image
logo

Application « StopCovid » ou l’art de trop bien préparer les choses

dimanche 21 juin 202011 min
Écouter l'article




 


Dans le cadre de la stratégie de « déconfinement » établie par le gouvernement, le ministère des Solidarités et de la Santé a développé et déployé une application mobile, appelée « StopCovid », qui permet à ses utilisateurs d’être informés du fait qu’ils ont été à proximité, pendant une certaine durée, d’une personne diagnostiquée positive au Covid-19 utilisant elle-même l’application.


Bien que cette application n’ait pas vocation à suivre de façon continue les utilisateurs, ni même à les géolocaliser, comme ont pu le souligner les ministres en charge du projet devant le Parlement, elle a suscité pendant une bonne partie de la période de confinement beaucoup de discussions, d’appréhensions et de réticences, tant de la part d’élus que de la part des citoyens. L’une des inquiétudes était notamment de savoir si un tel dispositif allait permettre aux autorités d’identifier les utilisateurs et de retracer les contacts entre utilisateurs au moyen de leur téléphone.


En effet, l’enjeu majeur émanant de ce dispositif relève du fait qu’un traitement de données à caractère personnel et, particulièrement, de données sensibles de santé, est mis en œuvre par le ministère.


 


Une procédure d’adoption du texte en urgence pour un déploiement sans doute bien tardif


L’application « StopCovid » est un dispositif encadré par un décret en Conseil d’État pris en application de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions.


Dans le contexte de débats importants à son sujet et en dépit des nombreuses réserves qu’il avait suscité, le Parlement s’y est tout de même montré favorable en votant le projet du gouvernement présenté en séance publique le 27 mai dernier1.


Le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »2 adopté, l’application « StopCovid » fut déployée dans le courant de la journée du 2 juin 2020 par le ministre de la Santé, Olivier Véran, qui en est le responsable de traitement.


Il convient de souligner que, compte tenu du traitement de données à caractère personnel impliqué, la CNIL avait préalablement été saisie à deux reprises.


Dans un premier temps, elle avait été saisie alors que l’application n’en était qu’au stade de projet. À l’issue de cette première saisine, la CNIL avait rendu un avis le 24 avril 20203 dans lequel elle avait adressé au gouvernement de nombreuses recommandations. Ces dernières ont permis au gouvernement d’être alerté sur le respect du cadre règlementaire en vigueur relatif à la protection des données à caractère personnel et de l’orienter dans la poursuite du développement de l’application. Dans cet avis, la CNIL avait ainsi invité le gouvernement à modifier, préciser ou encore réaliser certaines actions afin que le projet envisagé soit conforme aux dispositions prévues par le RGPD4 et la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.


Dans un second temps, la CNIL avait rendu un avis le 26 mai 2020 sur le projet de décret avant que l’ensemble du projet ne soit présenté au Parlement le 27 mai 2020. Dans cet avis, la CNIL s’était montrée favorable au projet du gouvernement en relevant, notamment, la mise en œuvre des recommandations qu’elle avait pu émettre dans son précédent avis.


Pour aboutir à cette approbation du traitement de données à caractère personnel, la CNIL avait notamment relevé les principaux points suivants :


1/ L’existence d’une utilité du dispositif, puisque celui-ci doit s’inscrire dans la politique sanitaire globale du gouvernement et, notamment, s’articuler avec le dispositif de traçage des contacts autorisé par le décret n° 2020-551 du 12 mai 20205.


Selon le gouvernement, cette application vient compléter la politique sanitaire et permettre une information plus rapide quant aux risques dans des hypothèses impliquant le regroupement de personnes qui ne se connaissent pas, tel que le Premier ministre Édouard Philippe l’a souligné dans son allocution du 28 mai.


Si la CNIL conclut favorablement sur l’utilité de l’application, son avis précise que la nécessité et l’impact effectif de ce dispositif devront être évalués régulièrement et tout au long de son utilisation. La CNIL devra alors être informée des rapports d’évaluation afin d’être en mesure d’exercer sa mission de contrôle.


2/ Les finalités du traitement de données à caractère personnel sont limitées et déterminées au regard de la base légale retenue, à savoir l’exécution d’une mission d’intérêt public telle que recommandée par la CNIL.


Les finalités se limitent ainsi à (i) l’information des utilisateurs qui se sont trouvés à proximité d’un utilisateur diagnostiqué positif au Covid-19 ; (ii) la sensibilisation des utilisateurs sur les symptômes, les gestes barrières et, d’une façon générale, la conduite à adopter pour lutter contre la propagation du virus ; (iii) l’orientation des utilisateurs à risque vers les professionnels de santé en vue d’un examen de dépistage ; (iv) l’amélioration du dispositif grâce à l’établissement de données statistiques anonymes.


3/ Une utilisation de l’application « StopCovid » fondée sur le volontariat qui, en pratique, ne doit entrainer aucun risque de discrimination pour les personnes ne souhaitant pas recourir à celle-ci. Si cette démarche volontaire peut se matérialiser par le téléchargement, l’installation ou la désinstallation de l’application, les utilisateurs sont également libres de décider d’activer ou non la fonctionnalité Bluetooth, de suivre les recommandations fournies par l’application, de prendre contact avec un professionnel de santé, de réaliser un examen de dépistage en cas d’alerte ou encore de se déclarer positif au Covid-19 le cas échéant.


4/ La minimisation des données collectées dès la conception de l’application, de telle sorte que seules les données strictement nécessaires aux finalités du traitement soient collectées.


5/ La limitation de la durée du traitement à six mois à compter de la fin de l’état d’urgence sanitaire. Par ailleurs, la conservation des historiques de proximité est limitée à quinze jours, durée estimée pour déterminer si un contact a pu engendrer une contamination.


Dès l’instant où les données traitées ne se révèlent plus utiles, celles-ci doivent ainsi être supprimées. Enfin, la CNIL relève que tout utilisateur peut solliciter la suppression de ses données à caractère personnel du serveur les hébergeant directement via l’application.


6/ La mise en place et la modification de certaines mesures de sécurité organisationnelles et techniques en adéquation avec ses précédentes recommandations mais également celles de l’ANSSI6. Cela devrait tout de même rassurer les nombreux non spécialistes des questions informatiques qui, par ultracrépidarianisme, n’hésitent pas à proclamer l’absence de sécurité de cette application.


À cet égard, il faut souligner le fait que le développement et l’exploitation de cette application ont impliqué l’intervention d’importants acteurs français du domaine des technologies, tels que l’INRIA7, l’ANSSI, Capgemini, Dassault Systèmes ou encore Orange, qui maîtrisent mieux, sans aucun doute possible, la sécurité informatique que bien des esprits à l’évidence volontairement chagrins.


Par ailleurs, le code source de l’application est disponible dans son intégralité, permettant ainsi à tout expert d’identifier des failles de sécurité et participer à l’amélioration des développements. Ces derniers aspects devraient ainsi tranquilliser les plus sceptiques, sauf à considérer qu’aucun outil informatique ne saurait répondre aux exigences de sécurité fixées ou appliquées par lesdits acteurs français en question.


Enfin et sur recommandation de la CNIL, le ministère devait compléter le décret afin d’apporter quelques précisions sur les conditions de mises en œuvre de l’application et s’assurer d’une information des utilisateurs conformes aux exigences du RGPD et, notamment, à l’attention des mineurs.


 


Un contenu réglementaire très succinct mais une information des utilisateurs qui se veut rassurante


Le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid », décrit les principaux points relatifs au traitement de données à caractère personnel mis en œuvre au moyen de l’application.


En effet, ce décret encadre le traitement seulement en ce qui concerne ses finalités, les données à caractère personnel collectées et la durée de conservation de ces données.


Il apporte quelques précisions supplémentaires quant à la mise en œuvre du traitement, telles que le recours à des sous-traitants et l’établissement d’un rapport sur le fonctionnement de l’application qui devra être communiqué par le responsable de traitement 30 jours après son lancement et au plus tard le 30 janvier 2021. Ce rapport devrait donc participer à l’évaluation de l’utilité du dispositif, étant toutefois noté que le délai maximum pour sa communication ne semble pas être en adéquation avec les préconisations de la CNIL.


S’agissant des mentions d’information, le décret se contente de rappeler que les droits d’accès, de rectification et de limitation du traitement ne sont pas applicables, de renvoyer au site web www.stopcovid.gouv.fr ainsi qu’à l’application pour des informations supplémentaires sans toutefois préciser, notamment, la faculté pour tout utilisateur de supprimer les données du serveur central tel que la CNIL l’avait préconisé.


De même, il aurait été opportun de préciser le lieu d’hébergement des données afin d’assurer, et de rassurer, sur le fait qu’aucun transfert hors de l’Union européenne ne soit réalisé.


En pratique, puisqu’à la date de rédaction de cet article8, l’application est d’ores et déjà disponible, nous constatons qu’au moment de son installation, il a été porté une attention importante à l’information de l’utilisateur.


Tout d’abord, l’utilisateur est invité à accepter des mentions relatives à la confidentialité sur une page dénommée « Confidentialité ».


Ces mentions sont rédigées dans un langage clair et accessible afin d’apporter à l’utilisateur des explications sur (I) les données échangées entre deux téléphones, (II) la façon dont la fonctionnalité Bluetooth est utilisée, (III) le lieu de stockage des données, (IV) la durée de conservation, (V) la faculté de supprimer les données ou encore (VI) les acteurs ayant participé à la création de l’application.


Cette page « Confidentialité » renvoie par ailleurs à des informations supplémentaires, telles que la politique de protection des données à caractère personnel, conformément à l’article 13 du RGPD9, des détails sur ce traitement « StopCovid » et, enfin, le site web sur lequel il est possible d’accéder au code source.


Toutefois, alors même que la CNIL, dans son avis du 25 mai dernier, avait demandé à ce que « soient intégrés dans l’information fournie aux utilisateurs des développements spécifiques à la fois pour les mineurs eux-mêmes mais aussi pour les parents », nous constatons que l’information adressée aux mineurs se contente de les rediriger vers les parents ou représentants légaux afin d’obtenir leur autorisation pour l’installation de l’application.


Puis, l’utilisateur doit autoriser une première fois l’application à utiliser le Bluetooth et confirmer cette autorisation deux fois supplémentaires. D’une part, pour estimer la proximité entre deux téléphones et, d’autre part, pour les nouvelles connexions. Enfin, l’utilisateur doit autoriser la réception des alertes en acceptant deux fois également.


Enfin, le décret est complété d’un arrêté du 30 mai 202010, selon lequel le fonctionnement de l’application nécessite que deux utilisateurs se trouvent à moins d’un mètre l’un de l’autre pendant une durée d’au moins 15 minutes. Ces critères de distance et de durée du contact correspondent aux conditions permettant de considérer que deux utilisateurs se trouvent, au regard du risque de contamination par le virus du Covid-19, à une proximité telle qu’il existe un risque suffisamment significatif de contamination.


 


Un questionnement réel sur son effectivité


En pratique, de nombreuses réserves ont été émises, particulièrement quant à l’utilité réelle d’un tel dispositif. Si certains considèrent que cette application ne relève que du simple « gadget », force est de constater que son impact dépend du cumul de plusieurs conditions, telles que :


• l’installation de l’application par une part significative de la population, au moins dans un même lieu géographique ;


• l’activation du Bluetooth, qui s’avère être une technologie qui ne fonctionne pas dans 100 % des cas et qui sollicite de façon importante la batterie d’un équipement mobile. Ce pourrait être un élément dissuasif pour les utilisateurs ;


• une proximité entre les utilisateurs de moins d’un mètre de distance et pendant une durée minimum de 15 minutes ;


• le fait pour les utilisateurs de se déclarer positif au Covid-19 dans l’application seulement après l’obtention d’un code à usage unique communiqué par un professionnel de santé après la réalisation d’un test de dépistage.


Enfin et comme l’a souligné la CNIL, cette application est susceptible de générer des alertes auprès des utilisateurs qui peuvent s’avérer inutiles. En effet, aucun moyen ne permet de prendre en considération les mesures adoptées par les utilisateurs visant à faire diminuer le risque de contamination.


C’est notamment le cas pour les utilisateurs quotidiennement confrontés au public, tels que les professionnels de santé, ou encore les commerçants, qui sont nécessairement plus exposés que d’autres, mais qui auront mis en place les mesures sanitaires recommandées, leur évitant toute contamination.


Dès lors, seule la désactivation de la fonctionnalité « Bluetooth » permettrait d’éviter ces alertes, ce qui constitue une contrainte supplémentaire reposant sur l’utilisateur.


À défaut, force est de constater que, très vite, de nombreux utilisateurs deviendront « contacts à risque de contamination » alors même qu’ils ont appliqué les gestes barrières.


Même si un point d’attention à ce sujet est prévu au sein de l’application, les utilisateurs concernés pourraient alors se voir découragés face à l’intérêt de ce dispositif.


Si les débats parlementaires ont abouti à un vote favorable du projet de décret, il ne reste plus qu’à observer si cette application saura emporter également l’adhésion des Français tout au long du processus de déconfinement, lesquels avaient été 53 % à se déclarer défavorables selon un sondage mené par la Fondation Jean-Jaurès11 en avril dernier.


On relèvera que « StopCovid » s’est classée, dès le premier jour de sa disponibilité, en tête des applications les plus téléchargées (environ 600 000 téléchargements selon les médias), ce qui démontre bien qu’en dépit de toutes les réticences exprimées, elle correspondait à une véritable attente d’une partie de la population. Mais, en ce temps de déconfinement, de manifestations publiques spontanées et « d’esprits qui se relâchent », n’a-t-on pas pêché par excès de prudence ? Quel est l’intérêt réel de disposer d’une application qui respecte les libertés individuelles au moment où la maladie marque le pas ?


 


Lydia Merad,


Avocate à la Cour,


QUALIENS


 


1) Déclaration du gouvernement relative aux innovations numériques dans la lutte contre l’épidémie de Covid-19, suivie d’un débat et d’un vote (en application de l’art. 50-1 de la Constitution).


2) www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041936881&categorieLien=cid


3) Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid ».


4) Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données


5) Pour rappel, il s’agit du décret ayant principalement pour objet de pouvoir interroger les personnes contaminées, de remonter les chaines de contamination et de réaliser les enquêtes sanitaires.
 Ce sont les traitements « SI-DEP » et « Contact Covid ».


6) Agence Nationale de la Sécurité des Systèmes d’Information.


7) Institut national de recherche en sciences et technologies du numérique.


8) Le 3 juin 2020.


9) Laquelle est accessible par deux liens différents sur cette même page de l’application.


10) Arrêté du 30 mai 2020 définissant les critères de distance et de durée du contact au regard du risque de contamination par le virus du Covid-19 pour le fonctionnement du traitement de données dénommé « StopCovid » (https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041939009&dateTexte=&categorieLien=id)


11) https://jean-jaures.org/.


Partager l'article

THÉMATIQUES ASSOCIÉES

0 Commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les plus vus

1.
Livret défense, une fausse bonne idée pour soutenir l’armement
2.
Congrès des greffiers des tribunaux de commerce : « L’intelligence artificielle peut nous permettre de détecter des schémas de fraude que l’œil humain ne verrait pas »
3.
Le port de décorations sur la robe des avocats déconseillé au barreau de Paris
4.
L’Essonne accueille une nouvelle préfète, Fabienne Balussou, la cinquième depuis 2020
5.
Les inscriptions pour la Juris Golf 2026 sont lancées

Au cœur de l'actualité !

Infos locales, analyses et enquêtes : restez informé(e) sans limite.

S'abonner

Abonnez-vous à la Newsletter !

Recevez gratuitement un concentré d’actualité chaque semaine.