Applications de traçage numérique : un défi de souveraineté européenne
Depuis avril 2020, des pays européens ont adopté les applications de traçage numérique en ordre dispersé, comme un moyen de lutte contre la pandémie. La plupart de ces pays ont opté pour l’API (Application Programming Interface) développé par les géants de la technologie américaine, Apple et Google1. Ce protocole s’appuie sur un système décentralisé, les notifications de cas contacts étant opérées directement par l’application auprès des usagers de smartphones, ayant activé l’application, et qui ont été en contact avec la personne contaminée. Ce mode de collecte de données a été préconisé par l’Union européenne dans un communiqué de presse le 16 juin 20202, afin de faciliter l’interopérabilité entre les applications de traçage. Dans l’UE, seules la Hongrie et la France ont déployé une application basée sur un système centralisé de notifications. À l’heure actuelle, ces applications ont été inefficaces, le nombre de notifications de cas contacts étant très faible par rapport au nombre total de contaminations3.
L’API Apple-Google : une solution globalisée
L’utilisation de l’API Apple-Google a l’avantage de combiner un socle technologique commun fonctionnant sur la quasi-totalité des smartphones utilisés dans le monde4. Ce protocole permet l’utilisation en filigrane de la technologie Bluetooth pour enregistrer les cas contacts, sans que l’application de traçage soit ouverte en permanence. Cela représente un avantage d’utilisation significatif par rapport à celles ne fonctionnant pas sur ce protocole et nécessitant d’avoir l’application ouverte en permanence. Un autre avantage du système décentralisé consiste à ne pas avoir à télécharger l’application d’un autre pays utilisant le même système. Les premiers pays à avoir testé cette interopérabilité sont l’Allemagne, l’Italie et l’Irlande. Ainsi, il n’est pas nécessaire de télécharger l’application locale lors d’un voyage vers un de ces pays si l’on a déjà une autre application de ce type. Il est noté qu’un réseau e-Santé a été constitué dans le cadre de l’article 14 de la Directive 2011/24/EU, réunissant sur la base du volontariat les autorités nationales chargées de la santé en ligne désignées par les États membres. Ce réseau a émis des lignes directrices pour l’interopérabilité des applications de traçage numérique à l’attention de la Commission européenne et des États membres, en se référant à l’API Apple-Google5.
TousAntiCovid : une technologie "souveraine" mais esseulée
Par contraste, la France a fait le choix délibéré d’une application bâtie sur une technologie souveraine, impliquant l’INRIA6 et l’ANSSI7, ainsi que des entreprises françaises telles que Capgemini, Orange et Dassault Systèmes. L’application française utilise le protocole Robert (Robust and Privacy-Preserving Proximity Tracing) développé par une équipe de chercheurs français et allemands, qui met en œuvre une approche centralisée des collectes de données. Le choix français d’une technologie souveraine est louable, mais se trompe d’échelle. La lutte contre une pandémie nécessite des réponses globales et non à l’échelle d’un seul pays. Dans ces conditions, l’application française se trouve isolée, sans interopérabilité avec les applications des autres pays, ce qui lui a valu les critiques de la Commission européenne.
Les enjeux des technologies souveraines
L’implication des géants non européens de la technologie dans les domaines aussi sensibles que la santé pose des questions, notamment en matière de protection des données personnelles.
Dans son arrêt du 16 juillet 2020, dit "Schrems II"8, la Cour de justice de l’Union européenne a invalidé le Privacy Shield, l’accord conclu en 2016 par la Commission européenne et les États-Unis pour le transfert des données hors UE, qui avait lui-même succédé au Safeharbor Agreement, invalidé par la même cour en 2015 et pour des raisons similaires. Dans l’arrêt de juillet 2020, la Cour a jugé que la législation américaine permettant une collecte en vrac des données personnelles par les services de renseignement, sans possibilité effective de recours par les personnes concernées devant les juridictions nationales, était contraire au RGPD9. Or, la loi américaine, dite Cloud Act10, impose à tous les fournisseurs de services de communication électronique ou de services informatiques à distance de préserver, de sauvegarder, et de divulguer aux autorités le contenu de toute communication électronique et toute information concernant un client ou abonné. Et peu importe où ces informations sont localisées, aux États-Unis ou en dehors du sol américain, dès lors que ces entreprises possèdent ou contrôlent ces informations.
Dans ce cadre, le recours du "Health Data Hub", plateforme de données de santé créée fin novembre 2019 afin de faciliter le partage de ces données de santé11, à Microsoft Azure pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement, a provoqué la saisine du Conseil d’État. Lequel, saisi en référé12, a jugé dans son ordonnance du 13 octobre 2020 que dans le cadre du contrat avec Microsoft Azure, aucune donnée personnelle ne pouvait être transférée en dehors de l’UE. Le Conseil a émis certaines craintes quant au potentiel accès à ces données par les services de renseignements américains. À la suite de cette ordonnance, le ministère s’est engagé à recourir à une solution technique permettant de ne pas exposer les données hébergées par le Health Data Hub à d’éventuelles demandes d’accès illégales au regard du RGPD dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux ans13.
En conclusion
Même si les applications basées sur le protocole Apple-Google pour les applications de traçage numérique ne peuvent pas ipso facto être soumises au Cloud Act américain, il est permis de se poser la question de l’immixtion des entreprises américaines dans le domaine de la santé, et de craindre que, sur la base du constat de leur inefficacité actuelle, les applications de traçage futures ne soient plus invasives en termes de traitement des données personnelles, et contrôlées par des géants de la technologie non européens. Dès lors, le développement de technologies européennes souveraines dans des domaines aussi sensibles que la santé, mais également l’agriculture et les télécommunications, devrait être encouragé, tel le projet franco- allemand GAIA-X14 pour un cloud européen et souverain, ou la plateforme API-AGRO pour l’échange de données agricoles.
SUR L’AUTEUR. Constantin a fondé Pavléas Avocats en 2001, cabinet d’avocats spécialisé dans le droit des NTIC. Il assiste ses clients dans la négociation de contrats complexes dans le domaine des technologies et les conseille en matière de protection des données personnelles. Il intervient régulièrement en qualité de conseil PI dans le cadre d’opérations de fusions et acquisitions. Constantin dirige la Majeure Droit du Numérique et Propriété Intellectuelle du Mastère Droit et Pratique des Affaires de l’école de droit HEAD.
Notes
1 https://www.lemonde.fr/pixels/article/2020/04/10/coronavirusapple-et-google-proposent-un-outil-commun-pour-lesapplications-de-tracage-des-malades_6036278_4408996.html
2 https://ec.europa.eu/health/sites/health/files/ehealth/docs/ mobileapps_interoperabilityspecs_en.pdf
3 Au 15 février 2021, selon les données affichées par l’application TousAntiCovid, il n’y a eu que 78 630 notifications de cas contacts depuis le 2 juin 2020, pour 13 035 074 personnes ayant activé l’application, soit 20 % de la population française, et 3 465 163 cas détectés de Covid-19 depuis le début de la pandémie (selon les données de la direction générale de la santé).
4 Smartphones utilisant les systèmes d’exploitation Android de Google, et iOs pour les iPhones d’Apple.
5 https://ec.europa.eu/health/sites/health/files/ehealth/docs/ mobileapps_interoperabilityspecs_en.pdf.
6 Institut national de recherche en sciences et technologies du numérique.
7 Agence Nationale de la Sécurité des Systèmes d’Information.
8 https://eur-lex.europa.eu/legal-content/FR/ TXT/?uri=CELEX:62018CJ0311.
9 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
10 Clarifying Lawful Overseas Use of Data Act ou Cloud Act, entré en vigueur le 23 mars 2018, sur l'accès aux données de communication, notamment opérées dans le Cloud.
11 https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-healthdata-hub
12 https://www.conseil-etat.fr/actualites/actualites/health-data-hubet-protection-de-donnees-personnelles-des-precautions-doiventetre-prises-dans-l-attente-d-une-solution-perenne
13 https://elections.cnil.fr/en/node/120008
14 https://www.lemonde.fr/economie/article/2020/11/20/cloudeuropeen-l-alliance-gaia-x-prend-son-envol_6060503_3234.html