Dans les faits, StopCovid s’appuiera sur le Bluetooth pour collecter les informations des personnes qui seront autour d’un utilisateur à une distance assez proche et pendant une certaine durée. Lorsque deux personnes se croiseront pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistrera les références de l’autre dans son historique. Et si un cas positif se déclare, ceux qui auront été en contact avec cette personne seront prévenus de manière automatique.
Alors que de nombreuses voix se lèvent pour pointer du doigt des risques de violation de la vie privée, pour Olivier Véran, StopCovid est « ;compatible avec le droit européen des données personnelles, avec des données anonymisées ;». « ;Personne n’aura accès à la liste des personnes contaminées, et il sera impossible de savoir qui a contaminé qui. Le code informatique sera public ;» et la Commission nationale de l’informatique et des libertés (CNIL) est « ;étroitement ;» associée aux travaux.
La (CNIL) qui est chargée de veiller à ce que les solutions informatiques ne portent pas atteinte aux droits de l’homme, à la vie privée et aux libertés individuelles ou publiques, vient également de se prononcer sur ce sujet. Lors d’une audition organisée par vidéoconférence par la commission des lois de l’Assemblée nationale, la présidente de la (CNIL), Marie-Laure Denis, a apporté des réponses aux préoccupations que l’usage de l’application StopCovid soulève. Selon la présidente de la CNIL, « ;les textes qui protègent les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisées ou non, pour la protection de la santé publique. Ces textes imposent, essentiellement, de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives ;».
« ;Deux textes sont applicables aux traitements de données de localisation. D’une part, la directive de 2002 sur la protection de la vie privée dans les communications électroniques, dite “ePrivacy” pose un cadre très strict. On déduit de ses articles 5 et 9 que, sauf anonymisation, le traitement de données de localisation, que ce soit via les opérateurs télécoms ou des applications installées par le téléphone (par des opérations de lecture d’informations localisées sur le terminal), est soumis au consentement. Il n’est possible de déroger au consentement, par des “mesures législatives” des États membres, que dans certaines hypothèses limitativement énumérées à l’article 15 de cette même directive, parmi lesquelles figure la “sécurité publique” entendue largement, susceptible de couvrir cette situation. En France, compte tenu de l’impact d’un tel dispositif et de l’article 34 de notre Constitution, il faudrait vraisemblablement une loi pour mobiliser ces exceptions ;».
« ;D’autre part, le RGPD, applicable à tout traitement de données personnelles, notamment de contact tracing, offre un cadre juridique lui aussi exigeant. Il s’applique lorsque les données de localisation ne sont pas traitées de manière anonymisée. Les exigences découlant du RGPD sont, schématiquement, de trois ordres ;».
Étant donné que les données pour faire du suivi de contacts (« ;contact tracing ;») ne reposeront pas sur celles détenues par les opérateurs télécoms, mais plutôt sur celles fournies par les utilisateurs, ce sont les principes du RGPD qui encadrent la collecte de ces données. Après avoir passé en revue les exigences du RGPD, la CNIL fait les recommandations suivantes concernant l’usage d’une application, en l’occurrence StopCovid, pour retrouver de manière anonyme les contacts des personnes potentiellement exposées afin de les avertir et éventuellement les inviter à se faire dépister :
- tout dispositif envisagé devrait être utilisé de manière temporaire, c’est-à-dire uniquement pour la gestion de la crise ;;
- après la crise, les données devront en principe être détruites, ou sinon conservées pendant un temps limité et de façon protégée, pour ne servir qu’à des finalités complémentaires de recherche ou de gestion d’éventuels contentieux ;;
- le stockage des données en local sur le terminal de l’utilisateur devrait être privilégié lorsque cela est possible ;;
- les applications qui s’appuient sur des données Bluetooth, qui sont chiffrées directement sur le téléphone sous le contrôle de son utilisateur, apportent plus de garanties que celles qui s’appuient sur un suivi géolocalisé (GPS) continu des personnes
- un tel dispositif devra, comme tout traitement, respecter le principe de transparence, assurer la sécurité des données et respecter les droits des personnes prévus par le RGPD.
« ;Si un suivi individualisé des personnes était mis en œuvre, il faudrait d’abord, à droit constant, qu’il soit basé sur le volontariat, avec un consentement réellement libre et éclairé — et le fait de refuser l’application n’aurait aucune conséquence préjudiciable. Ensuite, la CNIL veillerait notamment à ce que ce dispositif soit mis en place pour une durée limitée ;».
« ;En revanche, si un dispositif de suivi des personnes était mis en place sur d’autres bases, notamment de manière obligatoire, alors il nécessiterait une disposition législative et devrait, en tout état de cause, démontrer sa nécessité pour répondre à la crise sanitaire ainsi que sa proportionnalité en tenant compte des mêmes principes de protection de la vie privée, et en étant réellement provisoire. À ce jour, les pouvoirs publics français me semblent toutefois, en l’état de leur réflexion, ne pas envisager le recours à un tel dispositif ;».
Quelle que soit l’approche retenue, Marie-Laure Denis a tenu à rappeler qu’il « ;faut se garder de penser qu’une application va tout résoudre, même si les nouvelles technologies peuvent contribuer à une sortie sécurisée du confinement, dans le cadre de la stratégie globale ;». Et d’ajouter, qu’elle « ;appelle régulièrement à la vigilance contre la tentation du “solutionnisme technologique”. Il faut explorer, à fond, les opportunités des technologies, mais aussi leurs limites intrinsèques et leurs risques pour l’identité humaine et les droits des personnes ;».
Source : CNIL (PDF)
Et vous ?
Quels commentaires faites-vous des déclarations de la CNIL ;?
Pensez-vous que l’application StopCovid permettra de sortir de la crise sanitaire une fois mise en application ;?
Voir aussi
Poutine prend des précautions contre le coronavirus alors que le Kremlin dévoile une application de suivi, qui risque de transformer Moscou en « ;camp de concentration numérique ;»
« ;Les mesures de surveillance high-tech contre l’épidémie de Covid-19 survivront au virus et pourront devenir permanentes ;», prévient Snowden à propos de méthodes comme le traçage de smartphones
Certains opérateurs mobiles européens partagent les données de localisation des utilisateurs avec les autorités sanitaires, dans la lutte contre le coronavirus
« ;Les dictatures naissent souvent face à une menace ;» : un expert de l’ONU met en garde contre une menace à long terme pour la vie privée, dans le cadre de la surveillance du coronavirus
Le coronavirus fait sortir de l’ombre l’état de surveillance de la Chine, les sociétés d’IA se targuant de pouvoir identifier dans la rue des personnes ayant même une faible fièvre, selon un rapport