Les applications de traçage numérique qui ont vu le jour dans divers pays européens avec la pandémie de Covid-19 ont pour objectif d’aider à l’identification des cas contacts d’une personne contaminée. Au-delà des questions éthiques et juridiques posées par ces applications, le recours à la technologie pour freiner la pandémie a mis en évidence les problématiques posées par l’utilisation de technologies non européennes dans le domaine de la santé.

Depuis avril 2020, des pays européens ont adopté les applications de traçage numérique en ordre dispersé, comme un moyen de lutte contre la pandémie. La plupart de ces pays ont opté pour l’API (Application Programming Interface) développé par les géants de la technologie américaine, Apple et Google1. Ce protocole s’appuie sur un système décentralisé, les notifications de cas contacts étant opérées directement par l’application auprès des usagers de smartphones, ayant activé l’application, et qui ont été en contact avec la personne contaminée. Ce mode de collecte de données a été préconisé par l’Union européenne dans un communiqué de presse le 16 juin 20202, afin de faciliter l’interopérabilité entre les applications de traçage. Dans l’UE, seules la  Hongrie et la France ont déployé une application basée sur un système centralisé de notifications. À l’heure actuelle, ces applications ont été inefficaces, le nombre de notifications de cas contacts étant très faible par rapport au nombre total de  contaminations3.

L’API Apple-Google : une solution globalisée

L’utilisation de l’API Apple-Google a l’avantage de combiner un socle technologique commun fonctionnant sur la quasi-totalité des smartphones utilisés dans le monde4. Ce protocole permet l’utilisation en filigrane de la technologie Bluetooth pour enregistrer les cas contacts, sans que l’application de traçage soit ouverte en permanence. Cela représente un avantage d’utilisation significatif par rapport à celles ne fonctionnant pas sur ce protocole et nécessitant d’avoir  l’application ouverte en permanence. Un autre avantage du système décentralisé consiste à ne pas avoir à télécharger l’application d’un autre pays utilisant le même système. Les premiers pays à avoir testé cette interopérabilité  sont l’Allemagne, l’Italie et l’Irlande. Ainsi, il n’est pas nécessaire de télécharger l’application locale lors d’un voyage vers un de ces pays si l’on a déjà une autre application de ce type. Il est noté qu’un réseau e-Santé a été constitué dans le cadre de l’article 14 de la Directive 2011/24/EU, réunissant sur la base du  volontariat les autorités nationales chargées de la santé en ligne désignées par les États membres. Ce réseau a émis des  lignes directrices pour l’interopérabilité des applications de traçage numérique  à  l’attention  de  la  Commission européenne et des États membres, en se référant à l’API Apple-Google5.

TousAntiCovid : une technologie "souveraine" mais esseulée

Par contraste, la France a fait le choix délibéré d’une application bâtie sur une technologie souveraine, impliquant l’INRIA6 et  l’ANSSI7, ainsi que des entreprises françaises telles que Capgemini, Orange et Dassault Systèmes. L’application française utilise le protocole Robert (Robust and Privacy-Preserving Proximity Tracing) développé par une équipe de chercheurs français et allemands, qui met en œuvre une approche centralisée  des  collectes de données. Le choix français d’une technologie souveraine est louable, mais se trompe d’échelle. La lutte contre une pandémie nécessite  des réponses globales et  non  à l’échelle d’un  seul  pays. Dans ces conditions, l’application française se trouve isolée, sans interopérabilité avec les applications des autres pays, ce qui lui a valu les critiques de la Commission européenne.

Les enjeux des technologies souveraines

L’implication des géants non européens de la technologie dans les domaines aussi sensibles que la santé pose des questions, notamment en matière de protection des données personnelles. 

Dans son arrêt du 16 juillet 2020, dit "Schrems II"8, la Cour de justice de l’Union européenne a invalidé le Privacy Shield, l’accord conclu en 2016 par la Commission européenne et les États-Unis pour le transfert des données hors UE, qui avait lui-même succédé au Safeharbor Agreement, invalidé par la même cour en 2015 et pour des raisons similaires. Dans l’arrêt de juillet 2020, la Cour a jugé que la législation américaine permettant une collecte en vrac des données personnelles par les  services de renseignement, sans possibilité effective de recours par les personnes concernées devant  les juridictions nationales, était contraire au RGPD9. Or, la loi américaine, dite Cloud Act10, impose à tous les fournisseurs  de services de communication électronique ou de services informatiques à distance de préserver, de sauvegarder, et de divulguer aux autorités le contenu de toute communication électronique et toute information concernant un client ou abonné. Et peu importe où ces informations sont localisées, aux États-Unis ou en dehors du sol américain, dès lors que ces entreprises possèdent ou contrôlent ces informations.

Dans ce cadre, le recours du "Health Data Hub", plateforme de données de santé créée fin novembre 2019 afin de faciliter le partage de ces données de santé11, à Microsoft Azure pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement, a provoqué la saisine du Conseil d’État. Lequel, saisi en référé12, a jugé dans son ordonnance du 13 octobre 2020 que dans le cadre du contrat avec Microsoft Azure, aucune donnée personnelle ne pouvait être transférée en dehors de l’UE. Le Conseil a émis certaines craintes quant au potentiel accès à ces données par les services de renseignements américains. À la suite de cette ordonnance, le ministère s’est engagé à recourir à une solution technique permettant de ne pas exposer les données hébergées par le Health Data Hub à d’éventuelles demandes d’accès illégales au regard du RGPD dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux ans13.

En conclusion

Même si les applications basées sur le protocole Apple-Google pour les  applications de traçage numérique ne peuvent pas ipso facto être soumises au Cloud Act américain, il est permis de se poser la question de l’immixtion des entreprises américaines dans le domaine de la santé, et de craindre que, sur la base du constat de leur inefficacité  actuelle, les   applications de traçage futures ne soient plus invasives en termes de traitement des données personnelles, et contrôlées par des géants de la technologie non européens. Dès lors, le développement de technologies européennes souveraines dans des domaines aussi sensibles que la santé, mais également l’agriculture et les télécommunications, devrait être encouragé, tel le projet franco- allemand GAIA-X14 pour un cloud européen et souverain, ou la plateforme API-AGRO pour l’échange de données agricoles. 

SUR L’AUTEUR. Constantin a fondé Pavléas Avocats en 2001, cabinet d’avocats spécialisé dans le droit des NTIC. Il assiste ses clients dans la négociation de contrats complexes dans le domaine des technologies et les conseille en matière de protection des données personnelles. Il intervient régulièrement en qualité de conseil PI dans le cadre d’opérations de fusions et acquisitions. Constantin dirige la Majeure Droit du Numérique et Propriété Intellectuelle du Mastère Droit et Pratique des Affaires de l’école de droit HEAD.

Notes

1 https://www.lemonde.fr/pixels/article/2020/04/10/coronavirusapple-et-google-proposent-un-outil-commun-pour-lesapplications-de-tracage-des-malades_6036278_4408996.html

2 https://ec.europa.eu/health/sites/health/files/ehealth/docs/ mobileapps_interoperabilityspecs_en.pdf

3 Au 15 février 2021, selon les données affichées par l’application TousAntiCovid, il n’y a eu que 78 630 notifications de cas contacts depuis le 2 juin 2020, pour 13 035 074 personnes ayant activé l’application, soit 20  % de la population française, et 3 465 163 cas détectés de Covid-19 depuis le début de la pandémie (selon les données de la direction générale de la santé).

4 Smartphones  utilisant les systèmes d’exploitation Android   de Google, et iOs pour les iPhones d’Apple.

5 https://ec.europa.eu/health/sites/health/files/ehealth/docs/ mobileapps_interoperabilityspecs_en.pdf.

6  Institut  national de recherche en sciences et technologies du numérique.

7  Agence  Nationale de la Sécurité des Systèmes d’Information.

8 https://eur-lex.europa.eu/legal-content/FR/ TXT/?uri=CELEX:62018CJ0311.

9 Règlement  (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

10 Clarifying  Lawful Overseas Use of Data Act ou Cloud Act, entré  en vigueur le 23 mars 2018, sur l'accès aux données de communication, notamment opérées dans le Cloud.

11 https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-healthdata-hub

12 https://www.conseil-etat.fr/actualites/actualites/health-data-hubet-protection-de-donnees-personnelles-des-precautions-doiventetre-prises-dans-l-attente-d-une-solution-perenne

13  https://elections.cnil.fr/en/node/120008

14 https://www.lemonde.fr/economie/article/2020/11/20/cloudeuropeen-l-alliance-gaia-x-prend-son-envol_6060503_3234.html

 

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023