Veille juridique

STOPCOVID : Itinéraire d’une application controversée

Veille Juridique N°23 – Avril 2020

STOPCOVID : Itinéraire d’une application controversée. Il ne se passe pas une journée sans que la question du « déconfinement » de la population soit abordée, en France comme ailleurs, en lien avec le traçage du virus et des individus qui le transmettent.

Les développements récents mentionnent la création d’un fichier de suivi des personnes infectées, dont les modalités sont soumises pour avis à la CNIL.

Les médias se sont également fait l’écho d’un bras de fer entre les GAFAM et le gouvernement afin de mettre en œuvre l’application « stopCovid » la plus vertueuse.

Alors que les débats parlementaires sont aujourd’hui suspendus quant à cette application, peut-on avoir une vision claire des enjeux et des impacts d’un tel suivi numérique ?

S’agit-il de souveraineté nationale, de question de contrôle des données ou plus prosaïquement de « simples » choix techniques ?

La question est de taille car elle ne concerne pas seulement la France, mais la plupart des pays européens et autres états qui tentent de gérer la pandémie.

Les protocoles et leur impact sur le traitement des données

Le projet PEPP-PT (Privacy Preserving Proximity Tracing) visait originellement à permettre le développement d’applications en Europe sur une base harmonisée, dans le respect du droit.

L’objectif est d’informer une personne du fait qu’elle a été en contact avec une personne infectée, sur base de la technologie Bluetooth de son smartphone, sans la géolocaliser.

Alors qu’initialement PEPP-PT semblait rallier les suffrages, plusieurs centaines de scientifiques s’en sont distancés et ont pris position dans une lettre ouverte en faveur d’un protocole basé sur une approche décentralisée telle que DP-3T (decentralised privacy preserving proximity tracing), afin que les données restent stockées localement : ceci offrirait de meilleures garanties en termes de sécurité des données et quant aux risques de détournement de données par des tiers ou d’utilisation à des finalités différentes.

Rappelons que la conservation des données en local est un principe de proportionnalité et de Privacy by Design mis en avant dans d’autres contextes tel que le traitement de données biométriques.

La CNIL a une position claire sur ce sujet, que l’on retrouve notamment dans sa communication concernant l’utilisation des données biométriques par les smartphones ou sur le lieu de travail. 

Les outils mis en place par Google et Apple ont été développés (notamment) dans cette optique de stockage en local préconisée dans le protocole DP-3T, afin d’empêcher que des utilisations trop intrusives des données soient effectuées à partir des portables des utilisateurs.

Là où le bât blesse, c’est quand la France (et initialement l’Allemagne, qui a depuis changé d’avis) développe une application basée sur le protocole Robert (pour ROBust and privacy-presERving proximity Tracing), qui ne peut fonctionner sur la base des fonctionnalités proposées par Apple et Google, avec des exigences spécifiques en termes de Bluetooth et de centralisation des données (les détails sont clairement expliqués ici).

Cela ne signifie pas en soi que l’application française enfreint les principes de protection des données : des garanties (notamment en termes de pseudonymisation) ont été prévues, et la CNIL, tout en émettant quelques observations, a donné un avis favorable.

Mais là où la France prend des précautions, combien d’autres pays plus ou moins démocratiques profiteraient de fonctionnalités « à la carte » offertes par Apple et Google pour effectuer une surveillance bien plus intrusive de leur population ?

C’est ce qui explique – en partie – les réticences des géants du web et le blocage actuel de la situation.

La présidence du Conseil européen a mis ce point à l’agenda de sa réunion du 5 mai, au cours de laquelle les ministres des télécommunications de l’UE tenteront d’adopter une approche commune.

Le cadre légal

Au-delà de ces aspects techniques, la gestion des données de contact via ce type d’application soulève des problématiques communes au regard de la loi : précisons d’emblée que les données ne sont pas anonymes mais pseudonymisées, ce qui entraîne l’application du RGPD et des principes de protection des données de télécommunication.

Outre le caractère volontaire de l’utilisation de l’application, le gouvernement ne peut traiter ce type de données sensibles que s’il y est habilité par une base légale précise.

Par ailleurs, la transparence du traitement devra être assurée, les données devront être sécurisées et leur effacement prévu dans des délais stricts.

Qu’il s’agisse de la CNIL, de l’EDPB (groupe des « CNIL » européennes), du Contrôleur européen de la protection des données (EDPS) dans son audition au sénat ce 27 avril, ou du Conseil de l’Europe, les autorités de supervision rappellent qu’aucun système ne permet d’éviter complètement les vulnérabilités et les risques de ré-identification, et ce, qu’il s’agisse d’un système centralisé ou décentralisé.

Elles s’accordent sur les précautions à prendre dans le cadre du design et de l’utilisation des applications, mais elles soulignent aussi en premier lieu le caractère non anodin de ce type d’outil, invoquant le risque de prolongation des situations d’urgence et d’accoutumance de la population à une surveillance latente. 

On peut citer dans le même ordre d’idées les étudiants qui doivent aujourd’hui s’habituer à des captures d’écran régulières de leur terminal par leur professeur lorsqu’ils passent un examen à distance, et qui pourraient à terme trouver normal ce type d’intrusions dans d’autres contextes.

Il s’agit donc avant tout de ne pas esquiver la question primordiale de la nécessité de la mesure, de son impact et de sa proportionnalité face aux conséquences sur les droits fondamentaux des individus.

Et aussi :

  • En France :

Outre un nombre important de fiches pratiques relatives à la gestion de la pandémie dans le contexte de la recherche scientifique, des relations de travail et du traçage des individus, la CNIL vient de lancer une consultation publique sur les droits des mineurs dans l’environnement numérique. Celle-ci est ouverte jusqu’au premier juin 2020.

  • Europe et International :

Le Comité européen de protection des données (EDPB) a adopté plusieurs documents visant à orienter les autorités publiques et les entreprises dans le cadre de la gestion des données dans le contexte de la pandémie : il s’est penché en particulier sur les conditions de traitement des données à des fins de recherche médicale, sur les transferts internationaux de ces données, et sur le traçage et la localisation via les terminaux mobiles.

Au niveau international, les documents de l’ensemble des autorités sont disponibles sur le site de la Global Privacy Assembly.

Le BEUC (Bureau Européen des Unions de Consommateurs) a communiqué le 21 avril sur une action commune à plus de 40 organisations de défense des droits des consommateurs et des libertés concernant la surveillance généralisée par l’industrie adtech et le traçage numérique.

Belgique : L’autorité de protection des données a imposé une sanction de 50 000 € pour violation du principe d’indépendance du DPO : la chambre des litiges a ainsi considéré que le cumul de cette fonction avec celles de directeur des départements des risques, des audits et de la mise en conformité constituait un conflit d’intérêt.

Pays Bas : L’Autorité de supervision des Pays-Bas a imposé sa plus haute amende fin avril, pour un montant de 725 000 €, à l’encontre d’une entreprise qui traitait les empreintes digitales de ses employés sans véritable justification en matière de sécurité.

Anne Christine Lacoste

Juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.

Dans le cadre du développement du travail à distance, l’autorité a en outre effectué une comparaison très détaillée des principaux systèmes de visioconférence au regard de la protection des données. Seule la version néerlandaise est disponible en ligne, c’est pourquoi nous joignons la traduction non-officielle en anglais in extenso (merci à Christopher Schmidt). Ajoutons à cette liste la solution Tixeo, mentionnée par la CNIL dans ses recommandations sur la visioconférence, et certifiée par l’ANSSI.