Par Denise Lebeau-Marianna, associée, et Juliette Chavane de Dalmassy, avocate, DLA Piper

Le Comité européen de la protection des données (CEPD ou EDPB) a ainsi adopté des lignes directrices (1) et la Commission européenne a émis une recommandation (2), fournissant une boîte à outils destinée à définir une approche paneuropéenne sur l’utilisation des technologies et des données notamment mobiles pour répondre à la crise sanitaire. C’est à la lumière de ces textes que le projet de l’application StopCovid en France a été examiné et a reçu, après l’émission de certaines réserves de la CNIL (3), un avis favorable du régulateur (4) et du Conseil national du numérique (CNNum) (5). Ces avis ont été suivis le 27 mai par un vote du parlement (6) dans un climat tendu adoptant l’application StopCovid qui est disponible depuis le 2 juin.

Les différents critères retenus par les autorités pour valider l’application StopCovid malgré les arguments de ses détracteurs (la Quadrature du Net, la Ligue des droits de l’homme et d’autres associations), nous donnent l’occasion de nous pencher sur les conditions de la conformité à la réglementation des données personnelles, des applications numériques comme moyen d’assurer la sécurité des personnes et la protection de leur santé.

Compatibilité de la protection des données personnelles avec les solutions de suivi numérique

La réglementation des données personnelles est souvent présentée comme un frein au développement des technologies. De manière opportune, la présidente de la CNIL, Marie-Laure Denis (7), a rappelé que le droit des données personnelles «ne s’oppose pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, pour la protection de la santé publique».

Il convient toutefois que ces solutions technologiques soient accompagnées de garanties d’autant plus renforcées que les technologies utilisées seront intrusives et qu'elles s’inscrivent dans une stratégie globale de santé publique. Elles doivent être des outils complémentaires, dans la mesure où elles comportent des limites intrinsèques, dont l’utilité doit être justifiée par l’efficacité qu’elles pourront apporter à d’autres mesures de santé publique (tests de dépistage, suivi manuel à travers les enquêtes sanitaires, etc.).

La mise en place de ce type d’application nécessitera donc une évaluation d’impact relative à la vie privée qui permettra d’en évaluer en amont les risques afin d’y répondre par des garanties adéquates.

La nécessité de définir une finalité claire et légitime

Les applications ayant vu le jour, à l’initiative des autorités publiques, principalement basées sur la géolocalisation se caractérisent par trois catégories de finalités :

- vérifier le respect des mesures de distanciation sociale et de confinement (ex : en Corée du Sud ou en Pologne) ;

- cartographier la propagation du virus et tenter d’en maîtriser l’évolution (ex : Chine ou Singapour) ;

- opérer un suivi des contacts entre les individus («contact tracing») pour rompre la chaîne d’infection et prévenir la résurgence de la contamination en phase de déconfinement (ex : Israël et Chine).

C’est cette troisième finalité, avec comme objet de limiter les risques sanitaires, qui a été choisie par la France en veillant à orienter les contacts à risque vers les acteurs de santé compétents pour leur prise en charge.

Ces finalités doivent être définies en des termes suffisamment limités et spécifiques pour éviter tout traitement ultérieur (notamment à des fins commerciales ou répressives) : prévention et détection de contacts et alerte des personnes exposées au risque de contamination pour aider à limiter la propagation, à l’exclusion de toute finalité de suivi des personnes exposées et de contrôle du respect des gestes barrières.

La licéité du traitement et le caractère volontaire et temporaire de l’usage de l’application

Plusieurs bases juridiques peuvent être envisagées selon les circonstances dans lesquelles le traitement sera effectué, les conditions de ce traitement et l’entité juridique qui le mettra en œuvre (publique ou privée).

Dans le cadre d’un traitement mis en œuvre par une autorité publique, la base juridique devrait être l’exécution d’une mission d’intérêt public dans le domaine de la santé (Article 6-1 (e)) prenant appui sur une mesure législative ou réglementaire qui doit définir de manière précise les conditions du traitement, y compris notamment le caractère temporaire de l’application et la nécessité de prévoir son usage sur une base volontaire, en veillant à ce qu’«aucune conséquence négative ne soit attachée à l’absence de téléchargement ou d’utilisation de l’application».

Dans le cadre d’un traitement par une entreprise, il conviendra de déterminer si l’obligation légale de sécurité de l’employeur vis-à-vis de ses salariés ou encore l’intérêt légitime sont envisageables en veillant à apporter les garanties nécessaires pour qu’un tel traitement respecte les droits et libertés des personnes concernées. Il conviendra de vérifier si un consentement doit être obtenu pour accéder aux informations stockées sur le terminal de l’utilisateur. Le recours au consentement comme seule base juridique semble difficile à retenir dans la mesure où les conditions de validité de son recueil peuvent rendre difficile sa mise en place effective.

Le test de proportionnalité et la minimisation

Ces principes s’appliquent à plusieurs niveaux et impliquent de :

- garantir l’absence de traçage de la localisation des différents utilisateurs et du suivi de leurs interactions en privilégiant la technologie Bluetooth plutôt que la géolocalisation,

- privilégier l’anonymisation et ne collecter que des données pseudonymisées de personnes exposées à l’exclusion des personnes contaminées,

- ne traiter des données de santé que de manière limitée lorsqu’elle est nécessaire (contamination ou non) en assurant un traitement seulement par des professionnels de santé,

- restreindre l’accès aux données aux seuls utilisateurs destinataires de l’information et aux sous-traitants impliqués dans le traitement.

Des mesures de sécurité renforcées et une durée de conservation limitée

Les identifiants pseudonymisés des personnes infectées ne doivent être utilisés que le temps nécessaire à l’alerte des personnes exposées. Des mécanismes cryptographiques devront être utilisés tant sur le serveur qu’au niveau de l’application. La plateforme hébergeant les données devra être certifiée HDS (hébergeur de données de santé). Des contrats conformes à l’article 28 du RGPD doivent être conclus par le responsable de traitement avec les prestataires sous-traitants impliqués. Les transferts vers des pays tiers hors Europe devront être justifiés et encadrés.

La conservation des données doit être limitée à la durée nécessaire à l’analyse de ces données à des fins médicales et pour les besoins de la finalité de prévention et de suivi des personnes exposées. Passé la période de crise sanitaire, ces données devraient être supprimées ou anonymisées en tenant compte des considérations épidémiologiques telles que la période d’incubation, etc.

Une information claire et les droits des personnes concernées

La CNIL a formulé des préconisations complémentaires concernant notamment la prise en compte du contexte des contacts (port de masque, paroi séparatrice, etc.) afin de fiabiliser les alertes, une approche à plusieurs niveaux (installation et utilisation), une information accessible à tous et spécifique lorsque l’application est susceptible d’être utilisée par des mineurs. Un libre accès à l’intégralité du code source de l’application devrait également être organisé afin de comprendre la logique des algorithmes utilisés.

La non-identification des personnes concernées permet en principe de rendre inapplicables les droits des personnes concernées (droits d’accès, de rectification, de limitation d’effacement et de portabilité). Cependant, le traitement étant basé sur le volontariat pour StopCovid, la CNIL considère que les droits d’opposition et d’effacement sont pleinement applicables.

Si le recours aux applications mobiles est bien considéré par les autorités comme possible, leur succès dans le cadre d’une crise sanitaire nécessite qu’elles soient utilisées par le plus grand nombre, ce qui suppose une confiance des utilisateurs, une information détaillée et transparente (y compris au niveau des algorithmes utilisés) et le respect des garanties apportées dans leur mise en œuvre pour protéger les droits fondamentaux des personnes concernées. 

(1). Lignes directrices 4/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts COVID-19.

(2). Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymized mobility data.

(3). Délibération n° 2020-046 du 24 avril 2020.

(4). Délibération n° 2020-056 du 25 mai 2020.

(5). CNNum avis du 24 avr. 2020.

(6). L’Assemblée nationale et le Sénat se sont prononcés en faveur de l’outil de traçage dans la nuit du 27 mai 2020.

(7). Audition commission des lois, Assemblée nationale, propos liminaires de Madame Marie-Laure Denis, présidente de la CNIL en date du 8 avril 2020.