StopCovid : parution du décret portant création de l’application

Disponible depuis le 2 juin 2020 dans les stores Apple et Google, l’application StopCovid n’a eu de cesse de faire couler de l’encre dès les premières heures de son annonce (v., pour des études plus nuancées, A. Bensamoun et N. Martial-Braz, StopCovid : sortir des postures ! Point de vue sur l’avis de la CNIL, Dalloz IP/IT 2020. 280 ; C. Zorn, État d’urgence pour les données de santé (I) : l’application StopCovid, Dalloz actualité, 12 mai 2020). Poursuivant un objectif de souveraineté numérique, le gouvernement a maintenu sa position de privilégier une solution indépendante des géants du numérique (v., sur ces questions, Dalloz IP/IT 2020, n° 6, Dossier « La légitimité et les fondements de la souveraineté numérique », à paraître). C’est ainsi que l’application, pilotée par l’INRIA et développée par de nombreux partenaires dont l’ANSSI, l’INSERM, Orange ou Capgemini, s’est adaptée à mesure des avis d’autorités compétentes (v. not. CNIL, délib. n° 2020-056, 25 mai 2020, Dalloz actualité, 28 mai 2020, obs. C. Crichton ; CNCDH, avis 28 avr. 2020, Dalloz actualité, 7 mai 2020, obs. C. Biget ; CNIL, délib. n° 2020-046, 24 avr. 2020, D. 2020. 934, obs. A. Bensamoun, N. Martial-Braz ; CNNum, avis 24 avr. 2020, Dalloz actualité, 28 avr. 2020, obs. C. Crichton ; CEPD, lignes directrices, 21 avr. 2020, n^os 3/2020 et 4/2020, Dalloz actualité, 28 avr. 2020, obs. N. Maximin ; CEPD 14 avr. 2020 et Commission, recommandation, 8 avr. 2020, C[2020] 2296 final, Dalloz actualité, 21 avr. 2020, obs. I. Gavanon et V. Le Marec ; CEPD, déclaration, 19 mars 2020, Dalloz actualité, 10 avr. 2020, obs. D. Ventura ; ibid. 30 mars 2020, obs. A. Guérin-François).

Inspiré par ces réflexions, le décret n° 2020-650 du 29 mai 2020, qui porte création du traitement de données nécessaire au fonctionnement de l’application, a été profondément modifié depuis ses premières moutures. L’application repose sur une technologie de suivi de contact (contact tracing) qui permet, sans géolocaliser la personne et via la technologie Bluetooth, de savoir si elle a été en contact avec une personne diagnostiquée positive au covid-19.

Sur les dispositions générales

Licéité du traitement

Le traitement de données repose sur le fondement de l’exercice d’une mission d’intérêt public relevant de l’article 6, I, e), du RGPD et pour des motifs d’intérêt public relevant de l’article 9, 2, i), du RGPD relatif aux données sensibles (décr., art. 1^er, I).

Responsable de traitement et sous-traitant

Le responsable de traitement est le ministre chargé de la santé (art. 1^er, I). Le décret précise également que les sous-traitants sont accédants ou destinataires des données qui leur sont strictement nécessaires à l’exercice de leurs missions (art. 2, III).

Finalités du traitement

L’article 1^er, II, du décret précise que les finalités du traitement sont : « 1° D’informer les personnes utilisatrices de l’application qu’il existe un risque qu’elles aient été contaminées par le virus du covid-19 en raison du fait qu’elles se sont trouvées à proximité d’un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie. Les personnes exposées à ce risque sont désignées ci-après comme “contacts à risque de contamination” ; 2° De sensibiliser les personnes utilisatrices de l’application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation ; 3° De recommander aux contacts à risque de contamination de s’orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ; 4° D’adapter, le cas échéant, la définition des paramètres de l’application permettant d’identifier les contacts à risque de contamination grâce à l’utilisation de données statistiques anonymes au niveau national ».

Données traitées

Les données traitées font l’objet d’un développement plus conséquent présenté ci-après. Relevons ici toutefois que le décret interdit la collecte et l’enregistrement des « données permettant l’identification du téléphone mobile, de son détenteur ou de son utilisateur » (art. 2, II).

Droit d’accès, de rectification, de limitation, d’opposition et d’effacement

L’article 4 du décret prévoit une dérogation en ce que les personnes ne peuvent pas exercer leur droit d’accès, de rectification ou de limitation en vertu de l’article 11 du RGPD relatif au traitement ne nécessitant pas l’identification et de l’article 23, i), du RGPD autorisant cette dérogation sur le fondement de « la protection de la personne concernée ou des droits et libertés d’autrui ». Toutefois et conformément aux recommandations de la CNIL (délib. n° 2020-056, 25 mai 2020, pts 61-66), aucune dérogation n’est prévue pour le droit d’opposition et d’effacement, impliquant le maintien de ces droits.

Droit à l’information

Le droit à l’information est encadré par l’article 4 du décret, qui prévoit que les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits lors de l’installation de l’application. Des mentions d’information sont également publiées sur le site web www.stopcovid.gouv.fr. Si la personne a été diagnostiquée positive au covid-19 et s’est signalée à l’application, ou si la personne a été en contact avec une personne à risque, elle sera informée avoir été en proximité avec au moins un contact à risque de contamination au cours des quinze derniers jours. Ce faisant, elle sera également informée « de la possibilité limitée d’identification indirecte, susceptible d’en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période ».

Durée du traitement

La durée du traitement dépend de la catégorie de données traitées et sera exposée ci-après. En tout état de cause et conformément à l’article 3, alinéa 1^er, du décret, « le traitement est mis en œuvre pour une durée ne pouvant excéder six mois après la cessation de l’état d’urgence sanitaire ». Les actions réalisées par l’administrateur, qui comportent « l’identification de l’administrateur, les données de traçabilité, notamment la date, l’heure et la nature de l’intervention dans le traitement », sont également conservées pour une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire (art. 3, al. 6).

Opportunité de l’application

Il est précisé que « le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l’application, et au plus tard le 30 janvier 2021 » (art. 5). Cet article semble lacunaire étant donné les nombreuses objections portant sur l’efficacité de l’application. La CNIL recommandait sur ce point que « l’impact effectif du dispositif sur la stratégie sanitaire globale soit […] étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci, afin de s’assurer de son utilité au cours du temps » (délib. n° 2020-056, 25 mai 2020, pt 19). Eu égard aux abandons ou dérives de projets similaires qui ont pu être constatés à l’étranger, une évaluation périodique est effectivement essentielle et il aurait été souhaitable qu’elle apparaisse au sein du décret.

Open-source et sécurité

Le code source de l’application doit être publié sur les sites internet du ministre des solidarités et de la santé et du ministre de l’économie et des finances, ainsi que du site internet www.stopcovid.gouv.fr (art. 1^er, IV), étant précisé que l’application a préalablement été soumise aux tests et audits de l’ANSSI, puis à un bug bounty confié à YesWeHack, et dont le bilan s’est révélé satisfaisant bien que perfectible. Il est utile également de préciser que la présence du script captcha de Google au sein du code, critiquée par la CNIL (délib. n° 2020-056, 25 mai 2020, pt 77) et lors des débats à l’Assemblée nationale et au Sénat, est maintenue jusqu’au développement d’une technologie alternative permettant de s’assurer que l’utilisateur n’est pas un robot. Une attention particulière devra donc être portée sur l’amélioration du code, notamment sur les modalités permettant de signaler et de corriger les failles de l’application.

Sur le téléchargement et la désinstallation de l’application

Le décret précise que l’application « est installée librement et gratuitement par les utilisateurs » et « peut être désinstallée à tout moment » (art. 1^er, III). Concrètement, l’utilisateur reçoit lors du téléchargement de l’application plusieurs éléments générés par le serveur central : une clé d’authentification partagée entre l’application et le serveur central (art. 2, I, 1°), un identifiant unique stocké dans le serveur central (art. 1, I, 2°), et des codes pays (art. 2, I, 3°). Ces éléments sont conservés jusqu’à ce que l’utilisateur désinstalle l’application, et au plus tard six mois après la cessation de l’état d’urgence sanitaire (art. 3, al. 2).

Sur le fonctionnement du suivi de contacts

Les utilisateurs reçoivent chaque jour un pseudonyme aléatoire et temporaire (art. 2, I, 4°) qui constitue leur « historique de proximité » (art. 2, I, 5°). L’historique de proximité permet, via la technologie Bluetooth, de détecter s’il existe un risque suffisamment significatif de contamination au covid-19 à partir du calcul de la proximité et de la durée de contact avec un utilisateur à risque de contamination. L’arrêté du 30 mai 2020 définissant les critères de distance et de durée du contact au regard du risque de contamination par le virus du covid-19 pour le fonctionnement du traitement de données dénommé « StopCovid » précise qu’il existe un risque de contamination lorsque deux personnes sont en contact « à moins d’un mètre pendant au moins quinze minutes ».

L’utilisateur conserve la faculté d’activer ou non le suivi de contact (art. 1^er, III). L’application peut dès lors être inactive même si celle-ci est téléchargée. À cet égard, la CNIL a rappelé que l’application ne peut prendre en compte le contexte dans lequel les personnes ont été en contact, entraînant de potentiels faux positifs, telle la situation d’un professionnel de santé ou d’un agent d’accueil qui sont exposés mais protégés. Elle s’interrogeait ainsi sur « l’opportunité de prévoir à terme dans l’application la possibilité pour l’utilisateur de définir les plages de temps pendant lesquelles des contacts ne devraient pas être considérés comme potentiellement à risque », ou a minima de prévoir une mention d’information sur la prise en compte du contexte afin que l’utilisateur désactive l’application dans les circonstances adéquates (délib. n° 2020-056, 25 mai 2020, pts 38-40).

L’historique de proximité est collecté et enregistré sur le terminal de l’utilisateur (art. 2, I, 5°). Il est conservé quinze jours à compter de son enregistrement par l’application (art. 3, al. 2).

Sur le signalement d’un diagnostic positif au covid-19

L’utilisateur devient « contact à risque de contamination » lorsqu’il a été diagnostiqué positif au covid-19 par un médecin (art. 2, I, 9°). Dans ce cas, le médecin remet à l’utilisateur un code aléatoire à usage unique sous forme de QR-code, qui ne comporte aucune information permettant d’identifier la personne (art. 6, modifiant décr. n° 2020-551, 12 mai 2020, art. 9). L’utilisateur est libre d’envoyer ou non ce QR-code au serveur central de l’application (art. 1^er, III, et art. 2, I, 8°, b), étant précisé que ce code n’est pas conservé par le serveur central (art. 3, al. 4). Autrement dit, si le QR-code n’est pas transféré par l’utilisateur au serveur central à partir de l’application, cet utilisateur ne sera pas considéré comme contact à risque de contamination.

Dans l’hypothèse contraire, selon laquelle l’utilisateur diagnostiqué positif accepte de partager cette information, son historique de proximité est transféré et enregistré au serveur central. Ce transfert s’opère ainsi sur la base du volontariat (art. 1^er, III, et art. 2, I, 6°, al. 2) puisque, tant que l’utilisateur ne s’est pas déclaré contaminé, son historique de proximité reste stocké dans son terminal. Le cas échéant, la date de début des symptômes est également transférée si celle-ci est connue (art. 2, I, 8°, a). Cet historique de proximité est conservé sur le serveur central pour une durée de quinze jours à compter de son enregistrement par l’utilisateur (art. 3, al. 3).

L’historique de proximité des contacts à risque de contamination comprend les pseudonymes des autres utilisateurs qui ont été en contact « dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l’historique de proximité au serveur central » (art. 2, I, 6°, al. 1^er). Si la date de début des symptômes n’est pas connue, seuls « les quinze jours qui précèdent le transfert de l’historique de proximité » sont retenus (art. 2, I, 6°, al. 1^er).

Si l’historique de proximité est renseigné au serveur central, les personnes ayant eu un contact suffisamment proche et long en seront informées (art. 2, I, 6°, al. 2). Il convient de rappeler que l’information se limite strictement au fait que la personne a été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours (art. 4 et art. 2, I, 6°, al. 3). Les personnes reçoivent également des conseils sur les démarches à suivre sans être contraintes à les respecter.