Application StopCovid et données personnelles
Published on :
04/06/2020
04
June
Jun
06
2020
Face à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation de l’épidémie, est disponible depuis le 2 juin dernier sur l’Apple Store et Google Play, et semble connaître un véritable succès.
A quoi sert l’application StopCovid ?
Développée par une équipe-projet d’acteurs du numérique et de la recherche française (INRIA, ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings), StopCovid est une application de « contact tracing » (suivi de contacts) et non de « contact tracking » supposant l’utilisation de la géolocalisation. Elle informe les utilisateurs s’ils ont été à proximité d’une personne diagnostiquée positive au Covid-19, disposant elle aussi de la même application, en vue de limiter la transmission du virus.
Le 25 mai 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés), a rendu un avis globalement positif sur le projet de décret relatif à StopCovid.
Le 27 mai 2020, le Parlement s’est prononcé en faveur du déploiement de l’application sur le territoire national.
Comment fonctionne l’application StopCovid ?
Une fois installée sur un téléphone portable, l’application utilise le système de liaison sans fil Bluetooth de l’appareil pour permettre d’estimer la distance entre deux appareils mobiles.
Si l’utilisateur a été en contact, pendant une durée significative et à une distance rapprochée (dans un rayon de 1,5 mètres environ), avec une personne porteuse du Covid-19, StopCovid l’en informe via une notification. L’utilisateur est alors invité à consulter un professionnel de santé, bien que la contamination ne soit pas forcément effective.
En cas de test positif au virus, il est enregistré dans les deux autres systèmes d’information utilisés dans la lutte contre le Covid-19 :
• SIDEP : Service Intégré de Dépistage et de Prévention, (Ministère des Solidarités et de la Santé).
• Contact Covid, (Assurance Maladie).
Toutefois, pour beaucoup, StopCovid porte atteinte à la vie privée et plus particulièrement aux données personnelles collectées. Qu’en-est-il ?
Quel sort des données personnelles collectées par l’application StopCovid ?
Le Ministère des Solidarités et de la Santé, en charge de la politique sanitaire, a été désigné responsable de traitement et détermine les finalités de StopCovid (article 1er du projet de décret) :
• L’information de la personne utilisatrice du risque qu’elle ait été contaminée à son tour, après avoir été « en contact » avec une personne diagnostiquée positive au Covid-19 ;
• La sensibilisation des utilisateurs de l’application, identifiés comme contact à risque, sur les symptômes de la maladie, les gestes barrières et la conduite à adopter pour lutter contre la propagation du virus ;
• L’orientation des contacts à risque vers les acteurs de santé compétents pour leur prise en charge et l’accès aux examens de dépistage ;
• L’amélioration de l’efficacité du modèle utilisé par l’application pour la définition des cas contacts grâce à l‘utilisation de données statistiques anonymes au niveau national.
Dans le cadre de l’application StopCovid, plusieurs organismes agissent en qualité de sous-traitants, pour le compte du Ministère des Solidarités et de la Santé, dans le respect des dispositions de l’article 28 du RGPD, tel que l’INRIA, ou encore le fournisseur de service d’informatique en nuage (« cloud computing »), Outscale, puisqu’il héberge l’infrastructure de l’application. Sa certification en tant qu’hébergeur de données de santé permet d’assurer la sécurité des données collectées par l’application.
Pour rappel, StopCovid est téléchargeable sur la base du volontariat. La visite d’un professionnel de santé, une fois l’alerte donnée par l’application, n’est pas non plus obligatoire, bien que fortement recommandée. Ces mesures permettent de répondre à l’obligation de loyauté et de licéité du traitement. Face aux menaces potentielles planant sur cette dernière, StopCovid a fait l’objet d’une AIPD (Analyse d’Impact relative à la Protection des Données), sur laquelle s’appuie la CNIL dans son rapport du 25 mai 2020.
De plus, lors de la première ouverture de l’application, aucune donnée personnelle – telles que nom, prénom, adresse ou encore numéro de téléphone – pas demandée. Les données collectées ne sont pas nominatives mais les personnes exposées à la maladie utilisent des identifiants pseudonymes, stockés sur des serveurs centraux, et contrôlés par les autorités sanitaires. Aucun fichier de personnes contaminées ne sera créé dans ce contexte sanitaire. Concrètement, le Ministère s’assure de la minimisation et de l’exactitude des données collectées par l’application au cours de son utilisation.
Sur la durée de conservation, l’article 5 du RGPD énonce qu’elles doivent être conservées pendant « une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Sur StopCovid, les données seront conservées pendant le temps de l’application et maximum six mois à compter de la fin de l’état d’urgence sanitaire. Concernant l’historique des données permettant de vérifier si le patient positif au Covid-19 a pu engendrer une contamination, elles sont conservées pendant quinze jours. Le Ministère a aussi mis à disposition l’intégralité du code source de l’application mobile.
La sécurité des données est assurée par des clés de chiffrement pour accéder aux identifiants des personnes concernées et par un algorithme cryptographique, conformément aux recommandations de l’ANSSI. Il convient de préciser que l’application a recours à un système de « captcha » lors de l’initialisation de l’application, afin de vérifier que celle-ci est bien utilisée par une personne physique. Géré par Google, la CNIL appelle ainsi le « ministère à la vigilance ». Une solution devrait prochainement être trouvée.
En ce qui concerne les droits reconnus aux utilisateurs dans le cadre du traitement de leurs données personnelles, l’application StopCovid les rappelle dans les mentions d’informations. Toutefois, au regard des caractéristiques du traitement, la CNIL précise dans son rapport que certains droits ne pourront pas être exercés. C’est le cas notamment du droit à la rectification, du droit à la limitation du traitement, ou encore le droit à la portabilité.
Quelle comparaison faire avec l’API de Google et Apple ?
Le choix d’une application « centralisée » par le gouvernement français répond à une volonté de sécurisation des données de santé face aux géants américains Google et Apple. Ces derniers ont développé une « solution comprenant des interfaces de programmation d’application (dites « API »). Les informations essentielles ne sont pas stockées sur des serveurs centraux mais directement sur les appareils mobiles des utilisateurs et circulent entre eux lorsque c’est nécessaire. Cette différence de stockage a incité certains pays, dont le Royaume-Uni et la France, à refuser ce second système afin d’assurer le respect et la sécurité des données personnelles des utilisateurs, en conformité avec le RGPD. Des pays européens se sont déjà tournés vers cette solution, tel que l’Allemagne ou encore l’Italie qui va tester une application de pistage baptisée « Immuni », très proche de StopCovid, et qui intègre l’API de Google et Apple.
Alors que l’application StopCovid fait encore l’objet de nombreuses réticences à l’échelle nationale, aucune solution commune à l’échelle internationale n’a donc pu être développée. L’évolution de la crise sanitaire mondiale devrait nous donner, sans aucun doute, une idée de l’impact de cet outil technologique sur l’arrêt de la transmission du Covid-19, selon le système « centralisé » ou non, choisi par chacun des États.
Par Ludovic de la Monneraye, du département IP/IT
History
-
Plan de relance du gouvernement : décryptage ou « Comment se pense le monde de demain ? »
Published on : 28/09/2020 28 September Sep 09 2020We are vaughanDécryptage actualitésLe contexte unique de la crise sanitaire du COVID 19 engendre l’édiction de lois d’exceptions et de mesures de soutien aux entreprises et aux salariés. Les aides aux entreprises sont le meilleur moyen de soutenir le pouvoir d’achat. En attente de la loi de financement, actuellement en cours...
-
WEBINAR Les procédures collectives : ne pas en avoir peur et savoir saisir les opportunités
Published on : 09/07/2020 09 July Jul 07 2020We are vaughanDécryptage actualitésVous avez été 290 inscrits au Webinar organisé par BPI France Université le jeudi 9 juillet. À PROPOS DE CE WEBINAR : Dépôt de bilan, faillite, liquidation judiciaire, « Les procédures collectives » ont souvent une image négative vis à vis des dirigeants d’entreprise. Elles permettent pourtan...
-
Me Paul Van DETH intervient au micro de France Info sur la situation chez PSA et la légalité de faire appel à des salariés détachés étrangers
Published on : 15/06/2020 15 June Jun 06 2020Revue de PresseDécryptage actualitésDétachements de salariés chez PSA ? Au micro de Nicolas Teillard sur France Info, décryptage juridique de Paul van Deth, associé de Vaughan Avocats sur les réactions des employeurs face à la crise économique due au COVID au travers de la situation chez PSA et du projet de baisse de rémunération...
-
Application StopCovid et données personnelles
Published on : 04/06/2020 04 June Jun 06 2020Domaine d'expertise / Propriété intellectuelle & Droit du numériqueDécryptage actualitésFace à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation...