• Les exigences légales à satisfaire

Rappelons donc les caractéristiques d’un consentement éclairé : la personne concernée doit a minima avoir été informée des éléments suivants :

  • L’identité du responsable de traitement, ou, le cas échéant, des responsables conjoints du traitement ou de responsables de traitement ultérieurs souhaitant effectuer des traitements sur la base du consentement initial ;

  • La ou les finalité(s) correspondant aux traitements pour lesquels le consentement est recueilli ;

  • Les catégories de données qui seront collectées et utilisées ;

  • Les destinataires des données collectées ;

  • Les croisements de données qui seraient effectués, ainsi que l’éventuelle existence d’un dispositif de prise de décision algorithmique ou automatisée à partir des données collectées, incluant le profilage de la personne concernée, conformément à l’article 22 du RGPD ;

  • Les risques liés aux éventuels transferts de données vers des pays tiers en l’absence d’une décision d’adéquation ou de garanties appropriées (clauses contractuelles types, BCR…) ;

  • Le rappel du droit à révocation du consentement à tout moment et les moyens pour ce faire.

On le voit, les conditions pour l’obtention d’un consentement éclairé sont encore bien floues, tant que les promoteurs de cette application n’auront pas répondu à l’ensemble des points ci-dessus et prévu les modalités d’information des personnes concernées.

De plus, ces personnes disposeront-elles bien de leurs droits d’accès, de modification et surtout d’effacement de leurs données ?

En outre, rien n’est encore dit des services (sanitaires ? gouvernementaux ? de police ?) qui seraient autorisés à accéder aux données ainsi collectées. Et rien n’est dit de l’indispensable destruction rapide et définitive des fichiers de malades et des cartographies relationnelles ainsi constitués. Or, ces deux aspects sont indispensables pour que le consentement donné soit réellement éclairé, et donc légal.

Sur le plan légal, une telle solution semble donc sujette à caution, d’autant qu’on peut s’interroger sur le caractère réellement libre du consentement qui serait donné dans le contexte de peur actuel.

A cet égard, la CNIL, dont la présidente a été auditionnée par la commission des lois le 8 avril et à qui on promet de soumettre la version finale de l’application dont le code source sera ouvert et auditable, se tient à disposition du conseil scientifique mis en place pour gérer la crise sur ces sujets également. La CNIL a indiqué à cet égard que les applications de « contact tracing » doivent impérativement :

  • Répondre à des finalités clairement définies (s’agit-il donc ici de vérifier si les personnes respectent le confinement et restent chez elles, ce qui semblerait particulièrement intrusif compte tenu par ailleurs des nombreuses dérogations admises pour sortir de chez soi… ou s’agit-il de contrôler les personnes avec lesquelles un individu potentiellement contaminé a été en contact ? Apparemment les deux, ce qui pose la question du caractère spécifique du consentement donné) ;

  • Collecter des données strictement pertinentes et proportionnées à l’objectif poursuivi (s’agit-il de collecter par géolocalisation l’ensemble des déplacements d’une personne, ou seulement la liste des terminaux que son téléphone a croisés, indépendamment du lieu ?) ;

  • Ne conserver les données que pendant une durée très provisoire, sans réutilisation à quelque autre fin que ce soit (durée de l’infection de la personne concernée ? durée de la crise sanitaire, dont on sait qu’elle risque de se prolonger dans le temps tant qu’aucun vaccin n’est trouvé ?) ;

  • Faire l’objet soit de modalités d’anonymisation réelle, soit du consentement préalable et éclairé des personnes, conformément aux exigences du RGPD et de la directive eprivacy ;

  • Etre assorties de mesures de sécurité techniques renforcées (chiffrement des données, conservation en local sur l’appareil, etc.) ;

  • Ne permettre l’accès aux données qu’à des destinataires pertinents et limitativement énumérés (s’agit-il de confier ces données à des autorités sanitaires uniquement ? A des autorités de police ?).

Quel que soit le sort de l’application « StopCovid » envisagée, elle devra impérativement respecter les exigences ci-dessus. Mais au-delà de cette conformité juridique, une question d’opportunité doit également être explorée, car elle participe aussi de la licéité du traitement en cause.

  • Une efficacité technique à prouver ?

Par ailleurs, Du coup, certains commentateurs soulignent les failles de cette application : d’abord, la technologie Bluetooth ne trace qu’imparfaitement les contacts de la personne suivie, et manque de précision. La distanciation sociale implique quelques mètres, or le Bluetooth ne permet pas un tel degré de précision, d’où des risques d’alerte erronée et conséquemment, des mesures de quarantaine injustifiées (« faux positifs »). A l’inverse, certaines interactions comportant le risque de contagion pourraient ne pas être identifiées, ce qui ruinerait en partie l’intérêt de la démarche (« faux négatifs »).

A cet égard, Antoine Courmont, chargé d’études prospectives à la CNIL, a rappelé, en récapitulant les options actuellement discutées, que les données qu’il s’agit de collecter n’ont rien d’infaillible : « Tout comme les données de dépistage, les données de localisation issues des téléphones reposent sur des infrastructures techniques dont la précision et la fiabilité varient. La localisation par téléphonie mobile peut être effectuée par les opérateurs téléphoniques par bornage : relativement précise dans les zones denses aux nombreuses antennes relais, beaucoup moins dans les zones peu denses. Seuls les opérateurs télécom disposent de cette information. La deuxième option est la localisation par positionnement satellitaire (GPS). Elle présente l’avantage d’être disponible hors des zones de couverture des réseaux téléphoniques. Leur précision varie selon les modèles de smartphones, mais elle est de l’ordre de 5 mètres environ. Inconvénient : les GPS fonctionnent mal dans les environnements intérieurs et ne permettent pas, par exemple, de déterminer à quel étage d’un bâtiment vous vous trouvez. Les données de localisation GPS sont collectées par les fournisseurs des systèmes d’exploitation des smartphones (iOS, Android), ainsi que par certaines applications directement pour l’usage du service ou par le biais de SDK au profit d’acteur tiers. Ces derniers commercialisent ces données auprès d’autres acteurs, généralement à des fins publicitaires. La troisième option est la technologie Bluetooth qui permet de détecter les téléphones mobiles à proximité et d’estimer la distance entre ceux-ci en mesurant la puissance du signal. Elle est fréquemment utilisée, avec le wifi, dans les centres commerciaux ou les aéroports pour comprendre les déplacements des individus ».

Ensuite, cette approche n’est pertinente que si une proportion majoritaire de la population décide d’y recourir et donne son consentement à ces collectes (à cet égard, seulement 29% de la population de Singapour a téléchargé l’application locale, ce qui l’a rendue largement inefficace). Cette application est aujourd’hui présentée comme une alternative en sortie de confinement : notons alors qu’en dépit de son déploiement, Singapour vient à son tour de confiner sa population.

Enfin et surtout, l’efficacité d’une telle application de « contact tracing » est directement conditionnée par la généralisation de tests fiables d’infection à la covid-19, ce qui n’est toujours pas d’actualité. Ce point, à lui seul, doit faire s’interroger sur la pertinence des traitements de suivi massif qui sont envisagés, et exige en tous cas de les entourer de toutes les précautions exigées par le RGPD.

Quelles conséquences doit avoir la détection d’un contact avec une personne contaminée ? L’individu qui reçoit l’alerte doit-il alors se confiner ? Que se passe-t-il s’il passe outre l’alerte ? Doit-on alors le contraindre à se mettre en quarantaine, alors qu’on n’a pas la certitude qu’il est atteint, ce qui pose un grave problème de liberté de circulation… ou choisit-il lui-même le comportement à tenir, ce qui amoindrit l’intérêt de ce suivi automatisé ?

Autre point majeur : si a collecte est anonymisée, comment pourrait-on ensuite appliquer des mesures individuelles aux personnes concernées ? Tant qu’il s’agit de contrôler des données statistiques de risque de propagation, l’anonymisation permet d’atteindre l’objectif. Mais comment pourrait-elle permettre également « l’identification des sujets contacts » et « le respect des confinements individuels » évoqués par le secrétaire d’état ? L’anonymisation, présentée comme une garantie de protection des droits des personnes, pose également des questions, moins légales que techniques, auxquelles il est difficile de répondre.

 

(…)

 

(c) Shutterstock