Le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » est venu fixer les modalités de mise en œuvre. Il s’agit très clairement de créer un traitement de données à caractère personnel dénommé « StopCovid », lequel repose sur une application mobile téléchargeable pour tout un chacun qui sera en connexion avec un serveur central. Ce dispositif est sous la responsabilité du ministre chargé de la santé. Le présent article a pour objet d’analyser le dispositif mis en place.

La loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions a dans son article 11 a créé d’un système d’information aux seules fins de lutter contre l’épidémie de covid-19 dénommé « StopCovid ».

Il est bon de rappeler que dans sa décision n° 2020-800 DC du 11 mai 2020, Loi prorogeant l’état d’urgence sanitaire et complétant ses dispositions, le Conseil constitutionnel, s’agissant de ce système d’information de traitement des données, formulé trois réserves d’interprétation et censuré partiellement. La première réserve porte sur les éléments collectés et l’effacement de ceux-ci. Il a indiqué que cette suppression de données devait s’étendre également aux coordonnées de contact téléphonique ou électronique des personnes concernées par ce système. La deuxième réserve porte sur la nécessité pour le pouvoir réglementaire de définir les modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité. La troisième réserve a trait aux organismes concourant au dispositif de collecte des données. Il a également précisé que le recours aux sous-traitants doit s’effectuer en conformité avec les exigences de nécessités et de confidentialité. Par ailleurs, le juge constitutionnel a censuré la deuxième phrase du paragraphe III de l’article 11 de la loi déférée portant sur le champ des organismes assurant l’accompagnement social des personnes concernées, en relevant que cet accompagnement ne relevait pas directement de la lutte contre l’épidémie et que dès lors rien ne justifiait que l’accès aux données à caractère personnel traitées dans le système informatif ne soit pas subordonné au recueil du consentement des intéressés.

Comme précisé par l’article 11 précité, le système de collecte de données ne peut être mis en œuvre qu’aux seules fins de lutter contre la propagation de l’épidémie de covid-19 et pour la durée strictement nécessaire à cet objectif ou, au plus, pour une durée de six mois à compter de la fin de l’état d’urgence sanitaire déclaré par l’article 4 de la loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19.

Le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » est venu fixer les modalités de mise en œuvre. Il s’agit très clairement de créer un traitement de données à caractère personnel dénommé « StopCovid », lequel repose sur une application mobile téléchargeable pour tout un chacun qui sera en connexion avec un serveur central. Ce dispositif est sous la responsabilité du ministre chargé de la santé. Le présent article a pour objet d’analyser le dispositif mis en place.

I - L’objectif du traitement de données à caractère personnel.

Le traitement de données a pour finalités les quatre objectifs suivant :

1° Informer les personnes utilisatrices de l’application qu’il existe un risque qu’elles aient été contaminées par le virus du covid-19 en raison du fait qu’elles se sont trouvées à proximité d’un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie. Les personnes exposées à ce risque sont désignées ci-après comme « contacts à risque de contamination ».

2° Sensibiliser les personnes utilisatrices de l’application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation.

3° Recommander aux contacts à risque de contamination de s’orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage.

4° Adapter, le cas échéant, la définition des paramètres de l’application permettant d’identifier les contacts à risque de contamination grâce à l’utilisation de données statistiques anonymes au niveau national.

II - Les conditions d’installation de l’applicatif.

L’application StopCovid est installée librement et gratuitement par les utilisateurs sur les équipements mobiles tels que smartphone et tablettes fonctionnant sous les systèmes d’exploitant Android (système PC) et iOS (système Apple). Cet applicatif téléchargé est en connexion avec un serveur central qui assurera le stockage et la transmission de données précises et indispensables pour l’efficience du dispositif mis en place. Ce système permet ainsi à ses utilisateurs d’être informés lorsqu’ils ont été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19, grâce à la conservation de l’historique de proximité des pseudonymes émis via la technologie Bluetooth. Les utilisateurs de l’application ont la faculté d’activer ou non la fonctionnalité de l’application permettant de constituer l’historique de proximité et donc la traçabilité. En cas de diagnostic clinique positif au virus du covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l’application sont libres de notifier ou non ce résultat dans l’application et de transmettre au serveur l’historique de proximité. L’application peut être désinstallée à tout moment. Le décret indique que le code source, c’est-à-dire le texte présentant les instructions composant le programme de l’applicatif sous une forme compréhensible et lisible, mis en œuvre dans le cadre de StopCovid est rendu public et est accessible à partir des sites internet du ministre des solidarités et de la santé et du ministre de l’économie et des finances ainsi que du site internet dédié www.stopcovid.gouv.fr.

Il convient de faire la différence entre deux formes de techniques d’identification souvent confondues : le tracing et le tracking . On parle de technique de tracing lorsqu’elle permet, au moyen d’un téléphone portable, l’information de personnes en contact avec une personne qui s’est déclarée contaminée. Cette technique est fondée sur le volontariat et l’anonymat. A l’opposé, l’autre technique dit de tracking fait appel à un traçage systématique des déplacements d’une personne, automatiquement et sans aucune adhésion des personnes concernées. Il y a une obligation pour celles-ci de déclarer leur état de santé. Ce système repose sur une géolocalisation permanente de la population identifiée et identifiable. Cette technique porte atteinte à l’évidence aux libertés individuelles. Elle est utilisée par certains Etats notamment en Asie. Le système StopCovid est basé sur la technique du tracing, technique notamment utilisée en Europe, la Commission nationale informatique et libertés (CNIL) ayant précisé sur ce point dans son avis du 24 avril 2020, que le système proposé « ne consiste pas à suivre tous les mouvements géographiques des personnes : il ne s’agit de tracer les individus de façon continue (…) mais d’établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l’application. »

III – Les données collectées.

L’article 2 du décret précise que pour la mise en œuvre du traitement sont traitées les données ci-après :

1° Une clé d’authentification partagée entre l’application et le serveur central, générée par ce serveur lors du téléchargement de l’application, qui sert à authentifier les messages de l’application.

2° Un identifiant unique associé à chaque application téléchargée par un utilisateur, qui est généré de façon aléatoire par le serveur central et n’est connu que de ce serveur, où il est stocké.

3° Les codes pays, générés par le serveur central.

4° Des pseudonymes aléatoires et temporaires, qui sont transmis chaque jour par le serveur central à l’application lorsqu’elle se connecte à ce dernier.

5° L’historique de proximité d’un utilisateur, constitué des pseudonymes aléatoires et temporaires émis via la technologie « Bluetooth » par les applications installées sur des téléphones mobiles d’autres utilisateurs qui se trouvent, pendant une durée déterminée, à une distance de son téléphone mobile telle qu’il existe un risque suffisamment significatif qu’un utilisateur qui serait positif au virus du covid-19 contamine l’autre. Les pseudonymes aléatoires et temporaires sont collectés et enregistrés par l’application sur le téléphone mobile de l’utilisateur. Un arrêté du ministre chargé de la santé, pris après avis de l’Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l’un de l’autre.

6° L’historique de proximité des contacts à risque de contamination par le virus du covid-19, correspondant aux pseudonymes aléatoires et temporaires enregistrés par l’application dans les 48 heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l’historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les 15 jours qui précèdent le transfert de l’historique de proximité. Ces données sont transmises par les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent au serveur central. Elles sont alors stockées sur ce serveur et sont notifiées aux applications des personnes identifiées comme contacts à risque de contamination à l’occasion de leur connexion quotidienne au serveur. Ces personnes identifiées comme contacts à risque de contamination reçoivent alors, par l’intermédiaire de l’application, la seule information selon laquelle elles ont été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des 15 derniers jours.

7° Les périodes d’exposition des utilisateurs à des personnes diagnostiquées ou dépistées positives au virus du covid-19, stockées sur le serveur central. Ces données sont collectées et enregistrées par l’application sur le téléphone mobile de l’utilisateur et stockées sur le serveur central en cas de partage par l’utilisateur de l’historique de proximité des contacts à risque de contamination par le virus du covid-19.

8° Les données renseignées dans l’application par les personnes diagnostiquées ou dépistées positives au virus du covid-19 qui décident d’envoyer au serveur l’historique de proximité de leurs contacts à risque :

a) La date de début des symptômes si l’utilisateur est en mesure de donner cette information.

b) Le code aléatoire à usage unique donné par un médecin traitant à son patient suite à un diagnostic clinique positif au virus du covid-19 ou un code aléatoire à usage unique sous forme de QR-code émis par le traitement mentionné à l’article 8 du décret n° 2020-551 du 12 mai 2020 susvisé en cas d’examen de dépistage positif au virus du covid-19 afin que l’utilisateur de l’application soit autorisé par le serveur à partager son historique de proximité.

Le QR-Code (abréviation anglaise signifiant Quick Response Code) est un code-barres qui permet de stocker des informations, lesquelles peuvent être déchiffrées par un logiciel de lecture approprié à partir notamment d’un smartphone ou tout équipement permettant de flasher ce code. Le système « StopCovid » fonctionne à partir d’un QR-Code. L’article 6 du décret ajoute un alinéa à l’article 9 du décret du 12 mai 2020 susvisé ainsi rédigé : « Un QR-code ne comportant aucune information permettant d’identifier la personne concernée est généré aléatoirement puis apposé sur le résultat d’un examen de dépistage au virus du covid-19 et envoyé à la personne ayant effectué le test de dépistage, en cas de résultat positif. »

9° Le statut « contacts à risque de contamination » de l’identifiant de l’application, qui est retenu dès lors qu’un utilisateur de l’application a été à proximité d’un autre utilisateur, ultérieurement dépisté ou diagnostiqué positif au virus du covid-19. Cette donnée est stockée par le serveur central, lorsqu’elle lui a été communiquée par l’utilisateur qui accepte de lui transmettre son historique de proximité des contacts à risque de contamination par le virus du covid-19.

10° La date des dernières interrogations du serveur central.

Le décret précise que les données permettant l’identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement.

De même, les sous-traitants auxquels le responsable du traitement peut recourir dans les conditions prévues à l’article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont accédants ou destinataires des données du traitement strictement nécessaires à l’exercice de leurs missions.

IV – Une durée de traitement limitée.

L’article 3 du décret indique le traitement est mis en œuvre pour une durée ne pouvant excéder 6 mois après la cessation de l’état d’urgence sanitaire déclaré par l’article 4 de la loi n° 2020-290 du 23 mars 2020 susvisée, soit en l’état le 10 juillet 2020. La clé d’authentification partagée et l’identifiant aléatoire permanent sont conservés jusqu’à ce que l’utilisateur désinstalle l’application StopCovid, et au plus tard pour la durée maximale de six mois après la cessation de l’état d’urgence sanitaire.

Les données de l’historique de proximité enregistrées par l’application sur le téléphone mobile sont conservées 15 jours à compter de leur enregistrement par cette application. Lorsqu’elles ont été partagées sur le serveur central, les données de l’historique de proximité des contacts à risque de contamination sont conservées sur ce serveur 15 jours à compter de leur enregistrement par l’application du téléphone mobile de la personne dépistée ou diagnostiquée positive au virus du covid-19. Les données renseignées dans l’application par les personnes diagnostiquées ou dépistées positives au virus du covid-19 qui décident d’envoyer au serveur l’historique de proximité de leurs contacts à risque ne sont pas conservées. Elles ne sont traitées qu’une seule fois afin que l’utilisateur de l’application soit autorisé par le serveur à partager son historique de proximité.

Les actions réalisées par les administrateurs dans le traitement font l’objet d’un enregistrement, qui est conservé pendant une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire. Cet enregistrement comporte l’identification de l’administrateur, les données de traçabilité, notamment la date, l’heure et la nature de l’intervention dans le traitement.

V - Les droits RGPD.

En application de l’article 11 et du i du paragraphe 1 de l’article 23 du règlement (UE) du 27 avril 2016 susvisé, les droits d’accès, de rectification ainsi que le droit à la limitation prévus aux articles 15, 16 et 18 de ce même règlement ne peuvent s’exercer auprès du responsable de traitement. Les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits, conformément aux dispositions des articles 13 et 14 du règlement (UE) du 27 avril 2016 susvisé, au moment de l’installation de l’application StopCovid. Elles sont en outre prévenues qu’en cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu’elles auront été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des 15 derniers jours et informées de la possibilité limitée d’identification indirecte, susceptible d’en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période. Des mentions d’informations sont également publiées sur le site internet dédié www.stopcovid.gouv.fr.

VI - L’obligation d’un rapport d’information.

En application de l’article 5 du décret, le ministre de la santé, responsable de traitement, doit rendre public un rapport sur le fonctionnement de StopCovid dans les 30 jours suivant le terme de la mise en œuvre de l’application, et au plus tard le 30 janvier 2021.

VII - Les avis pertinents rendus par la CNIL et la CNCDH.

Dans sa délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid », la Commission nationale informatique et libertés (CNIL) a émis un avis favorable en attirant l’attention du Gouvernement sur certaines garanties à mettre en œuvre.

Dans son avis rendu le 26 mai 2020, la Commission nationale consultative des droits de l’homme (CNCDH) a rappelé s’agissant sur le système d’information COVID-19, « que l’éventuelle conformité à la réglementation sur la protection des données personnelles n’emporte pas nécessairement respect des droits et libertés fondamentaux. »

Ce rappel de la CNCDH nous parait nécessaire car le dispositif RGPD n’est qu’un outil garantissant le respect de droits des gens sur leurs données personnelles. Il ne protège pas pour autant l’’ensemble des droits fondamentaux dont nous sommes toutes et tous titulaires et que la Constitution ainsi que le droit conventionnel nous garantissent en tant que sujet de droits.

Le fait pour un Etat de respecter les termes du RGPD ne peut constituer intrinsèquement une garantie solide de nos droits fondamentaux.

Cette précision était nécessaire car nous accordons souvent de l’importance dans les débats à des points relevant souvent de l’accessoire en oubliant totalement ce qui est l’essentiel : lutter efficacement contre l’épidémie Covid-19 ne signifie aucunement que nous devons abandonner et concéder nos droits fondamentaux, dont en premier lieu celui se rapportant à la Liberté et à toutes ses déclinaisons.

Patrick Lingibé Membre du Conseil National des barreaux Ancien vice-président de la Conférence des bâtonniers de France Avocat associé Cabinet Jurisguyane Spécialiste en droit public Diplômé en droit routier Médiateur Professionnel Membre de l’Association des Juristes en Droit des Outre-Mer (AJDOM) www.jurisguyane.com