Publication chez Dalloz Actualité

À travers deux exemples d’actualité que sont l’application StopCovid (première partie) et le Service intégré de dépistage et de prévention (SIDEP) (seconde partie), Caroline ZORN aborde la question de la protection des données de santé à l’aune du pistage. Les deux sujet sont confrontés à une analyse juridique (et parfois technique) incitant à une réflexion sur nos convictions en période d’état d’urgence sanitaire. Cette étude a été séparée en deux parties, la première est consacrée à StopCovid. Elle est également consultable sur le site de Dalloz Actualité.

le 12 mai 2020

Pendant près de huit semaines, 67 millions de français·es (ou presque) ont été confiné·es en raison de la faiblesse des moyens du système de santé français face aux ravages du nouveau coronavirus (SARS-CoV-2). Depuis plus de deux décennies, les réformes de l’hôpital1 ont conduit à une diminution des capacités d’accueil des services hospitaliers. Dans ce contexte, sans hôpital apte à faire face à l’intégralité du flux de patients malades, sans possibilité de distribuer massivement des masques à la population2, sans test fiable disponible à grande échelle, le gouvernement a fait le choix d’une stratégie que le syndicat des jeunes biologistes médicaux (SJBM) décrit en ces termes3 : « En France, notre stratégie de dépistage est adaptée à nos moyens (et non l’inverse) : là où la Corée fait du dépistage massif et un confinement ciblé, la France fait un confinement massif et un dépistage ciblé ». Consécutivement, le Conseil d’État a été très occupé par les nombreux recours relatifs à l’absence de masque et de dépistage ciblé, sans que soit cependant ébranlée sa jurisprudence qualifiée par la doctrine de « labellisation juridictionnelle des décisions prises par le premier ministre, lui-même membre de cette institution »4 , le Conseil étant dépeint comme un « auxiliaire de la police administrative »5. Un épisode qui aura certainement marqué le Palais-Royal !

Parmi les solutions destinées à améliorer le déconfinement, une application dénommée « StopCovid » a été annoncée en avril. C’est dans le journal Le Monde du 8 avril 2020, qu’Olivier Véran et Cédric O, ministre de la santé et secrétaire d’État au numérique, ont expliqué le fonctionnement de la future application, son but étant la limitation de la diffusion du virus par l’identification des chaînes de transmission. « L’application est installée volontairement ; lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été́ en contact avec cette personne sont prévenus de manière automatique », expose Cédric O. Seule la technologie Bluetooth serait envisagée, a-t-il rappelé, et non les données de géolocalisation. Après une valse-hésitation, nul ne sera obligé de télécharger cette application, son utilisation restera volontaire.

Est-ce que l’application StopCovid pourra offrir des résultats à la hauteur du consentement à partager ses données de santé qui est demandée aux citoyen·nes (première partie) ? La question est d’autant plus intéressante que le consentement ne sera pas une condition de la mise en œuvre de l’autre grand projet du moment : l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire dispose de la création de deux fichiers à savoir le sidep et son acolyte, le fichier Contact Covid, destiné à l’intervention de brigades de l’assurance maladie (seconde partie).

Alors que les débats ont été vifs sur l’application StopCovid dès l’annonce de sa création au mois d’avril, il semble que le mois de mai sera davantage marqué par la découverte des grands fichiers mis en œuvre aux fins de traçage des personnes sans leur consentement. Le débat sur la question du consentement à l’utilisation de ses données dans une application smartphone était déjà enclenché quand est apparu le fichier sidep. Ces éléments conduisent à penser que les modalités de déconfinement de la population française relèveront autant du numérique que de la santé publique, ce qui nécessite une perspective croisée sur ces deux sujets d’actualité.

Première partie : L’application StopCovid, une idée européenne prête à s’échouer en France

L’origine de l’appli StopCovid

C’est le très sérieux Institut national de recherche en sciences et technologies du numérique (INRIA) qui est en charge de l’algorithme de l’application. Son développement est, lui, confié à l’incubateur attaché au programme interministériel TECH.GOUV de la Direction interministérielle du numérique (Dinum). Leur travail se fait sur la base des préconisations d’une organisation à but non lucratif basée en Suisse (dont l’INRIA fait partie) appelée Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) ou, en français, pistage de proximité pan-européen et respectueux de la vie privée. Au 31 mars 2020, ce consortium privé inspiré des expériences asiatiques en matière de pistage comptait 130 membres, scientifiques, experts d’instituts de recherche, sociétés (comme le groupe de télécommunications Vodafone, le cabinet de conseil Taylor Wessing, l’éditeur de logiciels californien Tourmaline Labs ou l’allemand Arago GmbH). Le PEPP-PT se propose de fournir aux États les normes, technologies et services nécessaires au développement d’applications destinées à stopper l’épidémie. Telle est bien la demande de la recommandation de la Commission européenne du 8 avril 2020 concernant une boîte à outils commune de l’Union pour l’utilisation des technologies et des données en vue de combattre et de sortir de la crise covid-196 : « En cas de succès, les autorités nationales de santé publique peuvent décider d’utiliser les données de l’application pour la surveillance des soins primaires en relation avec la covid-19. Ces données pourraient être fournies à l’agence européenne ECDC [European Centre for Disease Prevention and Control] chaque semaine, sous forme agrégée […]. Cela permettrait aux autorités nationales et à l’ECDC d’estimer la valeur prédictive positive des symptômes respiratoires dans une communauté donnée, fournissant ainsi des informations sur le niveau de circulation du virus sur la base des données provenant de l’application »7.

La commande faite au PEPPT-PT est donc une boîte à outils permettant une surveillance épidémiologique par le biais des smartphones des citoyens. Dès lors, connaît-on les recommandations de ce consortium ? Que vaut le cahier des charges de ce groupement ? Le RGPD autorise-t-il vraiment ce type d’applications traitant des données de santé ? Il semble que le gouvernement n’ait pas apprécié les demi-réponses de la CNIL à ces questions.

Robert est-il le sauveur ?

Le premier protocole technique du système (c’est-à-dire la procédure qui décrit comment une application doit fonctionner) a été publié le 18 avril 2020. Présenté par l’INRIA, le protocole répond au nom de Robert (ROBust and privacy-presERving proximity Tracing). Il constituera le socle technique de l’application StopCovid, soumis à la CNIL ainsi qu’au débat parlementaire qui devait avoir lieu le 28 avril, mais qui a été finalement reporté à la fin mai.

Comme prévu, c’est la technologie Bluetooth, réputée à faible consommation d’énergie, qui a été retenue. En effet, le PEPP-PT s’est engagé à respecter le règlement général de l’Union européenne sur la protection des données (RGPD) en refusant d’avoir recours aux données de localisation (GPS). Pourtant, pour que le projet d’application fonctionne, il faudra pouvoir utiliser le Bluetooth même lorsque le smartphone est en veille… ce qui nécessitera de travailler avec Google et Apple qui contrôlent les logiciels dont sont équipés les smartphones via leurs systèmes d’exploitation Android et iOS8. En effet, pour que des téléphones puissent « se parler », il faut que leurs constructeurs acceptent qu’il utilise la même langue… seulement alors, Robert pourra les mettre en relation.

Cette position des deux opérateurs américains les a naturellement poussés à mettre en œuvre leur propre solution… que l’Allemagne a décidé d’adopter au détriment du projet européen ! Le fait que le protocole envisagé dans la solution européenne soit centralisé inquiète nos voisins allemands : « Nous soutiendrons une architecture décentralisée qui ne stockera les contacts que sur les appareils. C’est bon pour la confiance », a ainsi déclaré le ministre de la Chancellerie Helge Braun9.

La centralisation autour d’une « autorité de confiance »

La centralisation des données est le maître mot en matière de système d’information en France. Les documents présentant le fonctionnement de l’application StopCovid l’illustrent. Une personne installe l’application développée grâce au protocole Robert. « Alice » (dans l’exemple fourni par l’INRIA) active le Bluetooth de son smartphone. L’appareil reçoit un ensemble de crypto-identifiants (des pseudonymes) des personnes qu’elle croise. Charles, Bernard et d’autres ont également téléchargé l’application et la fonction Bluetooth de leur smartphone est activée. Alice a des symptômes ; elle est testée positive au covid-19 (ce qui signifie que des tests sont disponibles et accessibles). Souhaitant alerter les personnes qu’elle a croisées, elle accepte de partager son pseudonyme (et ceux des personnes rencontrées qui se trouvent dans son application) avec la base de données centrale. Seules les autorités sanitaires locales, considérées comme des personnes de confiance, pourraient télécharger les données afin de pouvoir avertir les personnes à risque d’infection et leur dire de s’isoler. Qui sera cette autorité sanitaire de confiance dont ne veulent pas les Allemands ? Le gouvernement n’a pas encore été clair, mais il semble que ce soient les agences régionales de santé qui héritent de cette mission.

Les conditions de réussite

Pour que l’application StopCovid remplisse son objectif, il faut un environnement parfaitement adapté à celle-ci. La première condition est que tout le monde dispose d’un smartphone (or seulement 77 % des Français en avaient un en 201910). « Pour observer un effet, 60 % des gens doivent utiliser une telle application », a estimé le ministre belge Philippe de Backer pour justifier l’abandon du projet, ajoutant qu’en Autriche, malgré la publicité faite autour de l’application créée par la Croix rouge, « seulement 3 ou 4  % des gens l’utilisent »11. La deuxième est que les développeurs parviennent à faire travailler l’application avec la technologie Bluetooth pour mesurer la distance entre smartphones avec précision, alors qu’elle n’a pas été prévue pour cela. Quid de la mesure entre votre smartphone et celui de votre voisin de palier ? Vos chambres à coucher se jouxtent, vos téléphones sont peut-être à un mètre l’un de l’autre… le Bluetooth ne saura pas détecter le mur qui les sépare. Ainsi, dans les zones denses, les « faux positifs » risquent de semer une certaine panique.

Le consentement ne peut être que libre

La finalité présentée par le gouvernement est de donner une alerte aux personnes croisées par « Alice ». Quelle sera la suite ? Obtenir un masque ? Accéder à un test sérologique ou un test de dépistage ? Faire dépendre d’une application aussi peu fiable la distribution de masques ou l’accès à des tests équivaudrait à discriminer plus d’un quart de la population française ne disposant pas de smartphone, mais aussi, pour les porteurs de l’application, cela vicierait leur consentement aux traitements de leurs données personnelles : il ne s’agirait plus d’un accord libre dans la mesure où l’acquisition d’un matériel de première nécessité en dépend.

Le RGPD dit l’importance de la manifestation de la volonté de la personne concernée en définissant ainsi le consentement : il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (règl. [UE] 2016/679, 27 avr. 2016, art. 4, § 11). Si des avantages sont subordonnés à l’utilisation d’une application telle que StopCovid, il n’y a pas de consentement libre au traitement de ses données personnelles dans ce cadre.

La CNIL a par conséquent mis en garde le gouvernement sur ce point : « Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à̀ l’absence de téléchargement ou d’utilisation de l’application […]. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination »12.

Des données ni anonymes ni parfaitement sécurisées

Les données traitées par l’application StopCovid ne sont pas anonymisées. Elles sont pseudonymisées, ce qui signifie qu’une réidentification est possible par le responsable du traitement. À ce titre, elles sont des données à caractère personnel soumises au RGPD : « L’analyse du protocole technique par la [CNIL] confirme que l’application traitera bien des données personnelles et sera soumise au RGPD. Elle attire l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée. »13

Certains chercheurs en cybersécurité comme Baptiste Robert critiquent d’ailleurs vivement l’assertion du gouvernement selon laquelle la connexion Bluetooth garantirait l’anonymat : « Ce sont les métadonnées liées à la connexion Bluetooth qui trahissent la localisation de l’utilisateur »14. Le mathématicien Enrico Nardelli, professeur à l’université de Rome, met également en garde : « On peut facilement imaginer qu’émerge un marché d’applications “annexes” proposant de calculer combien de fois dans une journée vous avez rencontré un certain appareil et si, dans la même journée, vous avez rencontré un seul appareil (parmi ceux signalés par le serveur central comme appartenant à une personne infectée) ou plusieurs »15.

L’INRIA le reconnaît : « Quand un utilisateur reçoit un message “Vous avez été en contact avec une personne diagnostiquée positive” et qu’il a été en contact avec très peu de personnes (dans notre exemple, Charles a été en contact avec seulement Alice et Bernard), il peut deviner que l’un d’entre eux est diagnostiqué positif. Si ce risque est jugé inacceptable, le protocole Robert pourra être doté d’un mécanisme probabiliste permettant de protéger les utilisateurs contre ce type d’inférence. Le choix de telles options dépasse le strict cadre de version courante du protocole Robert. »

C’est donc un arbitrage que devra faire le Parlement car, en l’état actuel du projet, les données permettent de « réidentifier » une personne, alors même que la technologie utilisée, le Bluetooth, n’est pas recommandée pour transmettre des données sensibles. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) donne un conseil constant : n’activer le Bluetooth que si c’est strictement nécessaire. Les raisons de cette recommandation ont été détaillées très clairement dans une note de 200716, toujours d’actualité quand on songe aux différents incidents de sécurité récents en lien avec le Bluetooth17. Les utilisateurs devraient être avertis de tout cela avant de consentir à l’installation de l’application.

Conclusion

Au-delà de l’espoir, légitime, de trouver le salut dans cette application, il faut s’interroger sur le service rendu. La présidente de la CNIL, lors de son audition, insiste : « Si la technologie et le traitement des données peuvent nous être d’un grand secours dans la gestion de cette crise sanitaire, il est aujourd’hui difficile, faute de recul suffisant, d’évaluer les bénéfices effectifs qui pourraient être tirés de l’utilisation de tels dispositifs, d’autant plus que les usages peuvent varier tant au niveau des données collectées que des finalités poursuivies »18. En réalité, il nous est impossible de ne pas songer à la série Parlement, fiction dans laquelle la fantasque eurodéputée britannique pro-Brexit s’interroge sur le sérieux problème de la frontière entre l’Angleterre et l’Irlande du Nord en ces termes révélateurs de la passion qui s’empare de nos dirigeants en période troublée : « Il existe une application pour tout de nos jours ! […] On pourrait faire un truc comme Deliveroo. On mélange quelques bitcoins avec un peu de Blockchain et on suit tout ça avec un gros GPS ! »19.

Quelques semaines vont s’écouler d’ici à ce que cette application basée sur le protocole Robert soit prête début juin, selon les dernières déclarations du gouvernement. Dans l’attente, la CNIL lui demande de la saisir à nouveau « du projet de norme encadrant la mise en œuvre de l’application en cause lorsque la décision aura été prise et le projet précisé »20. C’est une période durant laquelle il est possible que le projet s’améliore, mais aussi qu’il disparaisse complètement du fait de son abandon par nos voisins allemands, belges, autrichiens qui estiment que le système est trop centralisé pour inspirer la confiance des utilisateurs, et qu’en conséquence, trop peu de citoyens installeront cette application de traçage numérique pour accompagner le déconfinement. Si tel est le cas, la France se trouvera bien seule dans l’Union avec Robert.

 

Notes

1. Pour une vision claire des réformes de l’hôpital sur les quarante dernières années, v. P. Juven, F. Pierru et F. Vincent, La casse du siècle. À propos des réformes de l’hôpital public, éd. Raisons d’Agir, 2019.

2. Sur la gestion kafkaïenne d’approvisionnement en masques et matériel médical, v. Y. Philippin, A. Rouget, C. Fayol et M. Delattre, Masques : après le mensonge, le fiasco d’État, Mediapart, 10 avr. 2020.

3. Cité par L. Delaporte, Tests covid-19 : la machine est toujours grippée, Mediapart, 13 avr. 2020.

4. Pr. P. Cassia, Le Conseil d’État et l’état d’urgence sanitaire : bas les masques !, blog Mediapart, 11 avr. 2020.

5. X. Dupre de Boulois, On nous change notre… référé-liberté (obs. sous CE ord., 22 mars 2020, n° 439674), RDLF 2020, chron. n° 12.

6. Comm. UE, recommandation C(2020) 2296 final, 8 avr. 2020, On a common Union toolbox for the use of technology and data to combat and exit from the covid-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data, v. Dalloz actualité, 28 avr. 2020, art. N. Maximin.

7. « Les États membres devraient, pour le 31 mai 2020, faire rapport à la Commission sur les mesures prises en application de la présente recommandation. Ces rapports devraient se poursuivre sur une base régulière aussi longtemps que la crise covid-19 persistera », C(2020) 2296 final, préc., p. 13.

8. K. Poireaulte, Les nombreuses limites du contact tracing envisagé par le gouvernement dans le projet StopCovid, industrie-techno.com, 14 avr. 2020.

9. Reuters, Coronavirus : L’Allemagne change d’avis sur le traçage numérique, 26 avr. 2020.

10. CREDOC, Baromètre du numérique, 2019.

11. X. Demagny, Coronavirus et déconfinement : la Belgique laisse tomber l’idée d’une application de traçage, France Inter, 23 avr. 2020.

12. CNIL, 24 avr. 2020, délib. n° 2020-046 portant avis sur un projet d’application mobile dénommée « StopCovid » ; v. art. Dalloz actualité, 28 avr. 2020, art. C. Crichton.

13. CNIL, 24 avr. 2020, délib. n° 2020-046, préc.

14. Cité par K. Poireault, préc. note 8 ; v. aussi X. Demagny, Application StopCovid : le Bluetooth peut préserver l’anonymat (mais ce n’est pas aussi simple que ça), France Inter, 9 avr. 2020.

15. Cité par K. Poireault, préc., note 8.

16. ANSSI, Computer Emergency Response Team, Note d’information « Sécurité des réseaux sans fil Bluetooth », CERTA-2007-INF-003, 2007.

17. I. Arghire, SweynTooth : Bluetooth Vulnerabilities Expose Many Devices to Attacks, securityweek.com, 14 avr. 2020 ; C. Cimpan, Android : une faille de sécurité sur le Bluetooth, zdnet.fr., 7 févr. 2020 ; L. Tung, Bluetooth : une faille pour accéder aux données, en théorieibid., 25 juill. 2018.

18. Audition de M.-L. Denis, présidente de la CNIL, devant la commission des lois, le 8 avr. 2020.

19Parlement, de Noé Debré, saison 1, épisode 5 « Demos Kratos ».

20. CNIL, 24 avr. 2020, délib. n° 2020-046, préc.