Vincent Bru - Député de la 6ème circonscription des Pyrénées-Atlantiques

Retrouvez toutes les activités parlementaires de Vincent Bru - député de la 6ème circonscription des Pyrénées-Atlantiques

Le projet d’application de tracing StopCovid

Cadre juridique

L’usage de données personnelles fait l’objet d’un encadrement juridique contraignant en France et en Europe reposant sur :

  • la loi Informatique et libertés de 1978
  • le règlement général sur la protection des données (RGPD) de 2016 
  • la directive ePrivacy de 2002 sur la protection de la vie privée dans les communications électroniques.
  • Par ailleurs, La Cour Européenne des Droits de l’Homme (CEDH) rattache au droit au respect de la vie privée posé par l’article 8 de la Convention, la protection des données personnelles

Les principes :

  • Obligation de consentement explicite et positif à la collecte de données personnelles. En principe, il ne peut y avoir de collecte de données à l’insu des intéressés et pas de collecte forcée. Cependant, il peut exister d’autres bases légales que le consentement pour le recueil de données (voir dispositions dérogatoires)
  • Interdiction du profilage au moyen de systèmes automatisés dans le but d’ouvrir ou de restreindre des droits individuels ; 
  • Confidentialité du contenu des communications électroniques ; 
  • Droit à l’effacement des données personnelles collectées au bout d’un certain délai 
  • Absence de publicité des données individuelles collectées, impliquant lorsque des 
  • données sont mises à disposition de tiers une exigence d’anonymisation des informations. 

A ces règles s’ajoutent des exigences générales de proportionnalité de la collecte de données aux finalités des traitements, de sécurité des données ou encore de non-détournement d’usages.

Dispositions dérogatoires

  • Dans son article 6, le RGPD indique qu’un traitement de données personnelles est licite si « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne » ou encore si « le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ».
  • L’article 15 de la directive ePrivacy permet aux États membres de légiférer afin de restreindre les droits des individus, notamment en matière de consentement, afin de sauvegarder la sécurité publique.
  • Les personnes publiques mentionnées à l’article 67 de la loi informatique et libertés peuvent par exemple mettre en place des traitements de suivi individualisé sous réserve de la seule réalisation d’une analyse d’impact entreprise dans l’intérêt de la santé publique ou de la recherche

La position de la CNIL

  • Le cadre juridique que l’Europe et la France se sont donné comporte, en lui-même, les solutions permettant de répondre à la situation.
  • Si un suivi individualisé des personnes était mis en œuvre, il faudrait d’abord, à droit constant, qu’il soit basé sur le volontariat, avec un consentement réellement libre et éclairé – et le fait de refuser l’application n’aurait aucune conséquence. 
  • La CNIL veillerait notamment à ce que ce dispositif soit mis en place en respectant les principes suivants :
    • Proportionnalité [que les dommages à la vie privée soient à la hauteur de l’efficacité du dispositif]
    • Durée de conservation
    • Caractère provisoire
    • Sécurité…
  • Si un dispositif de suivi des personnes était mis en place de manière obligatoire, alors il nécessiterait une disposition législative et devrait, en tout état de cause, démontrer sa nécessité pour répondre à la crise sanitaire ainsi que sa proportionnalité en tenant compte des mêmes principes de protection de la vie privée, et en étant réellement provisoire 
  • Quelle que soit la solution retenue :
    • Elle ne peut constituer qu’un des éléments d’une réponse sanitaire plus globale ;
    • Sa mise en œuvre dans le cadre respectueux de la vie privée et des données personnelles est nécessaire pour, à la fois asseoir la confiance, créer les conditions d’une acceptabilité sociale de toute technique potentiellement intrusive et garantir la sécurité des personnes.

Les solutions de tracing possibles

  • Données GPS
  • Données téléphoniques
  • Données bancaires. 
  • Technologie Bluetooth
  • Le port de bracelet électronique 
  • La reconnaissance faciale

Quelles sont les limites d’une application de tracing?

  • il faut un usage par plus de 60% de la population de ce type d’application.
    • Difficile d’atteindre ce niveau si l’installation se fait sur la base du volontariat
    • Le taux d’équipement en smartphone : 80% de la population (60% chez les seniors)
    • Efficacité limitée par le fait que de nombreuses personnes ne déclarent pas, ou qu’elles n’ont que peu de symptômes, lorsqu’elles sont infectées par le virus
    • Efficacité liée à la disponibilité de tests massifs (il ne sert à rien de concevoir une application qui doit signaler si tel ou tel individu que l’on a approché est porteur ou non de la maladie s’il n’a pas été testé)
    • Si la technologie Bluetooth est retenue :
      • Elle peut peut-être générer des faux positifs à la chaîne en croyant que deux personnes se sont rencontrées longuement, alors qu’en réalité les smartphones étaient par exemple séparés par un mur… (cas de deux logements différents).
      • Le risque de contagion dans un environnement fermé est plus élevé que dans un environnement ouvert, or, le traçage de la proximité relative par Bluetooth ne permet pas la contextualisation, contrairement aux traçages GPS.
      • Limites de la technologie : la portée usuelle du Bluetooth est de cinq à dix mètres, et on ne peut mesurer le temps passé à proximité

Les dérives possibles

  • Complexité de l’anonymisation : le croisement des données anonymisées avec d’autres données disponibles permet la ré-identification des personnes
  • Un risque d’« effet cliquet » et de recours à des technologies plus intrusives avec la mise en place d’un état d’urgence sanitaire permanent
  • Une dépendance croissante des acteurs publics envers les acteurs privés : rôle incontournable des grands acteurs numériques (GAFA, opérateurs Telecom…), qui maîtrisent les technologies, collectent et détiennent les données, et sont aussi force de proposition ou d’initiative en la matière (voir ci-dessous).

L’initiative d’Apple et de Google

Les deux compagnies se sont unies pour proposer une démarche en deux temps :

1 – La livraison d’une API : c’est un jeu d’instructions pour faire fonctionner des applications sur un smartphone. Tous les gouvernements auront intérêt à les utiliser s’ils souhaitent que leurs applications fonctionnent. En effet, l’usage en arrière-plan du Bluetooth, pour les applications normales, est extrêmement limité pour éviter les abus, que ce soit sur iPhone ou smartphone Android.

2 – L’intégration de cette API dans le système d’exploitation du téléphone (iOS, Android), pour un meilleur fonctionnement du Bluetooth avec des applications de tracing (ex d’un iPhone ou un smartphone Android qui peut enregistrer le nombre de pas. Par défaut, cette option native n’est pas partagée : ce sont les applications de sport ou de bien être qui demandent à la voir et c’est à l’utilisateur de choisir s’il consent à donner cette autorisation).

Quels retours d’expérience des autres pays ayant mis en place un dispositif de tracing?

Certains États (Corée du Sud, Hong Kong, Taïwan, Singapour) ont été dressé en exemples pour leur gestion de la crise sanitaire. Pourtant, une résurgence de la maladie s’observe malgré le pistage.

Singapour, souvent prise en exemple par les autorités françaises, s’est voulue exemplaire : partage de l’application en open source (OpenTrace sur GitHub), publication d’un manifeste et d’un livre blanc sur un site dédié (BlueTrace), installation optionnelle de l’application (comme StopCovid, donc), prise en compte d’une conception dite de « privacy by design », de façon à intégrer les enjeux liés à la vie privée dès les premières lignes de code.

Pourtant, Singapour a dû se mettre à l’arrêt en confinement total depuis une semaine parce que les autorités étaient incapables de retracer la contamination de près de la moitié des cas. Et Singapour est une île, peuplée d’à peine 6 millions d’habitants, encadrés par une législation sévère et bien plus technophiles que les Françaises et les Français.

D’autres pays comme la Chine, la Corée du Sud, Taïwan ou encore Israël ont mis en place des outils beaucoup plus contraignants et attentatoires aux libertés et au respect de la vie privée.

Conclusion

L’utilisation d’une application de tracing doit se faire à droit constant et respecter les mises en garde posée par la CNIL. 

Sa mise en œuvre devra néanmoins obligatoirement s’inscrire dans le cadre d’une stratégie globale, en complément des mesures d’ordre sanitaire ou logistique à impact direct (faisant intervenir des équipements, masques, tests, traitements, etc.). 

Quand bien même ces outils seraient imparfaits, leur déploiement maîtrisé permettrait de les améliorer pour faire face à une recrudescence de l’épidémie et mieux se préparer à une future pandémie.

PERMANENCE

Espace Diorama, bureau 201 – 3 boulevard de Cascais –  64200 BIARRITZ

Tél : 05 59 26 45 14

ASSEMBLÉE NATIONALE

101 rue de l’université –  75007 PARIS

Tél : 01 40 63 75 18