Cette période de confinement, où chacun est appelé à la plus grande sédentarité, se révèle être, dans le même temps, un vecteur d’innovation pour en appréhender la sortie. En illustre la mise en place des projets inédits d’applications de traçage par les gouvernements européens.
En France, l’application « StopCovid » suscite depuis son annonce, de nombreuses réflexions mobilisant notamment juristes et informaticiens.

Par Me Pierre Randolph Dufau, Avocat à la cour, fondateur de la SELAS PRD avocats.

Ce projet d’application a pour but d’établir des « chaînes de contamination potentielles » en mettant en lumière des points de contact et, le cas échéant, en alertant les personnes exposées. Conformément aux préconisations publiées le 16 avril dernier par la Commission européenne dans sa « boîte à outils », cette solution reposerait sur la technologie Bluetooth plutôt que sur la géolocalisation, et elle devrait par ailleurs recourir à une technique de pseudonymisation des données personnelles. Si ces mesures apportent un « certain nombre de garanties » pour la Commission nationale de l’informatique et des libertés (Cnil), elle réserve néanmoins dans son avis n°2020-046 du 24 avril dernier quelques « recommandations portant sur l’architecture et la sécurisation de l’application ».

A l’unisson, la CNIL, le Conseil national du numérique (CNNUM) et l’Inria rappellent qu’il est crucial que le recours à cette application s’intègre dans une « stratégie plus globale » et qu’elle soit limitée dans le temps, sans qu’une idée précise de cette durée ne soit aujourd’hui dévoilée. La CNILappelle au surplus « à une vigilance particulière contre la tentation du « solutionnisme technologique » ». Une importance toute particulière est consacrée à la confiance que doit susciter cette application auprès du public et, corolairement, à la transparence dont elle doit faire preuve. Sur ce dernier point, l’application devrait, selon l’Inria, être diffusée sous une licence libre « afin d’apporter toutes les garanties en matière de contrôles par la Société ».

Dans son avis en date du 24 avril dernier, la CNIL affirme que « l’application peut être déployée, conformément au règlement général de protection des données (RGPD), si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées ». Elle précise aussi que son effectivité repose en partie sur « une adoption large » du public tout en rappelant que cette collecte de données, ayant vocation à s’appliquer « à la plus grande partie de la population possible », elle « doit être envisagée avec une grande prudence ».

Le 8 avril dernier, lors de son audition devant la commission des lois de l’Assemblée nationale, la Présidente de la Cnil évoquait les bases légales pouvant fonder un tel traitement de données et concluait que « concrètement, il faut donc, dans la généralité des cas, soit que les données soient anonymes, soit le consentement, soit un texte qui, en France, devrait être une loi ». Dans son avis en date du 26 avril dernier, elle se montre favorable au fait que l’utilisation de l’application relève d’une démarche volontaire, et évoque désormais que le motif de « mission d’intérêt public », au sens du RGPD, « constitue la base légale la plus appropriée pour le développement par l’autorité publique » de l’application. Elle rejoint en ce sens les conclusions émises par le Comité européen de protection des données, le 21 avril dernier, dans son avis n°04/2020. Concernant le traitement des données, dites sensibles, de santé, elle reconnaît que l’article 9.2 prévoyant que le traitement de ces données puisse intervenir, pour des motifs d’intérêt public « dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé », trouverait à s’appliquer en l’espèce. Par ailleurs, elle recommande que le fondement juridique soit prévu de manière « explicite et précis[e] » dans le droit national, et le cas échéant, demande à être saisie de nouveau.

Le projet d’application devrait être présenté prochainement, avant la date du 11 mai, devant l’Assemblée nationale. Lors de son discours du 28 avril, Edouard Philippe a confirmé que l’application n’était pas encore prête. Mais il a aussi confirmé que son déploiement serait d’abord soumis à l’approbation de l’Assemblée Nationale : « Un grand nombre de responsables politiques, à commencer par le Président de l’Assemblée Nationale, m’ont fait part de leurs interrogations sur ce type d’instrument, sur les questions que son utilisation ne manquerait pas de poser en termes de libertés publiques. Ces questions, j’ai déjà eu l’occasion de le dire, me paraissent fondées. Elles doivent être posées. Elles doivent être débattues. Et j’ai même le sentiment qu’elles doivent faire l’objet d’un vote… Lorsque l’application en cours de développement fonctionnera et avant sa mise en œuvre, nous organiserons un débat spécifique, suivi d’un vote spécifique. »

Si les contours se précisent un peu, le chantier, d’envergure, reste en cours.