Le contact tracing pour accompagner le déconfinement : solutions techniques et initiatives politiques
Par Julia Apostle, avocate Counsel, et Juliette Crouzet, avocate, cabinet Bredin Prat.
Par Julia Apostle, avocate Counsel, et Juliette Crouzet, avocate, cabinet Bredin Prat
Une stratégie digitale pour le déconfinement
Après plusieurs semaines de confinement, les gouvernements des pays européens examinent différentes stratégies pour permettre un retour à la normale. Déjà, une multitude d’initiatives technologiques conçues autour de l’exploitation de données ont vu le jour. Les propositions varient selon l’objectif envisagé : gestion des mobilités, respect des mesures de confinement, ou encore identification des individus porteurs et des individus dits « contacts ». Les technologies disponibles sont tout aussi variées : bornage téléphonique, GPS (Global Positioning System), systèmes de cartes bancaires, Bluetooth, vidéosurveillance.
Les développements en la matière évoluent très rapidement et le gouvernement français a fait savoir qu’il souhaitait déployer une solution à horizon mi-mai. Le 13 avril, lors de son allocution télévisée, Emmanuel Macron a indiqué que la piste d’une application mobile « qui, sur la base du volontariat et de l’anonymat, permettra de savoir si, oui ou non, l’on s’est trouvé en contact avec une personne contaminée » (contact tracing ou backtracking), est étudiée. Le 16 avril, la Commission européenne a publié ses recommandations sous la forme d’une « boite à outils » au sujet d’une approche collective par les États membres pour le développement et l’interopérabilité d’une technologie de contact tracing au sein de l’Union européenne (Common EU Toolbox for Member States). Des orientations spécifiques de la Commission relatives à la protection des données à caractère personnel dans ce contexte, accompagnent cette boîte à outils.
L’objectif de cette note est de décrire en des termes généraux la technologie qui semble être envisagée par le gouvernement, ainsi que les défis juridiques qui en résultent. En particulier, nous examinerons les limites d’une utilisation reposant sur le consentement des individus ainsi que les avantages et enjeux relatifs à l’adoption d’une loi qui imposerait l’usage d’une telle application.
Solutions technologiques envisagées et fonctionnement
Le contact tracing ou backtracking consiste en la conservation de l’historique des contacts entre les individus ayant eu un contact rapproché ou durable afin de pouvoir informer, a posteriori, ceux ayant été à proximité d’un individu qui se déclarerait porteur du virus. Il peut également, comme l’explique clairement la note parlementaire du député Mounir Mahjoubi du 6 avril, selon la technologie utilisée, permettre d’identifier les lieux et zones qui ont accueilli des individus contaminés en suivant leur itinéraire afin d’informer toutes les personnes qui ont pu y passer un certain temps.
D’un point de vue technologique, le contact tracing peut être mis en œuvre de différentes façons notamment par le biais du traitement de données issues du bornage des opérateurs télécom, de données GPS issues d’applications mobiles, de connexions Bluetooth d’applications mobiles, de données issues de l’usage de cartes bancaires ou de transport, de données issues de la vidéosurveillance.
L’usage du contact tracing est controversé car il implique le traitement de catégories particulières de données notamment de données de santé mais également, selon la technologie utilisée, de données de localisation par le biais par exemple de la technologie GPS.
La technologie Bluetooth semble néanmoins sortir du lot compte tenu de son caractère plus protecteur de la vie privée et des données à caractère personnel, notamment en raison du fait qu’elle n’implique pas le traitement de données de localisation. La Commission Européenne a d’ailleurs publié, le 8 avril, des recommandations pour la création d’une approche commune à l’égard de ces technologies, dans lesquelles elle a déclaré que « les mesures les moins intrusives mais les plus efficaces [doivent être privilégiées], comprenant le recours aux données de proximité et éviter le traitement des données de localisation ou de déplacement de personnes ». Cette position est confirmée par les nouvelles recommandations de la Commission, qui recommandent l’adoption d’une application de contact tracing limitée dans le temps et fondée sur le volontariat, et déconseillent l’utilisation de données de localisation.
Plusieurs initiatives de chercheurs ont vu le jour pour étudier la meilleure solution Bluetooth de contact tracing et accompagner les États dans leur réflexion, parmi lesquelles le groupement européen PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) et le groupement DP-PPT d’experts européens (Decentralized Privacy-Preserving Proximity Tracing).
En France, le Comité Analyse Recherche et Expertise (CARE) est notamment chargé de conseiller le gouvernement sur les solutions technologiques appropriées. Le développement de l’application « StopCovid » a été confié à l’Inria et s’intègre dans le projet PEPP-PT.
La technologie Bluetooth utilise uniquement des ondes radio pour échanger des informations avec les dispositifs proches et n’utilise pas les données GPS. Ce « traçage de proximité » permet de déterminer les terminaux mobiles qui ont été à proximité d’une personne infectée, sans révéler ni l’identité des individus en question, ni le lieu où ce contact est intervenu. Pour cela, les utilisateurs doivent télécharger une application et activer la fonction Bluetooth de leur téléphone. Cette application permet, comme l’explique le Livre Blanc du groupement DP-PPT et la documentation du PEPP-PT, d’« émettre un identifiant anonyme et éphémère correspondant à l’utilisateur, et également d’enregistrer les identifiants reçus des téléphones passant à proximité », afin de constituer l’historique des contacts. Si un individu est diagnostiqué positif au coronavirus, il le déclare sur son application et, selon le modèle DP-PPT, l’information est envoyée sur un serveur central ce qui permet aux autres utilisateurs de l’application, qui ont enregistré dans leur historique de contacts l’identifiant de l’individu contaminé, d’être notifiés. La solution DP-PPT pourrait peut-être permettre d’établir une « cote de risque » (risk scoring) sur la base du degré de proximité et de la durée du contact avec une personne infectée. La documentation fournie par le PEPP-PT indique que chaque pays définira la façon d’informer et de gérer les contacts exposés à des personnes contaminées. À ce stade, le gouvernement français n’a pas indiqué comment il envisageait de gérer les données relatives aux individus exposés.
Deux approches sont envisagées : le système peut être centralisé, approche plébiscitée par le DP-PPT et envisagée également par le PEPP-PT, c’est-à-dire que toutes les données (contact, durée du contact, proximité, etc.) sont directement envoyées et traitées par un serveur central qui identifie les individus devenus à risque et déclenche la notification. À l’inverse, dans une approche décentralisée, les informations restent sur les téléphones portables qui traitent en local les informations de proximité.
Dans ces deux modèles, l’intervention d’une autorité de santé est prévue notamment pour recevoir le diagnostic des individus (automatiquement ou avec leur consentement), les informer qu’ils ont été testés positifs et s’assurer que la déclaration de contamination n’est pas trompeuse, en communiquant à l’individu déclaré positif un code d’authentification temporaire à renseigner dans l’application, comme moyen de « certification », et qui déclenchera la notification auprès des personnes « contacts ».
Néanmoins, la technologie Bluetooth ne va pas sans ses défauts également, notamment celui de créer des « faux positifs » ou des « faux négatifs », c’est-à-dire de déclencher des notifications auprès de personnes « contacts » à tort ou à l’inverse de ne pas notifier des personnes à risque, puisqu’elle ne permet par exemple pas d’identifier si les individus ont été dos à dos ou face à face, ou encore si l’individu a touché certaines surfaces contaminées.
En parallèle, de nombreux pays ont développé des initiatives similaires dans le monde. A Singapour par exemple, l’application TraceTogether est utilisée par 19% de la population sur une base volontaire, ce qui n’a pas permis d’éviter pour autant des mesures de confinement qui ont été adoptées depuis en raison d’une seconde vague de contagions. Singapour a par ailleurs couplé cet usage au déploiement d’autres technologies de traçage telles que l’exploitation des données de paiements. L’Allemagne réfléchit également au déploiement d’une application sur le modèle de TraceTogether, étant précisé que la campagne de dépistage y est importante et de nature à améliorer l’efficacité de cette technologie. Le 10 avril, Google et Apple ont annoncé qu’elles pourraient coopérer au développement d’une solution Bluetooth volontaire de contact tracing.
Initiatives politiques et législatives
Au fur et à mesure que l’épidémie évolue, le cadre législatif pour faire face aux différentes conséquences de celle-ci ne cesse de s’étoffer. Ainsi, plusieurs institutions ont publié des recommandations, notamment le Comité Européen sur la Protection des Données (EDPB) et le Contrôleur Européen à la Protection des Données (CEPD) au sujet des traitements de données à caractère personnel dans le contexte de la lutte contre le Covid-19.
Des orientations spécifiques relatives à la protection des données à caractère personnel dans le cadre de l’utilisation d’applications pour lutter contre la crise du Covid-19 ont accompagné la publication de la “boîte à outils” de la Commission européenne le 16 avril.
De la même manière, les États et leur gouvernement tentent d’organiser un cadre pertinent au plus vite. La présidente de la CNIL, Marie-Laure Denis a été auditionnée par la commission des lois de l’Assemblée Nationale le 8 avril et a fait part des enjeux juridiques liés à la mise en place du contact tracing.
Les députés sont également très actifs : une note parlementaire sur le « traçage des données mobiles dans la lutte contre le Covid-19 », a été publiée le 6 avril par le député Mounir Mahjoubi et une proposition de loi a été déposée à l’Assemblée Nationale le 7 avril, qui autoriserait l’État à traiter les données de géolocalisation des individus dans le contexte d’une épidémie, sous réserve d’obtenir leur consentement.
L’actualité évolue très rapidement et de multiples recommandations, projets de loi ou autres textes, sont à prévoir dans les prochains jours.
[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]S’abonner à la newsletter du Club des juristes[/vcex_button]
