Skip to main content

Crise Covid-19 | Le contact tracing comme outil pour accompagner le déconfinement en France - Enjeux juridiques


Cette note a  été mise à jour : https://legalnews.bredinprat.tech/2020/04/crise-du-covid-19-le-contact-tracing_20.html

Résumé
  • Alors que les gouvernements commencent à envisager la sortie du confinement, une variété de solutions technologiques sont examinées pour faciliter ce processus. En France, une application pour smartphone « StopCovid » qui s'appuierait sur les réseaux de proximité Bluetooth pour retracer l'exposition d'un individu à la maladie, est à l’étude. 
  • L’efficacité de cette technologie est fonction du nombre de ses utilisateurs. La question de savoir comment garantir l'utilisation de ce type d’applications par le plus grand nombre revêt donc une importance stratégique pour le gouvernement. L’approche qui recueille le soutien des autorités de protection des données et du gouvernement français est l’utilisation sur une base volontaire d’une application mobile de contact tracing par le grand public. 
  • Si les données traitées par une telle application sont entièrement anonymes et ne contiennent pas de données de localisation, ce qui semblerait être le cas de certaines solutions de traçage de contacts utilisant la technologie Bluetooth, le cadre juridique strict prévu par le Règlement Européen sur la Protection des Données (RGPD) ne s’appliquerait pas. Les dispositions de la Directive ePrivacy sont néanmoins susceptibles de s’appliquer. 
  • En revanche, si les données traitées et produites par l’application ne sont pas entièrement anonymes mais pseudonymes (les individus pouvant être ré-identifiés par tout moyen), toutes les dispositions du Règlement Européen sur la Protection des Données s’appliqueront, en particulier celles relatives au consentement de l’individu. 
  • Selon l’entité qui est responsable de la gestion de l’application et des données correspondantes, la validité d’un tel consentement sera discutable. Mais surtout, fonder l’utilisation de l’application sur le consentement limitera son efficacité en la privant de nombreux utilisateurs et en limitant les possibilités de développement de fonctionnalités nouvelles. 
  • L’opportunité d’une loi qui obligerait le public à utiliser l’application, bien que politiquement risquée et intuitivement indésirable, devrait néanmoins être étudiée. 
  • Une telle loi pourrait permettre d’imposer des garde-fous (limitation des finalités, anonymat obligatoire, interdiction de partage des données, etc.), tout en permettant d’assurer un usage par un nombre suffisant de personnes pour être efficace. La proportionnalité et la nécessité d’une telle loi seraient néanmoins susceptibles d’être contestées.  


Introduction
Après plusieurs semaines de confinement, les gouvernements des pays européens commencent à examiner différentes stratégies pour permettre un retour à la normale. Déjà, une multitude d’initiatives technologiques conçues autour de l’exploitation de données ont vu le jour. Les propositions varient selon l’objectif envisagé et portent aussi bien sur la gestion des mobilités, le respect des mesures de confinement, ou encore l’identification des individus porteurs et des individus dits « contacts ». Les technologies disponibles sont tout aussi variées : bornage téléphonique, GPS (Global Positioning System), systèmes de cartes bancaires, Bluetooth, vidéosurveillance.
Les développements en la matière évoluent très rapidement et le gouvernement français a fait savoir qu’il souhaitait déployer une solution à horizon mi-mai[1]. A ce stade, il semblerait que soit privilégiée une application de contact tracing ou backtracking (« suivi de contact ») que chacun pourrait télécharger sur son téléphone portable et qui permettrait d’être notifié lors d’un contact rapproché et durable avec une personne infectée. Néanmoins, toute initiative technologique qui donnerait lieu au traitement de quantités importantes de données à caractère personnel sensibles sera confrontée aux régimes juridiques européens stricts relatifs à la protection de la vie privée et des données à caractère personnel.
L’objectif de cette note est de décrire en des termes généraux la technologie, pour ce que nous en connaissons à ce stade, ainsi que les défis juridiques qui en résultent. En particulier, les deux voies envisagées – l’adoption d’une loi imposant l’utilisation d’une telle application ou l’utilisation sur une base volontaire – poseront des difficultés et, dans le cas d’un usage volontaire, privera probablement l’application de son efficacité, faute d’utilisateurs suffisants.  
I. Solutions technologiques envisagées et fonctionnement
Le contact tracing ou backtracking consiste en la conservation de l’historique des contacts entre les individus ayant eu un contact rapproché ou durable afin de pouvoir informer, a posteriori, ceux ayant été à proximité d’un individu qui se déclarerait porteur du virus. Il peut également, comme l’explique clairement la note récapitulative du député Mounir Mahjoubi en date du 6 avril[2], selon la technologie utilisée, permettre d’identifier les lieux et zones qui ont accueilli des individus contaminés en suivant leur itinéraire, afin d’informer toutes les personnes qui ont pu y passer un certain temps.
D’un point de vue technologique, le contact tracing peut être mis en œuvre de différentes façons notamment par le biais du traitement de données issues du bornage des opérateurs télécom, de données GPS issues d’applications mobiles, de connexions Bluetooth d’applications mobiles, de données issues de l’usage de cartes bancaires ou de transport, de données issues de la vidéosurveillance. 
L’usage du contact tracing est controversé car il implique le traitement de catégories particulières de données notamment de données de santé mais également, selon la technologie utilisée, de données de localisation par le biais par exemple de la technologie GPS.
La technologie Bluetooth semble néanmoins sortir du lot compte tenu de son caractère plus protecteur de la vie privée et des données à caractère personnel, notamment en raison du fait qu’elle n’implique pas le traitement de données de localisation. La Commission Européenne a d’ailleurs publié, le 8 avril, des recommandations pour la création d'une approche commune à l'égard de ces technologies, dans lesquelles elle a déclaré que « les mesures les moins intrusives mais les plus efficaces [doivent être privilégiées], comprenant le recours aux données de proximité et éviter le traitement des données de localisation ou de déplacement de personnes »[3]. Plusieurs initiatives de chercheurs ont vu le jour pour étudier la meilleure solution Bluetooth de contact tracing et accompagner les États dans leur réflexion, parmi lesquelles le groupement européen PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing)[4] et le groupement DP-PPT d’experts européens (Decentralized Privacy-Preserving Proximity Tracing)[5]. En France, le Comité Analyse Recherche et Expertise (CARE)[6] est notamment chargé de conseiller le gouvernement sur les solutions technologiques appropriées. Le développement de l’application « StopCovid » a été confié à l’Inria et s’intègre dans le projet PEPP-PT[7].
La technologie Bluetooth utilise uniquement des ondes radio pour échanger des informations avec les dispositifs proches et n’utilise pas les données GPS. Ce « traçage de proximité » permet de déterminer les terminaux mobiles qui ont été à proximité d’une personne infectée, sans révéler ni l’identité des individus en question, ni le lieu où ce contact est intervenu. Pour cela, les utilisateurs doivent télécharger une application et activer la fonction Bluetooth de leur téléphone. Cette application permet, comme l’explique le Livre Blanc du groupement DP-PPT et la documentation du PEPP-PT, d’« émettre un identifiant anonyme et éphémère correspondant à l’utilisateur, et également d’enregistrer les identifiants reçus des téléphones passant à proximité », afin de constituer l’historique des contacts. Si un individu est diagnostiqué positif au coronavirus, il le déclare sur son application et, selon le modèle DP-PPT, l’information est envoyée sur un serveur central ce qui permet aux autres utilisateurs de l’application, qui ont enregistré dans leur historique de contacts l’identifiant de l’individu contaminé, d’être notifiés. La solution DP-PPT pourrait peut-être permettre d’établir une « cote de risque » (risk scoring) sur la base du degré de proximité et de la durée du contact avec une personne infectée. La documentation fournie par le PEPP-PT indique que chaque pays définira la façon d’informer et de gérer les contacts exposés à des personnes contaminées. A ce stade, le gouvernement français n’a pas indiqué comment il envisageait de gérer les données relatives aux individus exposés. 
Deux approches de traitement des données sont envisagées : le système peut être centralisé, approche plébiscitée par le DP-PPT et envisagée également par le PEPP-PT, c’est-à-dire que toutes les données (contact, durée du contact, proximité, etc.) sont directement envoyées et traitées par un serveur central qui identifie les individus devenus à risque et déclenche la notification. A l’inverse, dans une approche décentralisée, les informations restent sur les téléphones portables qui traitent en local les informations de proximité. Il semblerait qu’une approche décentralisée soit privilégiée[8].
Dans ces deux modèles, l’intervention d’une autorité de santé est possible, notamment pour recevoir le diagnostic des individus (automatiquement ou avec leur consentement), les informer qu’ils ont été testés positifs et s’assurer que la déclaration de contamination n’est pas trompeuse, en communiquant à l’individu déclaré positif un code d’authentification temporaire à renseigner dans l’application, comme moyen de « certification », et qui déclenchera la notification auprès des personnes « contacts ».
Néanmoins, la technologie Bluetooth ne va pas sans ses défauts également, notamment celui de créer des « faux positifs » ou des « faux négatifs », c’est-à-dire de déclencher des notifications auprès de personnes « contacts » à tort ou à l’inverse de ne pas notifier des personnes à risque, puisqu’elle ne permet par exemple pas d’identifier si les individus ont été dos à dos ou face à face, ou encore si l’individu a touché certaines surfaces contaminées.
En parallèle, de nombreux pays ont développé des initiatives similaires dans le monde. A Singapour par exemple, l’application TraceTogether[9] est utilisée par 19% de la population sur une base volontaire, ce qui n’a pas permis d’éviter pour autant des mesures de confinement qui ont été adoptées depuis en raison d’une seconde vague de contagions. Singapour a par ailleurs couplé cet usage au déploiement d’autres technologies de traçage telles que l’exploitation des données de paiements. L’Allemagne réfléchit également au déploiement d’une application sur le modèle de TraceTogether, étant précisé que la campagne de dépistage y est importante et de nature à améliorer l’efficacité de cette technologie. Le 10 avril, Google et Apple ont annoncé qu’elles pourraient coopérer au développement d’une solution Bluetooth volontaire de contact tracing.
II. Initiatives politiques et législatives 
Au fur et à mesure que l’épidémie évolue, le cadre législatif pour faire face aux différentes conséquences de celle-ci ne cesse de s’étoffer. Ainsi, plusieurs institutions ont publié des recommandations, notamment le Comité Européen sur la Protection des Données (EDPB)[10] et le Contrôleur Européen à la Protection des Données (CEPD)[11] au sujet des traitements de données à caractère personnel dans le contexte de la lutte contre le Covid-19. De nouvelles recommandations de l’EDPB sont attendues prochainement[12].
Plus récemment, la Commission Européenne a publié une recommandation concernant l’adoption d’une approche commune relative aux données mobiles et au contact tracing entre les Etats membres[13]. La Commission rappelle notamment que les lois nationales adoptées concernant ce sujet doivent respecter le cadre législatif européen et qu’une approche globale européenne devrait être privilégiée[14]. La Commission devrait publier une recommandation sur l'approche paneuropéenne pour les applications mobiles COVID-19 le 15 avril et des orientations de la Commission viendront compléter ces dispositifs concernant la protection de la vie privée et des données.[15]
De la même manière, les Etats et leur gouvernement tentent d’organiser un cadre pertinent au plus vite. En France, la CNIL a procédé dès le 6 mars dernier à un rappel sur la collecte de données personnelles dans le contexte de l’épidémie[16]. La présidente de la CNIL, Marie-Laure Denis a été auditionnée par la commission des lois de l’Assemblée Nationale le 8 avril[17] et a fait part des enjeux juridiques liés à la mise en place du contact tracing.
Les députés sont également très actifs : une note parlementaire sur le « traçage des données mobiles dans la lutte contre le Covid-19 », a été publiée le 6 avril par le député Mounir Mahjoubi[18], faisant une analyse éthique des différentes technologies envisagées. Une proposition de loi a été déposée à l’Assemblée Nationale le 7 avril, en faveur de la création d’une application utilisant la géolocalisation pour suivre les déplacements d’une personne contaminée[19].
L’actualité évolue très rapidement et de multiples recommandations, projets de loi ou autres textes, sont à prévoir dans les prochains jours.
III. Enjeux juridiques
A.      De quelles données parle-t-on et quel(s) régime(s) s’y applique(nt) ?

Le dispositif envisagé implique le traitement de plusieurs types de données : l’information selon laquelle l’utilisateur est porteur du virus, les données liées au terminal mobile – identifiant unique, durée de contact entre deux identifiants, proximité de ces identifiants. Il est aussi créateur de nouvelles données : le fait par exemple qu’un individu soit devenu une personne à risque, voire même sa « cote de risque » (risk scoring) qui pourrait être établie, selon le modèle DP-PPT, en fonction de son degré et sa durée de proximité avec une personne contaminée.
Ainsi qu’il a été décrit ci-dessus, les experts indiquent que l’utilisation de la technologie Bluetooth permet l’échange de données anonymes, l’individu correspondant ne pouvant pas être identifié. S’il est difficile de confirmer cette analyse sans connaitre avec précision le fonctionnement de la technologie envisagée, il est néanmoins peu probable que, par le biais notamment de la combinaison avec d’autres données, l’identification de la personne physique soit rendue totalement impossible. Quid par exemple du cas où vous n’auriez croisé au cours des derniers jours que 4 personnes, dont vous savez par ailleurs pour 3 d’entre elles qu’elles ont été testées négatives ? Vous saurez que c’est la 4ème qui vous a contaminé.
En outre, il est possible que certaines de ces données ne restent pas entre l’utilisateur et son téléphone portable mais soient partagées, a minima avec les autorités de santé voire également avec les entreprises privées qui, en tant qu’employeurs, pourraient y voir une utilité (voir-ci-dessous). Dans ces circonstances, les données seraient corrélées à un individu identifiable.
Par conséquent, s’il est possible que certaines des données traitées soient anonymes, il est permis de douter du caractère anonyme de la technologie dans son ensemble et de toutes les données qui en émaneront. Sa conformité à la règlementation applicable – en particulier au RGPD et potentiellement à la Directive ePrivacy – devra donc faire l’objet d’une attention particulière, et ce d’autant plus que parmi ces données à caractère personnel figureront des données de santé, dont le traitement est par principe interdit.
L’utilisation d’une application de contact tracing supposerait alors de recueillir le consentement des utilisateurs, ou à défaut d’adopter une loi autorisant un tel traitement. C’est ce qu’a indiqué Marie-Laure Denis, Présidente de la Commission Nationale de l’Informatique et des Libertés, lors de son audition le 8 avril devant la commission des lois de l’Assemblée Nationale : « concrètement, il faut donc, dans la généralité des cas, soit que les données soient anonymes, soit le consentement, soit un texte qui, en France, devrait être une loi ».
Pourtant, la voie du consentement comme celle de la loi présentent chacune d’importants obstacles juridiques.
B.     Les enjeux juridiques liés à une utilisation de l’application sur la base du consentement

Les pouvoirs publics semblent s’orienter vers une utilisation de l’application sur une base volontaire, comme l’indiquait le secrétaire d’État au numérique Cédric O dans un entretien au journal Le Monde[20].
Si les données traitées par l’application sont entièrement anonymes, le RGPD ne s’appliquera pas. La Directive ePrivacy pourrait néanmoins s’appliquer, si les données de “proximité” sont couvertes par son article 5, 3. (transposé à l’article 82 de la Loi Informatique et Libertés). [21]
Si, en revanche, des données à caractère personnel sont traitées – c’est-à-dire des données pouvant donner lieu à l’identification directe ou indirecte d’un utilisateur –, toutes les dispositions du RGPD s’appliqueront. Les conditions applicables à la validité du consentement des utilisateurs, en particulier s’agissant d’un traitement de données sensibles telles que des données de santé, poseront alors difficulté.
(i)               Pour être valable juridiquement, le consentement au traitement de données à caractère personnel doit en effet être libre (Article 4, 11. du RGPD).
Le consentement n’est pas considéré comme ayant été donné librement lorsqu'il existe un « déséquilibre manifeste » entre la personne concernée et le responsable du traitement de données et que l’individu ne dispose pas d’une « véritable liberté de choix » (considérants 42 et 43 du RGPD). C’est le cas lorsque l’absence de consentement entraine des conséquences négatives pour la personne concernée. Par conséquent, l’identité du responsable de traitement final, c’est-à-dire l’entité déterminant les finalités et les moyens du traitement de données mis en œuvre par l’application, est importante. 
Lorsque le responsable de traitement est une autorité publique, la liberté de choix de l’individu est discutable. (voir considérant 43 du RGPD). C’est d’ailleurs ce que dénoncent certains députés dans une tribune parue le 8 avril craignant que la « pression sociale [fasse] naître un consentement induit » de la part des utilisateurs, qui ne serait alors pas valable juridiquement[22]. Par exemple, s’il est indiqué que les personnes qui utilisent l’application bénéficieront d’un test en priorité, l’adoption de cette technologie ne sera pas considérée comme étant entièrement volontaire puisque le fait de ne pas accepter de l’utiliser entrainerait des conséquences négatives.[23]
Les autorités publiques ne sont en outre pas les seuls acteurs susceptibles d’être intéressés par le type de données produites par l’application.
Le contact tracing étant conçu comme un outil facilitant l’assouplissement des mesures de confinement, et par conséquent le retour physique des salariés dans leurs locaux, les entreprises se demanderont très certainement dans quelles mesures elles pourraient demander, voire imposer, à leurs salariés l’utilisation de ces applications de contact tracing, même si une telle utilisation n’est pas exigée par la loi. En effet, en fonction de la précision et de l’efficacité du dispositif, un employeur pourrait considérer que la mise à disposition de l'application à ses salariés et agents satisferait et serait conforme à son obligation légale de protéger la santé et la sécurité de ses salarié et agents par la prévention des risques professionnels (article L.4121-1 du Code du travail).
Par ailleurs, un salarié a également l'obligation légale de « prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail, conformément aux instructions qui lui sont données par l'employeur [...] », (article L.4122-1 du Code du travail). Selon les recommandations relatives à l’épidémie de Covid-19 publiées par la CNIL, cela signifie qu'un employé ou un agent « doit informer son employeur en cas de suspicion de contact avec le virus ».
Un employeur pourrait donc considérer que les données générées par ces applications devraient leur être communiquées pour leur permettre de gérer les risques liés à la santé et à la sécurité de leurs employés. Il pourrait s’agir par exemple de la « cote de risque » des individus exposés à des personnes infectées, dont le groupement DP-PPT indique dans son Livre Blanc qu’elle pourra être établie par sa technologie sur la base des données de proximité et de durée de contact avec une personne infectée. Les employeurs pourraient être intéressés par le fait de savoir si un employé a une « cote de risque » élevée, de façon à pouvoir s’assurer que cette personne ne vient pas travailler ou que des mesures appropriées sont mises en place pour protéger le reste des employés.
Un employeur ne pourrait néanmoins pas imposer aux salariés de consentir au traitement de leurs données à caractère personnel par l'application. Un consentement « imposé » ne satisferait de toute évidence pas à l'exigence légale selon laquelle le consentement au traitement des données personnelles doit être libre. En outre, compte tenu du déséquilibre significatif inhérent à la relation entre un employeur et son employé, les autorités de protection des données (dont la CNIL), considèrent depuis longtemps que les employés ne peuvent pas fournir un consentement libre aux traitements de données à caractère personnel mis en œuvre par leur employeur. Par conséquent, l’employeur ne pourra pas demander à ses employés de lui communiquer, même avec leur consentement, les résultats obtenus via l’application notamment leur contact avec une personne contaminée.   
(ii)             Le consentement doit également être spécifique et éclairé (Article 4, 11. du RGPD).
En d’autres termes, l’utilisateur doit avoir été informé des modalités du traitement auquel il consent, et en particulier de ses finalités qui doivent être déterminées et explicites. Tout traitement ultérieur mis en œuvre pour des finalités différentes suppose le renouvellement du consentement.
Or le caractère évolutif de la crise, des usages et de l’utilité potentiel(le)s que pourront revêtir ces données, risque de rendre la détermination précise et limitée de ces finalités, difficile. Comme indiqué par Marie-Laure Denis lors de son audition devant l’Assemblée Nationale : « il est aujourd’hui difficile, faute de recul suffisant, d’évaluer les bénéfices effectifs qui pourraient être tirés de l’utilisation de tels dispositifs, d’autant plus que les usages peuvent varier tant au niveau des données collectées que des finalités poursuivies. »
A ce stade, les finalités du traitement de données mis en œuvre via le contact tracing n’ont pas encore été clairement articulées, bien que les recommandations de la Commission Européenne indiquent que les finalités de traitement devront rester restreintes et le partage de ces données avec des tiers, exclu (Paragraphe 20, (6)). Une approche limitant l’usage à des finalités déterminées est donc nécessaire pour gagner la confiance des utilisateurs et permettre l’obtention d’un consentement valable. Néanmoins, en pratique, une telle approche risque de réduire l’utilité du dispositif en limitant les possibilités d’évolution de ses fonctionnalités.
Le déploiement, à droit constant, d’une application de contact tracing basé sur le volontariat, supposerait donc, comme l’a rappelé la Présidente de la CNIL, que le consentement soit « réellement libre et éclairé - et [que] le fait de refuser l’application n’[ait] aucune conséquence préjudiciable » ce qui, compte tenu de ce qui précède, semble être complexe.
En outre, d’un point de vue pratique, assujettir l’utilisation de l’application au consentement la priverait probablement d’un grand nombre d’utilisateurs, ce qui affecterait l’efficacité – et donc la nécessité – du dispositif dans son ensemble[24].
L’alternative consistant en l’adoption de loi pourrait permettre de contourner les enjeux juridiques liés au consentement, mais va également avec son lot de difficultés.
  1. Les enjeux juridiques liés à l’adoption d’une loi rendant obligatoire l’utilisation de l’application de contact tracing

Pour s’assurer de l’utilité d’une application de contact tracing tout en permettant d’encadrer son usage strictement par la mise en place de garde-fous dont le non-respect serait sanctionné, le gouvernement ne devrait pas se priver d’étudier l’adoption d’une loi qui rendrait l’utilisation de cette application obligatoire. Le risque de cette approche est que, selon notamment les données traitées et les usages autorisés, une telle loi pourrait constituer une atteinte au droit au respect de la vie privée consacré par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés (CEDH), interprété conformément aux articles 7 (Respect de la vie privée et familiale) et 8 (Protection des données à caractère personnel) de la Charte des droits fondamentaux de l’Union européenne. C’est d’ailleurs ce qu’indique la Commission européenne dans ses recommandations : « Compte tenu des fonctionnalités des applications […], leur utilisation est susceptible d’affecter l’exercice de certains droits fondamentaux, parmi lesquels le droit au respect de la vie privée et familiale » (paragraphe 15).
Bien que l’article 8(2) de la CEDH prévoit que la protection de la santé puisse justifier une restriction par une autorité publique du droit au respect de la vie privée, cette ingérence doit respecter certaines conditions dont celle d’être « nécessaire dans une société démocratique ». L’État doit être en mesure de démontrer qu’il existe un besoin social impérieux justifiant cette ingérence, et les mesures adoptées doivent en tout état de cause être proportionnées à l’objectif visé. Cette exigence de proportionnalité et d’adéquation est également prévue par la jurisprudence du Conseil constitutionnel rendue en la matière.
Les États disposent d’une certaine marge d’appréciation dans l’évaluation du « besoin social impérieux ». Une loi pourrait intégrer des garde-fous de nature à limiter l’atteinte aux libertés fondamentales, tels que la restriction du type de données qu’une telle application pourrait traiter, l’anonymisation obligatoire. En outre, la finalité pour laquelle l’application serait utilisée serait explicite et déterminée (et limitée à la crise du Covid-19), et toute utilisation des données pour d’autres finalités ou communication de ces données à des tiers seraient explicitement interdites ou clairement définie.
Cela étant dit, quel que soit son contenu, une telle loi est susceptible d’être contestée. L’État devra alors être en mesure de démontrer un lien de causalité clair entre le traitement de données mis en œuvre par le biais des technologies de contact tracing et la protection de la santé des individus. En d’autres termes, la technologie doit être efficace et il doit pouvoir être prouvé que son usage contribue à réduire la propagation du Covid-19[25]. A défaut, le caractère nécessaire et proportionné de l’atteinte au droit au respect de la vie privée pour les besoins de la protection de la santé sera difficile à soutenir. Or l’efficacité d’un tel dispositif dépendra en grande partie de la politique de dépistage mise en œuvre par le gouvernement et du nombre d’utilisateurs effectifs de cette technologie[26].
IV. Conclusion
Le déploiement éventuel d’une application de contact tracing rapide risque d’être confronté à des difficultés : questionnements autour du degré d’anonymat des données, difficulté à gagner la confiance et l’adhésion des utilisateurs, validité du consentement, difficulté politique à faire adopter une loi imposant l’usage d’une telle application.
Si les nouvelles technologies et l’exploitation de données sont des moyens précieux pour aider à la gestion d’une pandémie de cette ampleur, les réponses doivent être réfléchies eu égard aux enjeux juridiques et aux difficultés techniques qu’elles soulèvent. Le gouvernement, qui ne semble envisager que la voie de l’usage volontaire à ce stade, pourrait étudier l’option d’une loi qui devrait alors intégrer des garde-fous indispensables tout en permettant un usage massif puisqu’il s’agit là de la seule façon de rendre le dispositif utile. En s’exposant néanmoins à la contestation probable d’un tel texte. 






[1] Cédric O, secrétaire d’Etat au numérique, a indiqué le 9 avril qu’une application pourrait être prête à l’emploi d’ici 3 à 6 semaines - https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
[3] https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
[4] https://www.pepp-pt.org/
[5] https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf
[6] https://solidarites-sante.gouv.fr/actualites/article/installation-du-comite-analyse-recherche-et-expertise-care
[8] https://techcrunch.com/2020/04/06/eu-privacy-experts-push-a-decentralized-approach-to-covid-19-contacts-tracing/
[9] https://www.tracetogether.gov.sg/
[10]https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf
[11] https://edps.europa.eu/sites/edp/files/publication/2020-04-06_eu_digital_solidarity_covid19_en.pdf
[12] https://edpb.europa.eu/news/news/2020/twentieth-plenary-session-european-data-protection-board-scope-upcoming-guidance-data_fr
[13] https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
[14] Considérant 17 de la Recommandation
[15] Thierry Breton, Commissaire européen au Marché intérieur, a déjà indiqué que les recommendations prévoieraient certaines “lignes rouges” s’agissant des technologies de contact tracing, et que l’usage volontaire serait l’une d’entre elles.
[16] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
[17] https://www.cnil.fr/sites/default/files/atoms/files/propos_liminaire-audition_commission_des_lois-assemblee_nationale-8-04-2020.pdf
[18] http://d.mounirmahjoubi.fr/TracageDonneesMobilesCovidV1.pdf
[19] http://www.assemblee-nationale.fr/dyn/15/textes/l15b2800_proposition-loi
[20] https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
[21] « Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ». Il est en effet possible que cet article 5(3) de la Directive ePrivacy s’applique s’il couvre les données de contact échangées dans le cadre de l’utilisation de l’application. Leur traitement requiert alors une possibilité d’« opt out ». Cette disposition, transposée en droit français à l’article 82 de la Loi Informatique et Libertés, impose que les utilisateurs doivent être informés des moyens dont ils disposent pour s’opposer au traitement de telles données. Les conséquences en termes de degré d’adhésion et donc d’efficacité du dispositif se poseraient alors aussi, quand bien même ces données seraient anonymes.
[22] https://www.lefigaro.fr/vox/politique/tribune-de-15-deputes-nous-avons-besoin-d-un-depistage-massif-pas-d-un-pistage-massif-20200408
[23] Il s’agit d’une approche suggérée par le journaliste Christophe Barbier, le 13 avril sur BFM TV.
[24] Selon les sondages, le 1er avril, 48% des personnes interrogées à l’installer « sans aucun doute » et 31% à le faire « probablement » (https://www.lemonde.fr/pixels/article/2020/04/01/coronavirus-les-francais-favorables-a-une-application-mobile-pour-combattre-la-pandemie-selon-un-sondage_6035233_4408996.html). Le 12 avril, 46% des français étaient prêts à activer l’application sur leur téléphone.
[25] Un des obstacles à cet égard est le taux de pénétration des smartphones en France. Selon des données de 2019, 79,8% des français ont un smartphone – une incertitude demeurant sur le fait de savoir si cela inclut les enfants ou non. Ceci est une difficulté aussi si la voie du consentement est choisie, puisque le nombre de volontaires pour utiliser l’application sera encore inférieur au taux de pénétration.
[26] La proposition de loi présentée le 7 avril à l’Assemblée Nationale cherche à permettre l’utilisation de données de géolocalisation pour procéder au contact tracing. Cette proposition prévoit un usage volontaire de l’application, ce qui interroge quant à l’utilité de ce texte et à sa capacité à s’assurer de l’usage de cette technologie par le plus grand nombre.


Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension