Prestation ajoutée au panier Aucune prestation n'a été sélectionnée. Continuer mes achats Valider mon panier Ajouter au panier Mon panier (0) (1)
prestations Mon compte Connexion / Création compte Information < Retour aux offres Annuler Fermer Valider

Articles & Actualités

Juridique

Covid-19 et traçage numérique : les impacts en matière de protection des données

14/05/2020

Sophie Revol, Fabrice Naftalski

​Dans le contexte de crise sanitaire liée au virus Covid-19, de nombreux gouvernements envisagent le développement d'applications mobiles pour lutter contre l'épidémie. En France, le gouvernement a annoncé le développement d'une application pour détecter les chaînes de transmission et ainsi limiter la propagation du virus. Cette application sera soumise à la réglementation en matière de protection des données, notamment le Règlement Général sur la Protection des Données 2016/679 (« RGPD ») et la Directive 2002/58/CE (la « Directive ePrivacy »).

Quel est le dispositif envisagé en France ?

Le gouvernement a annoncé le développement d'une application pour smartphone afin de lutter contre l'épidémie liée au virus Covid-19. Cette application « StopCovid » permettrait d'automatiser l'identification des individus qui ont été en contact avec une personne testée positive au Covid-19 et reposerait sur le « contact tracing ». Ce projet reposerait sur les étapes suivantes :

- L'identification des individus : l'application aura pour but de garder la trace des personnes que l'utilisateur a croisé (et qui ont également téléchargé l'application), via la technologie Bluetooth. Le téléphone de l'utilisateur enregistre les traces pseudonymes des autres utilisateurs dans son historique lorsque ces personnes se croisent « pendant une certaine durée et à distance rapprochée ».

- L'information des individus : les personnes qui ont été au contact de la personne testée positive au Covid-19 seraient informées « de manière automatique ».

L'objectif de ce projet est de « limiter la diffusion du virus en identifiant les chaînes de transmission ». Les membres du gouvernement ont précisé que cet outil reposerait sur le volontariat et pourrait être désinstallé « à tout moment ». Cédric O, le Secrétaire d'Etat au numérique, a déclaré que le dispositif sera déployé le 2 juin, après un débat et un vote au Parlement.

Quelle est la position de la CNIL ?

Le 26 avril 2020, la CNIL a publié une première délibération portant avis sur le projet d'application. Dans cet avis, la CNIL confirme que le dispositif traitera des données personnelles en rappelant que le pseudonyme attribué est une donnée indirectement identifiante. La CNIL précise également que « l'information selon laquelle une personne présente un risque suffisamment élevé d'avoir contracté une maladie, et conduisant notamment à ce qu'elle en soit informée par l'application » est une donnée concernant la santé. La CNIL précise que la finalité du traitement envisagé est limitée à « l'alerte de personnes exposées au risque de contamination ». Si elle rappelle que ce dispositif « peut potentiellement aider les autorités publiques à surveiller et à contenir la pandémie de COVID-19 », elle précise également que « l'effectivité du dispositif repose en partie sur une adoption large de celui-ci » et qu'il possède des limites « tant intrinsèques que liées à son insertion dans une politique sanitaire globale ». Dans ce contexte, la CNIL estime le dispositif « conforme au RGPD » si certaines conditions sont respectées, notamment :

- Le principe de proportionnalité, qui se traduit par une collecte et une conservation des données limitées à ce qui est « strictement nécessaire » et pour une durée limitée « à celle de l'utilité du dispositif » ;

- L'information et le respect des droits des personnes sur leurs données ;

- La réalisation d'une analyse d'impact ;

- La sécurité des données.

A l'issue du vote au Parlement, la CNIL sera de nouveau saisie sur le projet définitif du dispositif.

Quelle est la position européenne ?

La Commission européenne a publié le 16 avril 2020 des orientations relatives à la protection des données dans le cadre du développement de nouvelles applications, ainsi qu'une « boîte à outils » visant à adopter une approche européenne commune sur les applications de traçage des contacts dans le cadre de la lutte contre le Covid-19. La Commission européenne affirme notamment dans ses orientations que si les données de proximité des utilisateurs de l'application doivent être partagées avec les autorités sanitaires, elles ne devraient l'être qu'après confirmation que la personne concernée est infectée par le virus Covid-19 et « à condition qu'elle choisisse de le faire ».

Le Comité Européen de Protection des Données (« CEPD ») a adopté le 21 avril 2020 des lignes directrices sur l'utilisation des données de localisation et des outils permettant de tracer les contacts. Le CEPD précise que « le code source de l'application devrait être rendu public pour un examen aussi large que possible ». Il convient de signaler que le CEPD a adopté, en annexe de ses lignes directrices, un guide à destination des développeurs. Ce guide prévoit notamment que des « techniques cryptographiques de pointe » doivent être mises en œuvre pour sécuriser les données stockées dans les serveurs, les applications et les échanges entre les applications et le serveur distant.