« Application Covid-19 : comment désactiver l’installation installée automatiquement, en douce, sur son téléphone cellulaire ». Ainsi s’intitule l’une des fausses informations colportées par plusieurs sites web dans le sillage de la crise sanitaire liée à l’épidémie de coronavirus. Celle-ci a rapidement été dénoncée par le service « Les Décodeurs » du Monde.
L’information s’appuie sur un fond de vérité car il existe bien des fonctionnalités de traçage installées sur les smartphones dotés d’un système d’exploitation Android ou IOS. Cependant, celles-ci n’ont aucun rapport avec l’application StopCovid, qui a été développée par l’Inria (Institut national de recherche en sciences et technologies du numérique) en utilisant un protocole garantissant la « souveraineté technologique »1.
A également été démentie la rumeur selon laquelle l’application serait à même d’accéder à la liste des contacts de chaque utilisateur. Comme tout sujet sensible impliquant les libertés fondamentales, l’application StopCovid n’a cessé de déclencher ce type de polémiques et de rumeurs infondées. Pour rappel, elle participe du programme de déconfinement mis en place par le gouvernement depuis début mai 2020 et intègre l’écosystème des traitements de données pour le suivi de l’épidémie, les deux autres étant les services Contact Covid et SI-DEP2.
L’application a pour objectif d’informer les personnes du risque de contamination au Covid-19 lorsqu’elles ont été en contact pendant les quinze derniers jours avec une autre personne testée positive. Elle n’a pas pour finalité de suivre les personnes effectivement infectées, mais seulement de tracer les contacts entre au moins deux personnes utilisant l’application et de les informer d’un éventuel risque d’infection. Celui-ci est établi lorsque deux personnes se sont trouvées à moins d’un mètre l’une de l’autre pendant une durée d’au moins quinze minutes. Pour cela, l’application utilise un dispositif de traçage des téléphones portables reposant sur la technologie Bluetooth. Encadrée d’un certain nombre de garanties, son installation repose sur le volontariat des utilisateurs.
Le rappel à la prudence initialement formulé par la Cnil
La Cnil (Commission nationale de l’informatique et des libertés) avait déjà publié un premier avis le 24 avril 2020, dans lequel elle attirait l’attention du gouvernement sur un certain nombre de points3.
Si le dispositif lui semblait globalement satisfaisant pour un suivi de l’épidémie, elle rappelait la nécessité d’intégrer l’usage de cette application dans une politique plus globale, celle-ci ne pouvant reposer sur une seule solution technologique. En cela, elle invitait à bien circonscrire la base légale de ce traitement de données personnelles et à respecter scrupuleusement le principe de minimisation. Seules les données strictement nécessaires au suivi de l’épidémie peuvent être collectées, pour une durée qui doit elle-même être adéquate eu égard aux finalités précitées. Surtout, elle rappelait les risques que fait peser cette application sur le droit au respect de la vie privée, puisqu’elle permet de retracer les contacts physiques entre personnes. Ces risques sont d’autant plus importants que l’application a vocation à être déployée dans une partie substantielle de la population et qu’elle porte sur des données sensibles, à savoir l’état de santé. Par ailleurs, la Cnil dénonce le risque d’accoutumance à ce nouveau type de traitements de données, lesquels ne peuvent que dégrader le niveau de protection des libertés fondamentales. Une bonne information des personnes doit pour cela lever toutes les incertitudes sur le recours à ce dispositif, qui doit rester exceptionnel. Ces observations ayant été prises en compte par le gouvernement dans son projet de décret, la Cnil a confirmé son « feu vert » dans le second avis, en date du 25 mai 20204.
Le respect des principes de proportionnalité et de Privacy by Design
De manière générale, la Cnil a relevé la conformité de l’application aux principes de proportionnalité de Privacy by Design (protection de la vie privée dès la conception). Les atteintes portées au droit au respect de la vie privée sont en effet strictement proportionnées au regard de l’objectif à valeur constitutionnelle de protection de la santé, l’urgence de la situation justifiant le caractère exceptionnel du dispositif mis en œuvre. Tout en réitérant l’obligation de respecter une certaine « prudence », la Commission estime que l’application présente des garanties suffisantes au regard du respect des libertés fondamentales ainsi que des exigences du RGPD et de la loi du 6 janvier 1978.
À ce titre, l’utilisation de StopCovid n’est qu’un moyen parmi d’autres pour lutter contre l’épidémie en traçant les chaînes de transmission. Elle présenterait ainsi une utilité minimale en complément des autres dispositifs, notamment parce qu’elle permettra de sensibiliser les personnes aux risques d’exposition et à engager les démarches adéquates en cas de contamination. Cette utilité demeure même dans l’hypothèse où elle ne serait pas téléchargée par une partie importante de la population. Sur ce point, l’utilisation de l’application doit reposer sur le volontariat et ne saurait entraîner de rupture d’égalité pour les personnes ne l’ayant pas installée.
S’agissant des données traitées, seules celles qui sont relatives aux personnes exposées au virus, et non les seules personnes contaminées, seront diffusées. Le transfert de l’historique des contacts d’une personne infectée ne pourra se faire que grâce à un code à usage unique remis par un professionnel de santé après un dépistage positif, sans possibilité d’identification. La base ne pourra donc pas faire l’objet d’une utilisation malveillante. En cela, l’application poursuit bien l’objectif de dresser une liste de contacts, les données étant par ailleurs pseudonymisées de façon aléatoire par un dispositif à renouvellement périodique. De plus, le recours à la technologie Bluetooth, plutôt qu’à un système de géolocalisation, limite les risques d’atteintes à la vie privée, en ce qu’elle ne relèvera que l’existence de contacts physiques entre au moins deux personnes sans égard pour leurs interactions. La Cnil attire malgré tout l’attention sur la nécessité d’insérer un dispositif de désactivation dans l’application, ce afin d’éviter les faux positifs. Certaines situations pourraient en effet entraîner un relevé automatique de contacts, alors même qu’elles ne présenteraient pas de risques de contamination. Tel est le cas par exemple d’une consultation médicale, le professionnel de santé étant présumé être protégé par le port du masque et le respect des mesures sanitaires.
La Commission attache également une importance particulière aux finalités du traitement, qui devront être communiquées aux utilisateurs sous une forme claire et lisible, y compris pour les mineurs. Ces finalités sont au nombre de quatre, à savoir l’information sur le risque de contamination ; la sensibilisation quant aux symptômes de la maladie ; l’orientation des personnes vers des acteurs de santé pour prise en charge ou dépistage ; amélioration de l’étude des cas contacts grâce à l’usage de données statistiques anonymes. L’utilité du traçage est ainsi étayée en ce qu’il permettra d’informer plus efficacement les personnes des risques d’exposition au virus, y compris pour les cas contacts qui ont refusé de répondre aux enquêteurs sanitaires. La Commission émet cependant plusieurs observations, en rappelant notamment la nécessité de respecter le caractère volontaire d’une consultation médicale, l’utilisateur étant au mieux invité à y procéder. Elle confirme également l’exclusion de plusieurs finalités indirectes telles que le recensement des personnes infectées, la délimitation de zones à risque ou le respect des « gestes barrière ».
Enfin, l’application n’aura qu’une durée de vie limitée, son terme ayant été fixé à six mois après la date de fin de l’état d’urgence sanitaire. Cette durée est la même que celle des deux autres traitements précités. Les données de contacts, quant à elles, ne seront conservées que dans les quinze jours qui suivent leur émission, l’utilisateur pouvant toujours en demander la suppression.
Un démarrage prometteur mais controversé de StopCovid
Sitôt l’avis de la Cnil publié, le projet StopCovid a été présenté par le gouvernement à l’Assemblée nationale et au Sénat, sur le fondement de l’article 50-1 de la Constitution. Les deux chambres du Parlement ayant donné leur accord, le déploiement de l’application est finalement prévu par le décret du 29 mai 20205.
Si l’intérêt de l’application semble avoir été perçu spontanément, puisque près de 600 000 personnes l’ont téléchargée en moins de 24 heures après son lancement, le 2 juin 2020, elle ne serait malgré tout efficace que si plusieurs millions d’utilisateurs décidaient d’y recourir. Il n’est pas sûr que l’on parvienne à ce résultat, au vu des craintes qui entourent l’usage de ce dispositif. Malgré l’avis positif de la Cnil, l’application est encore trop souvent perçue comme un nouveau pas vers un système de surveillance généralisée, mettant en cause les libertés fondamentales telles que le droit à la vie privée ou la liberté d’aller et venir. Les garanties dont elle est assortie tentent certes de dissiper les inquiétudes suscitées par le projet à son stade initial6. Mais c’est le principe même de l’application qui est mis en cause, en ce qu’il risque de provoquer un phénomène d’acclimatation à des dispositifs de surveillance toujours plus intrusifs. Ce risque d’accoutumance, dénoncé par la Cnil, nous rappelle la fable de la grenouille plongée dans l’eau bouillante.
C’est bien pourquoi la Commission entend suivre étroitement la mise en œuvre de l’application, ainsi que celle des autres traitements de données liées à l’état d’urgence sanitaire, tout au long de sa durée d’application. La première campagne de contrôles a été lancée dès le 4 juin 2020 et permettra d’examiner les modalités de recueil de consentement et d’information des personnes, la sécurité des systèmes d’information ainsi que le respect des droits des utilisateurs de l’application7.
Sources :
- « Non, l’application StopCovid n’est pas installée « en douce » sur les téléphones », A Maad, Le Monde, 1er juin 2020.
- « En attendant Stop Covid… Vive Contact Covid et SI-DEP : les nouveaux outils numériques accompagnant le déconfinement », O. Tambou, Le Club des juristes, 19 mai 2020.
- Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid ».
- Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid ».
- Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ».
- Voir les griefs formulés par La Quadrature du Net : « Nos arguments pour rejeter StopCovid », 14 avril 2020.
- « SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles », CNIL, 4 juin 2020.