Après le vacarme des polémiques vient inévitablement le temps de l’examen froid et impartial des faits.
Aux côtés des deux fichiers nommés Sidep et Contact Covid, l’application mobile StopCovid s’inscrit dans un dispositif numérique déployé par le gouvernement pour détecter et briser les chaînes de contamination à la Covid-19. Mais, alors que l’épidémie connaît actuellement un rebond, se pose paradoxalement la question du maintien du déploiement de cette application.
Il n’est possible de répondre à cette question qu’à la condition de disposer d’informations fiables et pertinentes sur l’impact effectif de ce dispositif sur la stratégie sanitaire globale. Or, au jour de la rédaction de la présente chronique, les renseignements nécessaires demeurent indisponibles. Pour comprendre l’origine de cette situation et tenter de dresser des perspectives, un résumé de la chronologie des faits n’est pas inutile..
Un déploiement difficile malgré l’accompagnement précoce et constant de la Cnil
Dès le 21 avril 2020, le Comité européen de la protection des données (CEPD) publiait des lignes directrices relatives à l’utilisation de données de géolocalisation et d’outils de « suivi de contacts » concernant la pandémie, ce texte visant à clarifier le cadre juridique applicable à ce type d’applications et à émettre des recommandations à destination des États membres de l’Union européenne souhaitant recourir à de tels dispositifs dans le cadre de leur stratégie sanitaire.
C’est cette grille d’analyse européenne qui a permis à la Cnil, saisie par le gouvernement sur l’application StopCovid, de formuler son avis du 24 avril 2020, dans lequel :
- elle a insisté sur la nécessité de démontrer que l’utilité de l’application était suffisamment avérée et que les garanties appropriées étaient apportées (recours à des données pseudonymisées, mesures techniques de sécurité, limitation du dispositif dans le temps, durée de conservation limitées des données, etc.) ;
- elle a confirmé l’applicabilité du règlement général sur la protection des données, StopCovid traitant bien des données à caractère personnel sous une forme pseudonymisée et non anonymisée ;
- elle a admis le caractère volontaire de l’utilisation d’un tel dispositif et demandé qu’aucune conséquence négative ne soit attachée au refus de la population de recourir à cette application ;
- elle a émis une série de recommandations sur les mesures de sécurité complémentaires.
Le 25 mai 2020[1], la Cnil, sollicitée par le gouvernement sur le projet de décret relatif à l’application mobile[2], a donc passé StopCovid au tamis du RGPD, en énonçant un certain nombre de recommandations. Ce qui retient l’attention, c’est notamment « la nécessité d’évaluer, de manière dynamique, l’impact effectif du dispositif sur la stratégie sanitaire globale afin de s’assurer de son utilité au cours du temps[3] ».
C’est ainsi que, par décret du 29 mai 2020, a été créé « un traitement de données à caractère personnel, nécessaire au fonctionnement de l’application mobile de suivi de contacts dénommée “StopCovid”, qui permet à ses utilisateurs d’être informés lorsqu’ils ont été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du Covid-19, grâce à la conservation de l’historique de proximité des pseudonymes émis via la technologie Bluetooth ».
L’application a été déployée dans les magasins spécialisés à compter du 2 juin 2020, trois semaines après le déconfinement et près de six semaines avant la fin de l’état d’urgence sanitaire. Mais, lors des premiers contrôles, la Cnil a constaté une série de manquements, tant au regard des dispositions du RGPD qu’au regard de la loi Informatique et Libertés. Ont ainsi été relevés :
- une inobservation de l’obligation de traiter des données personnelles selon les modalités prévues par le décret du 29 mai 2020, en application de l’article 5-1-a) du RGPD ;
- un manquement à l’obligation d’informer les personnes concernées ;
- un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par des sous-traitants pour le compte du responsable de traitement ;
- un manquement à l’obligation de réaliser une analyse d’impact complète ;
- un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement terminal de communication électronique.
Compte tenu du caractère sensible de cette application, la Cnil a décidé de publier la mise en demeure du 15 juillet 2020 qu’elle adressait au gouvernement en lui enjoignant de prendre les mesures correctives dans un délai d’un mois.
Par lettre du 14 août suivant, le ministère lui a apporté des éléments de réponse et des documents relatifs aux mesures prises pour se conformer à la mise en demeure.
Les mesures prises ont notamment consisté a forcer techniquement les utilisateurs a recourir a une nouvelle version de l’application (v1.1) dans le cadre de laquelle le préfiltrage de l’historique des contacts s’effectue au niveau du téléphone. Avec cette version, il est désormais impossible que l’intégralité de l’historique des contacts de l’utilisateur soit transmise au serveur central, sans préfiltrage au niveau du téléphone. Le syste me de « reCaptcha » proposé par la société Google a également été abandonné. Il n’y a donc plus d’opérations de lecture et d’écriture sur le terminal en lien avec cette technologie, meme pour les utilisateurs de la premie re version de l’application (v1.0).
Satisfaite, la présidente de la Cnil a, par courrier du 3 septembre dernier, prononcé une clôture de la mise en demeure. Enfin, mais ce n’est certainement pas fini, la Cnil a rendu une délibération le 10 septembre 2020 portant avis public sur les conditions de mise en oeuvre des systèmes d’information développés aux fins de lutter contre la propagation du virus.
L’autorité de régulation n’en restera pas là puisqu’elle a annoncé deux vagues de contrôles sur les trois systèmes d’information.
À la recherche d’indicateurs de performance
Le gouvernement a décidé de proroger le régime transitoire institué à la sortie de l’état d’urgence sanitaire en faveur duquel le Conseil d’État s’est prononcé, tout en rappelant que la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en oeuvre de manière adéquate et proportionnée à cet objectif[4].
La haute juridiction administrative a également souligné que le droit au respect de la vie privée garanti par l’article 2 de la Déclaration de 1789 et par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales implique que les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées[5].
Or, comment évaluer l’utilité de ces dispositifs et mesurer la proportionnalité entre l’atteinte aux droits et l’objectif d’intérêt général poursuivi si les acteurs du contrôle ne disposent pas des informations nécessaires ?
Les institutions et la presse indiquent simplement qu’à ce jour 231 871 patients zéros et plus de 600 000 cas contacts ont été identifiés par Sidep et Contact Covid. Téléchargée deux millions de fois, l’application StopCovid, quant à elle, a détecté 72 cas contacts, et 1 190 personnes s’étaient déclarées positives sur l’application, sur situation arrêtée au 19 août 2020.
Le ministère n’a toutefois pas communiqué le nombre de désinstallations et d’applications bel et bien actives. La Cnil déplore une absence d’analyse relative aux statistiques d’usage, aux résultats d’éventuelles enquêtes menées auprès des utilisateurs, des professionnels ou du grand public et au nombre de cas identifiés grâce à l’application.
Elle souhaite pouvoir « disposer d’indicateurs de performance des systèmes d’information déployés, afin de pouvoir mesurer leur efficacité au regard des objectifs poursuivis ».
De l’absolue nécessité d’un contrôle continu
Dans sa dernière délibération, la Cnil relevait qu’à l’issue de ses contrôles sur StopCovid « l’évaluation formelle de l’effectivité de l’application [n’avait] pas encore débuté et que le calendrier du travail d’évaluation [n’avait] pas encore été établi par le ministère ».
Institué par la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, notamment son article 11, le Comité de contrôle et de liaison Covid-19 (CCL-Covid) a déclaré, par la voix de son président, l’existence d’« une incohérence entre d’un côté un investissement important pour le développement de l’outil et de l’autre une absence de mobilisation des pouvoirs publics pour promouvoir ce dispositif auprès des Français ».
L’absence de promotion de l’outil, due à un déficit de communication, expliquerait l’adoption insuffisante de l’application par les Français, et donc l’absence de masse critique empêchant tout travail d’évaluation digne de ce nom.
Nous sommes donc face à un paradoxe. Alors que l’épidémie semble manifestement connaître un rebond, les minces résultats, connus à ce jour, de l’application justifient-ils toujours son déploiement ?
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris
[1] Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid » (demande d’avis n° 20008032).
[2] Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
[3] On retiendra également :
« – l’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles ;
– la nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs ;
– la consécration, dans le décret à venir, d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées tant sur l’ordiphone de l’utilisateur que sur le serveur central ;
– l’opportunité de développer une technologie alternative à celle utilisée pour vérifier que l’application est bien utilisée par une personne physique. En effet, le recours à un système de “captcha” fourni par un tiers était non seulement susceptible d’entrainer la collecte de données à caractère personnel non prévues dans le décret, mais également d’entrainer le transfert de données hors de l’Union européenne ainsi que des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur ;
– le libre accès à l’intégralité du code source de l’application mobile et du serveur. »
[4] Conseil constitutionnel, décision n° 2012-652 DC du 22 mars 2012, cons. 8.
[5] Conseil d’État, avis n° 400104 du 1er mai 2020 sur le projet de loi prorogeant l’état d’urgence sanitaire et complétant ses dispositions.