Le gouvernement planche officiellement sur une application de tracking pour lutter contre le Coronavirus. Mais entre la défense de l’intérêt général et l’atteinte à la vie privée, la frontière est fragile. La France peut toutefois compter sur le RGPD.

Pour vaincre définitivement le Coronavirus, nombreux sont les scientifiques ou les dirigeants politiques qui estiment indispensable la mise en place de solutions de tracking. Certains pays ont adopté des mesures d’urgence restreignant nos libertés individuelles. De nombreuses applications mobiles ont été développées pour suivre la progression du Covid-19 et les déplacements des personnes contaminées.

De la Chine à Israël, en passant par Singapour et la Corée-du-Sud

Le schéma asiatique est un parfait exemple de ce phénomène. Les autorités chinoises, via l’application Aplipay Health Code, contrôlent les déplacements de la population : chaque citoyen dispose d’un QR code basé sur une couleur reflétant leur potentielle contamination. Singapour et la Corée du Sud utilisent pour leur part l’application « Trace-together » qui permet de repérer les personnes contaminées ainsi que celles qui ne respecteraient pas les distanciations sociales. L’application fonctionne sur le principe de connexion en Bluetooth. Lorsque ce dernier est activé, il permet de savoir si l’on a croisé une personne touchée par le Covid-19. Les données sont effacées au bout de 21 jours. L’application ne collecte pas les données de géolocalisation des personnes et est basée sur le principe du volontariat.

En Israël, il existe une application dénommée  Amagen, soit, le bouclier. Elle permet de savoir si on est entré en contact des personnes contaminées. Utilisée sur la base du volontariat, elle alerte les utilisateurs s'ils se sont rendus à un endroit en même temps qu'un malade du Covid. L’application collecte des informations GPS et SSID (réseau WiFi) du terminal mobile d'un utilisateur tout au long de la journée. Les données sont enregistrées uniquement sur l'appareil mobile en interne et ne sont pas transmises aux autorités. Le code source de l'application a été publié sur GitHub sous la licence MIT afin que d'autres pays puissent également l’utiliser.

Par ailleurs, le Ministre de l’intérieur israélien utilise une application qui permet de suivre les personnes malades. Le gouvernement a autorisé les services secrets (Shin Bet) à tracer les malades en confinement. En cas de violation du confinement, c’est l’amende assurée. Il n’y a aucun accord préalable à cela et cet enregistrement s’impose d’office. En pratique, il s’agit de suivre - durant 30 jours - les données de localisation des téléphones portables de personnes infectées, et de leur entourage dans les 14 jours avant qu’elles aient été testées. Ces données sont transmises au ministère de la Santé qui informe par SMS les personnes susceptibles d’avoir été contaminées, en leur demandant de rester confinés.

Du côté Européen, une nouvelle application à l'initiative d'un groupement de chercheurs (dont la France) envisage le suivi de personnes contaminées via un projet baptisé PEPP-PT  (Pan-European Privacy Presserving Proximity Tracing). Ce projet intègrera un outil de traçage numérique anonyme qui préservera la confidentialité et sera conforme au RGPD. L’application utilisera le Bluetooth dans un cadre anonyme et sur la base du volontariat. Elle stockera via un cryptage renforcé l'historique des connexions entre les appareils dans le smartphone et non sur un serveur central et ce pendant une durée de deux semaines. Seules les autorités sanitaires locales, considérées comme des tiers "de confiance", seront autorisées à télécharger les données.

En France, quels fondements juridiques ?

Dans le prolongement de cette analyse, le cabinet de Cédric O, secrétaire d’État en charge du numérique a dévoilé les contours d’un projet d’application de tracking baptisé Stop Covid. Ce projet vise à développer une application mobile alertant les individus qu’ils ont croisé une personne contaminée. Cette application est basée sur le volontariat et l’anonymat.

"L'application française StopCovid est basée sur le volontariat et l'anonymat"

La question principale est de savoir comment concilier le secret médical, la santé publique et le respect des libertés individuelles ? En cas d’application de back tracking, il faut savoir que si les données sont anonymes, et si le consentement est requis, le RGPD n’a pas vocation à s’appliquer strico sensu. Toutefois, tous ses principes doivent s’appliquer : proportionnalité et minimisation de la collecte, durée de conservation limitée, destinataires identifiés, mesures techniques de protection des datas, mise en place de process pour l’exercice des droits…

On peut à cet égard souligner que l’identification des lieux existe déjà, sans que personne s’en étonne. Citons Waze ou Google qui utilisent déjà des applications permettant aux villes de connaitre les trajets de ses utilisateurs et donc d’observer des pratiques collectives de fréquentation de lieux.

En revanche, en cas de mise en place d’une application de contrôle des confinements individuels, les risques d’atteinte aux libertés individuelles sont plus délicats. L’accès aux données GPS et au bornage des opérateurs télécom peut porter atteinte à la vie privée des individus.

L’article 6 du RGPD relatif à la licéité du traitement prévoit que les responsables de traitement doivent respecter l’une des conditions énumérées, à savoir le consentement de la personne concernée. Par exception, il est possible de traiter en toute légalité des données personnelles malgré l’absence de consentement des personnes lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. Dès lors en cas d’atteinte aux intérêts vitaux, la collecte et le traitement de données s’inscrivent dans ce cadre dérogatoire et permettent de traiter légalement les données personnelles malgré l'absence de consentement. La protection de la santé publique relève des exceptions du RGPD.

Ceci étant, il est clair qu’il faut privilégier la nécessité du consentement libre et éclairé des utilisateurs dans le cadre de la mise en place d’une application de tracking, d’une durée courte d’utilisation, et de mesures de protection informatiques, telles que le chiffrement. Chaque citoyen doit savoir quelles données les concernant sont susceptibles d’être traitées, par qui, pour quelles finalités, dans quelles conditions et avec qui leurs données sont partagées. Faisons preuve de créativité, de souplesse et d’ouverture pour que la sortie du confinement se fasse dans les meilleures conditions et surtout pour éviter un potentiel rebond post confinement.

Julie Jacob, avocate spécialisée IP/IT, fondatrice du cabinet Jacob Avocats

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023