L'assemblée nationale puis le Sénat se sont prononcés hier soir, mercredi 27 mai, en faveur de l'application. Alors que les craintes autour de celle ci font toujours l’objet de débats houleux, ne serait-il pas temps de se féliciter d’aboutir à une mise en œuvre d’un défi à la fois technologique, légal et éthique dans un contexte de crise sanitaire et de gouvernance complexe ?

La déclaration du Gouvernement relative à l’application STOP COVID vient d’être votée à l’Assemblée nationale puis au Sénat hier soir, le 27 mai 2020. Elle va donc être disponible dans les stores le 2 juin dans le but de prévenir les personnes ayant été à proximité d’une personne testée positive.

La consultation des différentes autorités de contrôle a été large ! CNIL, CNN, ANSSI, Ordre des Médecins, etc. ont été consultés afin de garantir les libertés individuelles et le secret médical.

Outre la dimension technique, réunissant des organisations publiques et privées - dont l’INRIA, Orange, Dassault Systèmes, l’ANSSI et Santé Publique France - la dimension "Libertés individuelles" n’a pas été négligée.

"CNIL, CNN, ANSSI ou encore l'Ordre des Médecins, ont été consultés afin de garantir les libertés individuelles et le secret médical"

Pour rappel, dans un premier avis du 26 avril 2020, la CNIL avait estimé que l’application pouvait être déployée si certaines garanties étaient apportées : utilisation temporaire, durée de conservation limitée, étude de la situation sanitaire, etc.

Dans son deuxième avis publié le 26 mai, la CNIL rappelle que la lutte contre la Covid-19 constitue un impératif majeur et précise que les atteintes portées au droit au respect de la vie privée et à la protection des données à caractère personnel doivent être justifiées par un motif d’intérêt général, être nécessaires et être proportionnées à la réalisation de l’objectif.

Privacy by design

Dès le début du développement de l’application, les organisations impliquées dans ledit développement avaient pris conscience de cet impératif, comme le soulignait la CNIL le 26 avril dernier, qui avait reconnu que l’application respectait le principe de protection des données dès la conception (privacy by design). Dans son second avis, elle reconnait que les "garanties substantielles" du respect des libertés individuelles sont prévues dans cette application de lutte contre l’épidémie de Covid-19.

Les garanties substantielles de Stop Covid

- Stockage dans un serveur central d’identifiants pseudonymes de personnes exposées à la maladie (et non pas les personnes contaminées) ;

- Utilisation de la technologie Bluetooth ;

- Non-utilisation de technologies de géolocalisation ;

- Participation uniquement volontaire ; étant donné que ce volontariat s’applique à toutes les composantes de l’application :

- Recours à des pseudonymes.

Les nouvelles garanties obtenues

- Définition précise des finalités du traitement ; à ce titre, notons que, comme le souligne la Commission, les opérations de recensement des personnes contaminées, l’identification des zones, la prise de contact avec les personnes ou la surveillance des mesures de confinement sont exclues ;

- Responsabilité du traitement confiée au Ministère des Solidarités et de la Santé ;

- Mise en œuvre de mesures techniques de sécurité ; l’application est basée sur le protocole ROBERT (RoBust and privacy-presErving proximity Tracing – une description complète du protocole est consultable sur GitHub : https://github.com/ROBERT-proximity-tracing/documents) spécifié par l’INRIA. Par ailleurs, la CNIL souligne que l’algorithme de chiffrement précédemment privilégié a été modifié par un algorithme recommandé par l’ANSSI.

Concernant la sécurité, il est également utile de noter que l’application fait l’objet d’un programme de bug bounty, permettant ainsi de mobiliser des chasseurs de bugs afin de rechercher les potentielles vulnérabilités de l’application.

De plus, le QR Code du statut de positivité Covid va être généré aléatoirement, donc :

- Aucune conséquences sur les personnes n’installant pas l’application et aucun droit concédé aux personnes volontaires ;

- Fondement juridique explicite et précis (exécution d’une mission de service publique et traitement nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique).

Durée de vie de l'application : 6 mois

Ces garanties supplémentaires permettent ainsi de satisfaire à l’exigence de proportionnalité, d’autant plus que l’application aura une durée de vie temporaire, fixée à 6 mois. Les historiques de proximité des personnes contaminées seront conservées 15 jours, à compter de leur émission.

Concernant les droits des utilisateurs de l’application, ceux-ci peuvent solliciter la suppression de toutes les données, de manière aisée et directement via l’application. Concernant les autres droits, il est important de noter que ni le droit à la portabilité, ni le droit à la limitation, ni le droit de rectification ne sont applicables. De même, le droit d’accès pourrait être écarté, concède la CNIL.

"L‘équilibre entre santé publique, vie privée, économie et justice sociale a été trouvé"

Soulignons également que l’hébergement des données se fera dans des centres de stockage a minima européens. Ces données ne seront donc pas transférées en dehors de l’Union européenne.

Enfin, et il est important de le souligner, la CNIL rappelle la nécessité de délivrer les informations nécessaires au regard du RGPD, et rappelle qu’une attention particulière doit être portée sur l’information des mineurs.

Dans ce contexte, il faut s’interroger sur le point de savoir pourquoi cette application soulève tant d’inquiétude. Il me semble que l‘équilibre entre santé publique, vie privée, économie et justice sociale est ici trouvé, la transparence ainsi que les multiples audits de cette application sont un gage de sécurité auquel il faut faire confiance.

Julie Jacob, avocate spécialisée IP/IT, fondatrice du cabinet Jacob Avocats

Retrouvez ici notre dossier spécial "Gagner la guerre sanitaire"

GUIDE ET CLASSEMENTS

> Guide 2024

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail