et entreprises susceptibles de concourir au développement ou à la mise en œuvre d’une application STOP-COVID.