StopCovid est elle une application nécessaire au sens du RGPD ?

STOPCOVID EST ELLE UNE APPLICATION NÉCESSAIRE AU SENS DU RGPD ?

Article rédigé le 14 mai 2020 par Me Guillaume Champenois

Parallèlement à la Loi n°2020-594 du 12 mai 2020 de prorogation de l’état d’urgence, le gouvernement souhaite le déploiement sur téléphone mobile d’une application permettant de savoir si vous vous trouvez à proximité d’une personne ayant également installé l’application et testée positive au virus. Cette application est-elle une atteinte proportionnée au respect de la vie privée au sens du RGPD ? Si oui, sommes-nous assurés que cela va perdurer dans le temps ?

 

Parallèlement à un renforcement des systèmes d’information permettant un suivi effectif de l’épidémie tel que ressortant de l’article 6 de la Loi n°2020-546 du 12 mai 2020 et sur lequel vous trouverez un article sur notre blog, https://www.houdart.org/le-blog/, le gouvernement s’efforce de mettre en place une application mobile visant à lutter contre la propagation de l’épidémie à coronavirus 2019. La France, à l’inverse d’autres pays, privilégie l’option d’une application fondée sur le « suivi de contact » ou « contact-tracing. » Le nom donné à l’application est « StopCovid ».

 

Comment fonctionne techniquement l’application « StopCovid » ?

Cette application mobile informe les personnes l’ayant également téléchargée du fait qu’elles ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au COVID-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus. Techniquement, le schéma est classique en ce qu’il se compose d’une application que l’on doit télécharger sur son téléphone mobile sous environnement IOS et Android et d’un serveur qui stock les informations et assure la transmission entre mobile.

Les firmes de Mountain View et de Cupertino ont refusé de participer au développement de cette applicationet ont annoncé travailler de concert sur une application basée [dt_tooltip title=” sur la technologie bluetooth”]La technologie Bluetooth est un système de communication radio à courte portée destinée au réseau personnel (WPAN — Wireless Personal Area Network).[/dt_tooltip].Nous sommes donc en présence d’une application franco-française. La création d’une application censée exploiter des données de santé nous inquiète fortement tant à l’égard de la nécessaire préservation de notre droit au respect de notre vie privée qu’à l’égard des contraintes techniques inhérentes à la création et l’utilisation d’une telle application.

L’application fonctionne grâce au bluetooth du smartphone et non sa puce GPS et donc sur une technologie moins attentatoire aux libertés publiques puisque ne permettant pas intrinsèquement de déterminer votre position. Cependant, la littérature technique et autres interviews de développeurs ou experts ne manquent pas pour décrire cette technologie comme difficile à sécuriser. Vous trouverez sur la toile des articles qui décrivent très bien la problématique que pose l’utilisation du bluetooth au regard des questions de sécurité. D’ailleurs dès août 2007, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) établissait une note d’information ayant pour objet « Sécurité des réseaux sans fil Bluetooth ».

Si le bluetooth n’est pas une technologie particulièrement aisée à sécuriser, nous avons également des craintes de même nature sur le schéma dans son ensemble.

 

Quelles sont les interrogations techniques que peuvent susciter le développement d’une telle application ?

En premier lieu, avant même de parler de l’application en elle-même, il faut s’assurer que le serveur qui va héberger les données soit bien en France et que son accès est strictement restreint.

En deuxième lieu, il faut bien avoir conscience qu’une application mobile génère par nature un risque de fuite de données ou de captation non autorisée de données. Il n’est pas possible pour un utilisateur lambda de déterminer si l’application qu’il a téléchargée collecte ou ne collecte pas de manière non consentie des données à caractère personnel. Régulièrement Il suffit de constater que Google supprime régulièrement de son Playstore des applications qui soustraient des données à caractère personnel sans le consentement de l’utilisateur pour prendre conscience du danger qui nous guette.

Pour nous rassurer, M. le secrétaire d’Etat au numérique a annoncé que serait rendu public mardi 12 mai [dt_tooltip title=”le code source”]Le code source est un texte qui détaille les instructions d’un programme informatique dans un langage de programmation compréhensible et utilisable par l’homme. Il traduit les instructions qu’a souhaité laisser le programmeur lors de la conception du programme. Lorsqu’il est rendu public et accessible aux développeurs, on parle « d’open source ». Le système d’exploitation Linux est un système open source.[/dt_tooltip][5]de l’application pour permettre aux développeurs de constater par eux-mêmes comment fonctionne l’application. Or, à la date du 14 mai 2020, seul le kit de développement du protocole ROBERT était accessible en ligne. C’est ici logique puisque la publication de l’intégralité du code source serait hautement préjudiciable à la sécurité. En effet, si le code source est en libre accès, tout développeur mal intentionné pourrait exploiter une faille du code source, ce que l’on appelle « un trou de sécurité ». C’est l’institut national de recherche en sciences et technologies du numérique (INRIA) qui a la charge de la création de l’algorithme de l’application dont le protocole ou socle technique répond au doux nom de « Robert » pour « ROBust and privacy-presERving proximity Tracing ». Si le fait de rendre public le code source de l’application peut contribuer à rassurer sur son fonctionnement et donc sur l’intention des développeurs à l’origine de sa conception, les craintes n’en sont pas levées pour autant. Quel sera le suivi de l’application ? Est-il prévu des mises à jour ? Les données traitées seront-elles cryptées ? Si oui, selon quel protocole ? Autrement formulé, l’application est-elle suffisamment fiable pour empêcher toute captation de données à caractère personnel ? S’il semble que cette application respecte bien la contrainte du concept « privacy by design » et donc que les données seront bien cryptées, on ne peut écarter totalement un risque de piratage. La crainte d’une faille technique nourrit une crainte déjà présente sur le terrain juridique.

 

Quelles sont les interrogations juridiques que peuvent susciter le développement d’une telle application ?

Une telle application va-t-elle traiter des données à caractère personnel au sens du RGPD ? La réponse est assurément positive et la CNIL l’explique très bien dans son avis en relevant, en premier lieu, que « le serveur doit vérifier s’il existe une concordance entre les pseudonymes attribués, lors de son installation, à l’application de cet utilisateur et ceux ayant été transmis au serveur central par l’application d’une autre personne reconnue comme positive », en deuxième lieu, que « le serveur central disposerait de l’information selon laquelle un utilisateur aura ou non reçu une notification lui indiquant qu’il a été exposé au virus » et en dernier lieu que « des données concernant la santé seront traitées par le dispositif ».Pour rappel, le RGPD distingue 6 bases légales permettant de recourir à un traitement de données à caractère personnel lesquelles sont les suivantes :

  • Le consentement : la personne a consenti au traitement de ses données ;
  • Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
  • L’obligation légale : le traitement est imposé par des textes légaux ;
  • La mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
  • L’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
  • La sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Le gouvernement français a annoncé que le téléchargement et l’utilisation de l’application « StopCovid » se feraient sur la base du volontariat et donc nécessairement avec le consentement préalable de l’utilisateur. De fait, on ne peut affirmer que la mise en place d’une telle application par le gouvernement français serait attentatoire aux libertés publiques ou aux droits fondamentaux garantissant l’effectivité de notre état de droit puisque personne n’est ou ne sera contraint d’installer cette application sur son smartphone (sauf à considérer la contrainte sociale…ou encore la question de la réalité du consentement éclairé).

Pourtant, plusieurs voix se sont exprimées et non des moindres pour attirer l’attention sur les risques inhérents à un tel dispositif. Ainsi, la Présidente du Comité de la Convention 108 et le Commissaire à la Protection des données du Conseil de l’Europe ont exprimé leurs craintes dans une déclaration conjointe et notamment sur l’efficacité réelle d’un tel dispositif fondé sur une application mobile.

Ce qui nous frappe c’est que ladite application est en cours de développement et a vocation à être accessible dans un avenir proche alors qu’aucune étude d’impact ne semble avoir été réalisée. Or, non seulement celle-ci apparait juridiquement obligatoire mais au surplus indispensable pour déterminer si le déploiement d’une telle application sera bien « nécessaire » au sens des dispositions du RGPD, c’est-à-dire permettant effectivement de stopper ou freiner sensiblement la propagation du coronavirus 2019. Si une telle étude d’impact existe, les pouvoirs publics doivent la rendre accessible au plus grand nombre.

Enfin, le caractère « nécessaire » de cette application au sens du RGPD induit qu’un grand nombre de personnes télécharge l’application et l’utilise. Or, comme nous l’avons vu plus haut ni le téléchargement ni son utilisation ne sont obligatoires. Dès lors, comment s’assurer que ce dispositif répond bien à une nécessité en termes de préservation de la santé des français ? Si le secrétaire d’état au numérique a précisé à la CNIL que « l’usage de l’application est envisagé dans une approche intégrée à la stratégie sanitaire globale pilotée notamment par le ministère de la santé et des solidarités », cette seule circonstance ne nous semble pas suffisante. Une chose nous interpelle également c’est le fait que si cette application est censée vous informer que vous avez été en contact avec une personne ayant contracté le covid-19 sans vous révéler l’identité de celle-ci, l’identification de cette personne sera possible par déduction selon les personnes que vous aurez croisés.

En conclusion, il est peu probable que cette application rencontre un vif succès et son caractère « nécessaire » au sens du RGPD s’en trouvera d’autant moins justifié.