Divers scénarii reposant sur des applications de traçage numérique sont actuellement mis en place ou envisagés, en France comme au niveau mondial, parmi les mesures qui accompagneront la phase de déconfinement post-épidémie. Le défi des autorités publiques européennes est de mettre en œuvre des mesures qui soient tant efficaces sur le plan de la santé publique que les moins intrusives possibles quant à la protection des personnes à l’égard du traitement des données personnelles. La Commission européenne, dans une récente recommandation du 8 avril 2020, a ainsi rappelé que la mise en œuvre d’applications mobiles aux fins de lutter contre le covid-19 devait être guidée par les principes de protection des données personnelles et de la vie privée1. Ces préoccupations ont également été relevées par le Comité européen de la protection des données et la Présidente de la CNIL2.
De fait, diverses expériences ont été réalisées au niveau international, dans des configurations variées, plus ou moins intrusives en matière de vie privée3. Les mesures de traçage mises en place à Singapour, dont l’application mobile TraceTogether, sont aujourd’hui les premières citées dans les comparaisons internationales. Le 10 avril, les autorités singapouriennes ont révélé que plus de cinquante gouvernements avaient d’ores et déjà manifesté leur intérêt pour l’adoption ou l’adaptation de TraceTogether dans leurs pays respectifs.
L’épidémie de coronavirus à Singapour
Le premier cas de coronavirus à Singapour a été confirmé le 23 janvier. Aussitôt, la République a mis en œuvre une stratégie de lutte contre le virus éprouvée lors de l’épidémie du SRAS en 2003 : ralentir le taux d’infection et le maintenir au niveau le plus bas possible, aussi longtemps que possible. Cette stratégie comporte trois volets :
- 1. Réduction de l’importation de cas par des contrôles aux frontières pour endiguer l’afflux de voyageurs dans le pays ;
- 2. Accent mis sur la responsabilité sociale, l’hygiène personnelle et le maintien de distance de sécurité ;
- 3. Détection précoce des cas positifs et isolement des personnes infectées, à leur domicile ou en milieu hospitalier.
Cette stratégie a fait ses preuves : les deux premiers décès n’ont été constatés que le 21 mars, date à laquelle un retour massif de citoyens singapouriens résidant à l’étranger, pour une partie d’entre eux porteurs du virus, a contribué à inverser cette tendance. Au 9 avril 2020, on dénombrait 1 910 cas positifs, 406 sorties et 7 décès confirmés. Des mesures de confinement (moins strictes qu’en France) ont été annoncées le 8 avril, date à laquelle les écoles et lieux de travail « non essentiels » ont été fermés. Il n’en demeure pas moins que le taux de mortalité reste remarquablement bas.
Dispositif volontaire d’aide au « contact tracing »
Les résultats remarquables de la stratégie singapourienne tiennent en grande partie aux capacités de « contact tracing » déployées par les autorités publiques, dès les premiers jours de l’épidémie. Chaque cas confirmé est attribué à une équipe de « traçage » pour s’entretenir avec le patient, répertorier l’ensemble de ses activités au cours des quatorze derniers jours, et identifier chaque personne avec laquelle il a été en contact étroit pour les mettre en quarantaine dès que possible, afin de réduire la propagation de la maladie. Singapour a fait monter en puissance ses capacités de traçage en mobilisant des équipes de terrain capables de suivre jusqu’à 4 000 contacts chaque jour, au plus près de la population.
L’application TraceTogether a été développée conjointement par le ministère de la Santé (MOH) et la Government Technology Agency (GovTech) pour tenter de palier aux difficultés rencontrées par ces équipes et ainsi d’accélérer – mais non pas remplacer – ce processus incontournable de traçage. Les caractéristiques de ce dispositif strictement volontaire, développé en moins de huit semaines, ont été définies en association avec les meilleurs experts en protection des données personnelles, ingénieurs informatiques, développeurs, « hackers éthiques », spécialistes en cybersécurité. L’intégralité du dispositif a ainsi été articulée autour du principe de Privacy by Design consacré par le RGPD, qui explique aujourd’hui le vif intérêt qu’il suscite en Europe.
« Who, not where »
L’application fonctionne sur le principe de l’échange de signaux Bluetooth à courte distance entre les téléphones pour détecter les autres utilisateurs de l’application qui sont à proximité, et horodater ces contacts. Une personne peut ainsi, après avoir été testée positive, autoriser le MOH à accéder aux données de l’application pour l’aider à identifier les autres utilisateurs de l’application avec lesquels elle a été en contact proche. Les directives actuelles du ministère de la Santé définissent la proximité à deux mètres l’un de l’autre, ou jusqu’à cinq mètres, pendant trente minutes.
Après avoir téléchargé l’application, pour faire fonctionner celle-ci les utilisateurs doivent consentir à sa configuration, renseigner leur numéro de téléphone (singapourien), activer Bluetooth et notifications push, et autoriser la localisation. Il est possible à tout moment de désinstaller l’application. La désactivation de la fonctionnalité Bluetooth met automatiquement fin au traçage.
Les principales mesures visant à assurer la protection des données personnelles des utilisateurs sont les suivantes :
- les données de géolocalisation ne sont pas collectées, c’est-à-dire que les informations récupérées ne permettent pas d’identifier les lieux où s’est rendu l’utilisateur. Les informations relatives à la localisation des personnes ne seront établies par les équipes de traçage lors d’entretiens individuels, physiques ou verbaux ;
- lorsqu’un utilisateur télécharge l’application et enregistre son numéro, celui-ci est automatiquement associé à un identifiant permanent aléatoire. Numéro de mobile et identifiant sont stockés dans un serveur sécurisé. TraceTogether génère par ailleurs automatiquement des identifiants temporaires chiffrés sur la base de ces identifiants permanents pour protéger les utilisateurs contre d’éventuels accès malveillants aux données de traçage générées par l’utilisateur ;
- hormis le numéro de téléphone, aucune autre donnée personnelle, tels que noms des personnes, liste de contacts ou carnet d’adresses des utilisateurs n’est collectée ;
- les données de traçage sont stockées localement et sous forme chiffrée dans les téléphones des utilisateurs et ne sont pas automatiquement communiquées aux autorités. Les utilisateurs ne sont invités à partager ces données que lorsqu’ils sont contactés par le MOH dans le cadre d’enquêtes de « contact tracing » ;
- la durée de stockage des informations est de vingt-et-un jours ;
- les utilisateurs de TraceTogether ne peuvent pas accéder aux informations relatives aux autres utilisateurs enregistrés dans leur téléphone ; par ailleurs seuls les identifiants temporaires sont échangés entre les téléphones ;
- les autorités, dont MOH et GovTech, n’ont pas connaissance des données de l’utilisateur ; les « logs » ne sont déchiffrés et analysés qu’après l’envoi des informations par l’utilisateur au MOH, qui disposera alors du numéro de téléphone des personnes s’étant trouvées à proximité de la personne infectée et pourront ainsi la contacter pour l’en informer et lui faire prendre les mesures de confinement nécessaires ;
- l’application sera active uniquement durant l’épidémie, à l’issue de laquelle les numéros de téléphone et les identifiants correspondants seront effacés de la base. Les utilisateurs seront invités à désactiver la fonctionnalité de TraceTogether ; les données correspondantes seront alors automatiquement effacées.
Des données analytiques anonymisées sont également collectées sur l’utilisation de l’app aux seules fins d’améliorer son fonctionnement sur différents modèles d’appareils. Ces informations incluent des données sur les appareils utilisés (marque, catégorie, modèle, langue4, version de l’OS) ainsi que des données sur l’application elle-même (app store, version, pays, langue, durée d’installation), stockées sur la plateforme d’application cloud mobile Google Firebase.
Cadre juridique applicable
La loi de protection des données personnelles de Singapour est le Personal Data Protection Act (PDPA) No. 26 (2012), qui encadre la collecte, l’utilisation et la communication des données personnelles dans le secteur privé. Le PDPA ne couvre pas l’essentiel du secteur public. Pour autant, les autorités comme le MOH et GovTech sont tenus d’appliquer une série de principes applicables spécifiquement aux autorités gouvernementales (lesquels sont en voie de révision), concernant l’utilisation, la conservation, le partage et la sécurité des données personnelles entre les organismes publics. Les principes de protection des données sont ainsi, en pratique, pour l’essentiel alignés sur le PDPA.
Plus récemment le Public Sector (Governance) Act (PSGA) a été amendé pour y inclure des garanties supplémentaires pour les données personnelles dans le secteur public, y compris la pénalisation de toute utilisation abusive des données par les agents du secteur public.
En l’occurrence, au-delà des principes et règles légales applicables, il est surtout intéressant de relever les garanties apportées par le MOH et GovTech dans le Privacy Statement applicable à TraceTogether, telles qu’elles ont été synthétisées plus haut. On retrouve ainsi l’essentiel des principes traditionnellement applicables à tout traitement de données personnelles effectué par les autorités publiques en France et en Europe, y compris les principes de Privacy by Design et Privacy by Default consacrés par l’article 25 du RGPD (principes de finalité, transparence, sécurité, proportionnalité, pertinence et minimisation des données collectés, durées de conservation, etc.).
Il convient de relever que la place centrale accordée au consentement dans le dispositif n’est pas théorique : dans les faits, la décision d’installer, ou non, l’application est libre, même si elle est fortement recommandée par les autorités (pas d’obligation faite par l’employeur, par exemple). Cette caractéristique a facilité l’adoption de l’app par une population très connectée. Depuis son lancement, TraceTogether a été téléchargée par plus d’un million d’utilisateurs uniques (soit un résident sur cinq).
Relevons que si la communication des données sur requête du MOH est volontaire, les personnes qui refuseraient de communiquer les données stockées sur leurs téléphones pourraient être poursuivies sur le fondement du Infectious Diseases Act. De telles poursuites semblent purement théoriques, dans la mesure où l’on comprendrait mal pourquoi la personne ayant fait le choix d’installer l’application sur son téléphone refuserait ensuite de donner accès à ces données.
Interopérabilité et coopération internationale
Dans les jours qui ont suivi le lancement de TraceTogether, GovTech a révélé avoir reçu de très nombreuses demandes de réplication à l’international, émanant notamment de cinquante gouvernements, ainsi que de nombreuses entreprises et partenaires privés. En réponse, GovTech a rendu le code source de l’application (OpenTrace) disponible gratuitement afin qu’il puisse être amélioré et déployé dans d’autres juridictions. Dans le même temps, GovTech a publié le protocole BlueTrace, sur lequel OpenTrace et TraceTogether sont construits, permettant ainsi aux applications qui mettent en œuvre ce protocole d’être ainsi interopérables entre elles. Le descriptif des spécifications techniques de BlueTrace a été mis à la disposition de la communauté Open Source le 9 avril.
En se déclarant disposée à ce que d’autres pays et organisations nationales de santé publique contribuent à améliorer le code source et le protocole, l’équipe TraceTogether a initié un mouvement de coopération internationale inédit, salué notamment par la communauté Open Source.
L’article 1er de la loi « Informatique et Libertés » n’a ainsi jamais été aussi bien incarné : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale ».
1. Recommandation de la Commission européenne du 8 avr. 2020 sur une boîte à outils commune de l’Union pour l’utilisation des technologies et des données pour combattre et sortir de la crise covid-19, en particulier en ce qui concerne les applications mobiles et l’utilisation de données de mobilité anonymisées (C(2020) 2296 final)
2. Coronavirus : les applications de « contact tracing » appellent à une vigilance particulière, Le Monde, 5 avr. 2020.
3. V. l’étude comparée réalisée par le Future of Privacy Forum sur différentes apps : « Privacy & Pandemics : The Role of Mobile Apps (Chart) » (avr. 2020).
4. Les langues officielles de Singapour sont l’anglais, le mandarin simplifié, le malais et le tamoul.
5. Jason Bay, Joel Kek, Alvin Tan, Chai Sheng Hau, Lai Yongquan, Janice Tan, Tang Anh Quy, « BlueTrace: A privacy-preserving protocol forcommunity-driven contact tracing across borders ».
