Depuis plusieurs jours, le gouvernement français réfléchit au développement d’une application mobile StopCovid, dans le cadre de la crise sanitaire du Covid-19. Plusieurs solutions de traçage ont d’ores et déjà été testées par plusieurs États, aucune n’apparait satisfaisante. Thierry Breton indique qu’il est “hors de question” d’avoir des mesures coercitives de traçage dans l’Union européenne, Macron, de son côté, veut un débat au Parlement.
Le gouvernement français avait notamment confirmé la semaine dernière qu’il travaillait sur une application baptisée “StopCovid”, qui utiliserait le mode de transmission sans fil bluetooth d’un téléphone pour repérer les contacts avec d’autres utilisateurs. L’idée étant de pouvoir prévenir, de manière anonyme, ces contacts quand un utilisateur découvre qu’il a été contaminé. En vue du déconfinement, plusieurs pays planchent sur des applications mobiles qui permettraient, grâce à leurs smartphones, de repérer et prévenir les personnes ayant été en contact avec quelqu’un de contaminé.
Un débat au Parlement
Emmanuel Macron a indiqué lundi soir à la télévision souhaiter un débat au Parlement
d’ici le 11 mai sur les techniques de traçage des données des téléphones pour lutter contre le Covid-19, l’épidémie ne devant pas “mordre” les libertés individuelles. Pour accompagner la sortie progressive du confinement à partir du 11 mai, “il ne faut négliger aucune piste, aucune innovation mais je souhaite que, avant le 11 mai, nos assemblées puissent en débattre et que les autorités compétentes puissent nous éclairer“, a déclaré lundi soir le président. “Car cette épidémie ne saurait affaiblir notre démocratie ni mordre sur quelque liberté“, a-t-il ajouté alors que le traçage fait polémique.
“Plusieurs innovations font l’objet de travaux avec certains de nos partenaires européens comme une application numérique dédiée qui, sur la base du volontariat et de l’anonymat, permettra de savoir si oui ou non l’on s’est trouvé en contact avec une personne contaminée (…) Le gouvernement aura à y travailler“, a ajouté M. Macron.
Une “boîte à outils” contenant des principes communs
Le Contrôleur européen de la protection des données (CEPD) plaide actuellement pour une application commune à tous les Etats membres. Dimanche le commissaire européen au Marché intérieur Thierry Breton a de son côté indiqué qu’il était “hors de question” d’avoir des mesures coercitives de traçage par téléphone dans l’UE pour repérer les chaînes de contamination au coronavirus.“Il est hors de question, on ne soutiendra jamais, jamais, des mesures qui soient des mesures coercitives”, a déclaré M. Breton dimanche dans l’émission Le Grand Jury, coorganisée par RTL, Le Figaro et LCI. L’utilisation doit se faire “uniquement sur la base du volontariat“. Cela doit aussi être “uniquement utilisé par les autorités de santé. Impossible à des autorités judiciaires, de police, ou commerciales évidemment, assurances, d’y avoir accès“, a-t-il ajouté.
Ces principes sont contenus dans une “boîte à outils” élaborée par la Commission européenne afin de fixer “une ligne directrice, de ce que nous pensons qu’il fallait faire et ne pas faire“, a-t-il précisé. “L’objectif c’est qu’elle soit maintenant acceptée, dans la semaine, les 10 jours qui viennent, par l’ensemble des Etats membres” de l’UE. “On proposera des lignes rouges très très claires avec évidemment l’accord complet des Cnil nationales“, les gendarmes de la protection des données privées, a encore assuré le ministre.
Interrogé sur l’éventualité d’un piratage via le bluetooth, M. Breton a également assuré que la boîte à outils européenne comprenait “des contraintes extrêmement fortes de cybersécurité pour éviter ça“.
Ce mardi 14 avril, l’Internet Society France, ONG qui défend les droits et les libertés des internautes, et qui est membre de la Commission Nationale Consultative de Droits de l’Homme, appelle à une grande vigilance et à une approche collaborative de l’ensemble des parties-prenantes si une application mobile StopCovid devait être développée en France. L’Internet Society France rappelle que cette application “doit s’inscrire comme un outil supplémentaire de l’arsenal de mesures de lutte contre la pandémie et ne peut s’envisager qu’en complément d’autres actions de santé publique et notamment de tests massifs.”
En cas de déploiement d’une telle application mobile, considérant le caractère intrusif des mesures de suivi, l’Internet Society France appelle à ce que cette application soit développée et maintenue “en France ou en Europe, dans le respect strict des règles de protection des données personnelles et de sécurité, en garantissant la minimisation des données et le consentement libre et informé des utilisateurs“.
L’ONG souhaite aussi “une supervision multi-partite du développement au déploiement avec une présence forte de la société civile“. Cette supervision pourrait être coordonnée par le Conseil National du Numérique, a-t-elle suggéré. Elle insiste sur un suivi continu du respect des libertés individuelles “en particulier de la protection des données personnelles et de la vie privée“, tant lors de la conception que pendant la mise en œuvre, par la Commission Nationale de l’Informatique et des Libertés (CNIL), la Commission Nationale Consultative des Droits de l’Homme (CNCDH) et le Défenseur des Droits.
Elle souhaite une application avec un “code source ouvert, de manière à permettre à la communauté technique de jouer son rôle de lanceur d’alerte“, une approche souveraine en France et en Europe pour l’hébergement, la distribution et le stockage des données de l’application. Enfin, elle souligne que cette application ne doit utiliser que pour “une durée strictement limitée à la résolution de la crise sanitaire actuelle dans le respect des principes de proportionnalité et de transparence“.
Auditionnée le jeudi 9 par la commission des lois de l’Assemblée Nationale, la CNIL a tenu à rappeler qu’une telle application doit respecter le cadre légal de la confidentialité des données personnelles et de la vie privée. Elle a souligné que le cadre juridique français permet une telle application, si elle fait l’objet d’un consentement libre et éclairé par les individus et si elle est limitée dans le temps. Dans le cas contraire, une disposition législative devra être envisagée.
Il reste visiblement de nombreux points à débattre, pour n’en citer que quelques-uns : garantie de transparence, durée de conservation des données, lieu de stockage, statut juridique : les données Bluetooth ont-elles le même statut juridique que les données de géolocalisation ?, etc.