Le contexte d’état d’urgence sanitaire liée à l’épidémie de COVID-19, et plus particulièrement la stratégie de déconfinement ont conduit le gouvernement à prendre des mesures exceptionnelles qui touchent des données à caractère personnel. UP 2 WORK décode pour vous.
Dans le cadre du plan de déconfinement progressif, le gouvernement a mis en œuvre une application dite de « contact tracing » – en français suivi de contacts –. Il s’agit de l’application « STOP-COVID ». Cette application devait être utilisée dès la sortie du confinement le 11 mai 2020, puis sa diffusion a été repoussée au 2 juin 2020.
Elle permet à chacun de savoir s’il a croisé une ou plusieurs personnes contaminées et ce afin de limiter la diffusion du virus en identifiant les chaînes de transmission. Cette démarche de la France, à l’instar du Royaume-Uni et de la Suisse s’inscrit dans le prolongement d’autres initiatives à l’étranger, dont celle de Singapour notamment qui a été cité en référence par le chef de l’Etat français.
Qu’est ce que l’application STOP-COVID ?
Cette application de contact tracing, repose sur l’utilisation de la technologie de communication de proximité « Bluetooth » pour évaluer la proximité entre deux smartphones (ou autres équipements mobiles), sans recourir à une technologie de géolocalisation. Elle est utilisée uniquement sur la base du volontariat et ses modalités de mise en œuvre vise à minimiser toute identification directe ou indirecte des personnes qui y ont recours par le biais d’une pseudonymisation.
Cependant l’utilisation de cette technologie fait débat compte tenu du caractère fortement attentatoire à la vie privée, car elle utilise des données à caractère personnel : les données de santé (à savoir si une personne est porteur ou non du Covid-19); lesquelles entrent dans une catégorie particulière et sont strictement encadrées par l’article 9 du Règlement Général de la Protection des Données (RGPD).
La Commission nationale de l’informatique et des libertés (CNIL) a été saisie et a rendu deux avis (le 24 avril 2020 puis le 25 mai 2020) en demi-teinte : bien que ce dispositif soit conforme au RGPD, la CNIL appelle le gouvernement à une certaine vigilance. Ce dispositif doit se limiter à son utilité qui doit être suffisamment avérée et s’intégrer dans une stratégie sanitaire globale. L’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière.
Des problématiques devant être strictement encadrées : les points de vigilance
Le succès de ce dispositif repose sur l’utilisation par le plus grand nombre de l’application. Cependant cette application risque d’être limitée. Seules certaines catégories de la population pourraient y avoir accès en raison de la technologie nécessaire, et en raison de l’accès à un smartphone. Ce qui remettrait en cause la proportionnalité du développement de ce type d’application compte tenu des enjeux relatifs à la vie privée.
Il est important que l’utilisation de cette application soit strictement limitée au volontariat et que sa non-utilisation n’entraîne pas de conséquences négatives. Par exemple, imposer à un salarié de télécharger cette application sous peine de sanctions, serait contraire au principe de liberté. Il est également fondamental que cette application soit limitée dans le temps, il ne s’agit pas de tracer les individus de façon continue.
Enfin, le principe même de l’utilisation du système de Bluetooth soulève de nouvelles interrogations. En cause, le « système centralisé » de l’application qui référence chaque utilisateur dans une base de données centrale sous la forme d’un identifiant unique. Bien qu’elles soient pseudonymisées, cela rendrait possible un contrôle de l’outil par son propriétaire, en l’occurrence l’Etat.
Que font nos voisins ?
A titre d’exemple, l’Allemagne et la Belgique qui avaient dans un premier temps adopté la même stratégie de système centralisé se sont rétractées.
L’Allemagne a opté pour un « système décentralisé ». Cette approche prévoit, que les informations-clés, nécessaires au fonctionnement du service, soient stockées directement sur les smartphones des utilisateurs et circulent entre eux lorsque c’est nécessaire. Ce modèle « décentralisé » est soutenu notamment par Apple et Google.
Les deux géants, dont les logiciels sont utilisés sur la quasi-totalité des téléphones dans le monde, ont annoncé le 10 avril une interface logicielle commune, que les gouvernements sont incités à utiliser pour bâtir leurs applications. Mais plusieurs Etats, à commencer par la France qui évoque une question de « souveraineté nationale », estiment que les deux entreprises ne doivent pas contraindre les pays à utiliser leur outil commun.
Quant à la Belgique, elle recherche encore activement une autre alternative mais tend vers ce modèle décentralisé.
Bien qu’il existe plusieurs modèles d’architecture centralisée, partiellement centralisée ou décentralisée, aucune ne permet d’éviter complètement les vulnérabilités et les risques de réidentification.
Cependant les autorités indépendantes telles que la CNIL ou encore d’autres hautes organisations intergouvernementales telles que le Conseil de l’Europe veillent à ce que les droits et libertés de chacun soient respectés. Il est a noté que la CNIL a été consultée plusieurs fois jusqu’à l’aboutissement du projet final.
Malgré l’état d’urgence sanitaire, on constate, une volonté de l’exécutif de respecter les données personnelles des citoyens.