Podcast : Application StopCovid : quels enjeux en matière de données personnelles ?

Devant être soumis à la discussion et au vote du Parlement le 28 avril dernier, le projet de l’application StopCovid qui vise à informer ses utilisateurs sur leur proximité géographique avec des personnes ayant été diagnostiquées positives au Covid-19 a finalement été reporté à une date ultérieure.

Bien que développée dans le but de limiter la propagation du virus, cette application est au cœur du débat public et soulève de nombreuses interrogations au regard des enjeux liés à la collecte massive des données personnelles des citoyens par l’Etat français.

En collaboration avec Mariam Le Bars Kerampran, Xavier Rodrigues nous éclaire sur la complexité de sa mise en œuvre dans un nouveau podcast Radio Village Innovation. 

La retranscription du Podcast : Application StopCovid : quels enjeux en matière de données personnelles ?

Depuis quelques jours, le projet d’application mobile « StopCovid » défraie la chronique. Les interrogations sont nombreuses sur le fonctionnement précis de cette application et sur la possibilité pour l’État Français de collecter massivement des données concernant ses citoyens. 

Effectivement, on parle beaucoup de cette application dans les médias en ce moment. Le projet avait d’abord été programmé pour être soumis à la discussion et au vote du Parlement le 28 avril dernier. Mais face aux incertitudes entourant le projet, le débat parlementaire a été reporté à une date ultérieure. 

En quoi consiste exactement ce projet d’application mobile ?

Dans le contexte de l’état d’urgence sanitaire liée à l’épidémie de Covid-19, et de la stratégie dite de « déconfinement », le Gouvernement envisage de développer et de proposer une application mobile, qui serait disponible sur smartphone, dénommée « StopCovid ». Cette application permettrait à ses utilisateurs d’être informés du fait qu’ils se seraient récemment trouvés à proximité d’autres utilisateurs de l’application diagnostiqués positifs au Covid-19, et donc qu’ils auraient été exposés à un risque de transmission du virus.

Quelle est la technologie envisagée par le projet pour suivre les contacts des utilisateurs et les alerter en cas de risque de contamination ?

Le dispositif envisagé à ce jour se composerait d’une application mobile sous Android et iOS d’une part, et d’un serveur central qui assurerait le stockage et la transmission d’un certain nombre de données nécessaires au fonctionnement global du dispositif. Chaque utilisateur y serait identifié sous un pseudonyme, c’est à dire une donnée ne permettant pas de l’identifier directement. 
Il s’agirait d’une application de « suivi de contacts » (ou « contact tracing »), et non de suivi des personnes exposées ou diagnostiquées positives au virus. Elle reposerait notamment sur l’utilisation de la technologie Bluetooth pour évaluer la proximité entre deux smartphones, et non sur une technologie de géolocalisation. 

Sur quelles bases légales pourrait reposer le déploiement de cette application mobile ?

En matière de données personnelles, une mission d’intérêt public peut constituer une base légale acceptable. C’est ce que prévoient l’article 6.1 du RGPD et l’article 5 de la loi Informatique et Libertés. Or la lutte contre l’épidémie de Covid-19 constitue bien une mission d’intérêt général, poursuivie par les autorités publiques. Il s’agit donc d’une base légale appropriée pour le développement par l’autorité publique de l’application « StopCovid ». Ce point a d’ailleurs été confirmé le 21 avril dernier par le Comité européen de la protection des données.
Et s’agissant plus spécifiquement des données de santé, le RGPD dispose qu’elles peuvent être traitées, sous certaines conditions, pour des motifs d'intérêt public « dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ».

Pourquoi ce projet est-il si important dans le débat public actuel, particulièrement en termes de données personnelles ?

Ce projet pose des questions inédites en termes de protection de la vie privée, qui est un droit fondamental garanti notamment par la Constitution. Le fait de collecter la liste des personnes que les utilisateurs de l’application ont fréquenté est une atteinte majeure à ce droit. Une telle atteinte ne peut se justifier que si un autre principe de même valeur la rend nécessaire, comme la protection de la santé par exemple, qui découle du onzième considérant du préambule de notre Constitution. 

Par ailleurs, l’application permettrait de traiter des données de santé, qui sont considérées comme « sensibles » par la réglementation actuellement en vigueur en France, et notamment par l’article 9 du RGPD. Le traitement de données sensibles est susceptible de présenter des risques plus élevés que d’autres catégories de données personnelles. C’est pour cela qu’il doit faire l’objet d’une vigilance toute particulière et que le niveau de protection qu’on accorde à ces données sensibles doit être supérieur.

Tout l’enjeu réside donc dans le fait de veiller à ce que l’atteinte portée à la vie privée des utilisateurs demeure proportionnelle à l’objectif poursuivi par le Gouvernement. En d’autres termes, l’utilisation de l’application mobile ne doit pas permettre de collecter et de conserver plus de données personnelles, y compris sensibles, que ce qui est strictement nécessaire à la protection de la santé publique pendant la seule période d’état d’urgence sanitaire.

L’objectif poursuivi par l’application serait-il limité à un « suivi de contacts » ?

Selon les informations disponibles, l’objectif de « suivi de contacts » consisterait à pouvoir informer un utilisateur de l’application que son smartphone s’est trouvé à proximité, au cours des jours précédents, de celui d’une personne ayant ultérieurement été diagnostiquée positive au Covid-19, de sorte qu’il existe un risque qu’il ait été contaminé à son tour.

L’application n’aurait pas pour objectif de surveiller par exemple le respect des mesures de confinement, d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones dans lesquelles ces personnes se sont déplacées.

Selon vous, l’utilisation de l’application mobile « StopCovid » pourrait-elle être imposée aux Français ?

Non, en l’état actuel des choses, le projet du Gouvernement prévoit que le téléchargement et l’utilisation de l’application reposeraient sur une démarche volontaire. C’est d’ailleurs un élément que la CNIL considère comme déterminant pour assurer la confiance dans le dispositif et pour favoriser son adoption par une partie significative de la population. 

Dans l’avis qu’elle a rendu le 24 avril dernier sur cette application mobile, la CNIL souligne aussi que le volontariat ne doit pas se limiter au choix pour l’utilisateur de télécharger et de mettre en œuvre l’application, par exemple en installant l’application mobile ou en se déclarant positif au Covid-19 dans « StopCovid ». Le volontariat, ça signifie aussi qu’aucune conséquence négative ne doit découler du refus d’utiliser l’application. Une personne qui n’utiliserait pas l’application ne devrait pas se voir refuser l’accès aux soins, aux transports en commun ou à son lieu de travail par exemple. Autrement, ce serait de la discrimination.

Pensez-vous que cette application mobile verra finalement le jour ou bien sa mise en œuvre est-elle trop complexe et trop risquée sur le plan des données personnelles ?

On ne peut pas avoir de certitude sur le devenir de cette application. En revanche, il est évident que si StopCovid devait être déployée, il serait obligatoire que les utilisateurs soient informés des modalités de traitement de leurs données personnelles, de façon claire, précise et transparente.

Dans tous les cas, la CNIL a d’ores et déjà demandé au Gouvernement de la saisir à nouveau du projet lorsqu’il aura été précisé.
Il y a donc fort à parier que s’il revenait sur le devant de la scène parlementaire, ce projet d’application mobile alimenterait encore de houleux débats.