La crise sanitaire engendrée par la propagation du COVID-19 a poussé le Gouvernement a adopter des mesures d'urgence à la fois pour garantir la sécurité et la santé des citoyens notamment des plus vulnérables mais aussi a servi de pretexte à l'adoption de certaines mesures liberticides et qui remettent en cause les droits fondamentaux des personnes comme le droit au respect de la vie privée.
Le mythe littéraire orwelien de "Big Brother" ou encore la société de contrôle et de surveillance décrite si bien par Deleuze et Foucault font désormais partie du quotidien de nos société post-modernes.
L'application "Stopcovid" qui sera disponible à partir du 2 juin 2020 en est la parfaite illustration sur ce point.
---------------------------------------------------------------------------------------------------------------
La mise en place de cette application par le Gouvernement, de concert avec les opérateurs du secteur des téléphonies, se présente sous la forme d'une application mobile pour smartphone (téléchargeable sur Apple Store ou Play Store)dont le but est d'informer tout utilisateur de cette application d'un risque de contamination lorsque ce dernier se trouve à proximité d'un autre utilisateur qui aura été diagnostiqué positif au virus de type "COVID-19". Il ne s'agit en aucun cas, selon ce décret, de géolocaliser la personne malade mais uniquement de permettre la recherche de contact dit "contact tracing".
L'article 1er du décret n° 2020-650 du 29 mai 2020 rappelle :
" I. - Il est créé un traitement de données dénommé « StopCovid », dont le responsable est le ministre chargé de la santé (direction générale de la santé).
Ce traitement de données à caractère personnel, qui repose sur une application mobile et un serveur central, est mis en œuvre dans le cadre d'une mission d'intérêt public conformément au e du paragraphe 1 de l'article 6 du règlement (UE) du 27 avril 2016 susvisé, et pour les motifs d'intérêt public mentionnés au i du paragraphe 2 de l'article 9 de ce même règlement.
II. - Ce traitement a pour finalités :
1° D'informer les personnes utilisatrices de l'application qu'il existe un risque qu'elles aient été contaminées par le virus du covid-19 en raison du fait qu'elles se sont trouvées à proximité d'un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie. Les personnes exposées à ce risque sont désignées ci-après comme « contacts à risque de contamination » ;
2° De sensibiliser les personnes utilisatrices de l'application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation ;
3° De recommander aux contacts à risque de contamination de s'orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ;
4° D'adapter, le cas échéant, la définition des paramètres de l'application permettant d'identifier les contacts à risque de contamination grâce à l'utilisation de données statistiques anonymes au niveau national.
III. - L'application StopCovid est installée librement et gratuitement par les utilisateurs. Ceux-ci ont la faculté d'activer ou non la fonctionnalité de l'application permettant de constituer l'historique de proximité mentionné au 5° du I de l'article 2. En cas de diagnostic clinique positif au virus du covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l'application sont libres de notifier ou non ce résultat dans l'application et de transmettre au serveur l'historique de proximité mentionné au 6° du I de l'article 2. L'application peut être désinstallée à tout moment".
Même si ce dispositif repose sur le volontariat des personnes et garantie l'anonymat des données de chaque utilisateur conformément aux dispositions prévues par le RGDPD de 2016 visé au premier alinéa de l'article 1er, il n'en demeure pas moins que deux avis de la CNIL ont été rendus en amont du décret.
Il s'agit d'un premier avis rendu le 24 avril 2020 puis d'un second avis rendu le 25 mai 2020.
Voyons le contenu de ces deux avis puis le contenu du décret.
I/ Avis de la CNIL du 24 avril 2020 :
Cet avis issue d'une délibération n° 2020-046 pose comme jalons :
- La nécessité de ne pas recourir à une collecte en masse de données personnelles ;
- Le principe constitutionnel du droit au respect de la vie privée prévu et protégé par l'article 2 de la DDHC de 1789 ne peut être remis en cause qu'en vertu d'un autre principe constitutionnel qui est celui inhérent à la protection de la santé (alinéa 11 du préambule d la Constitution de 1946) ;
- La collectee des données des personnes concernées ne pourra se faire que pour un temps limité ;
- Les informations reliés à un serveur central ne permettront pas d'identifier la personne malade et celle qui a été en contact avec elle (l'anonymisation est nécessaire) ;
- L'appiclation est fondée sur la base du volontariat et ne peut servir à surveiller les déplacements de personnes ni à vérifier les zones où elles se sont rendues que ce soit pendant la période de confinement ou après le déconfinement ;
- La protection des données personnelles est assurée au sens de la loi "informatique et libertés" si et seulement si cette application repose sur le consentement des utilisateurs de cette application ou s'il s'agit de favoriser l'existence d'une mission d'intérêt public fondée sur la lutte contre l'épidémie liée au COVID-19 ;
- L'application doit permettre à ce que tout utilisateur puisse comprendre et accéder en toute transparence aux données personnelles le concernant ;
- Enfin, cette application devra présenter tous les gages visant à assurer une fiabilité et une sécurité des données y circulant.
II/ Avis de la CNIL du 25 mai 2020 :
Ce deuxième avis rendu par une délibération n° 2020-056 fait suite au projet de décret envisagé par le Gouvernement.
La Commission rappelle et précise les points suivants :
- Les dispositions prévues par le décret doivent respecter les dispositions supra-nationales issues du réglement européen (réglement UE n° 2016/679) du 15 avril 2016 concernant la protection des données personnelles comme cela a été rappelé dans le précédent avis de la CNIL du 24 avril 2020 ;
- Le droit au respect de la vie privée et à la protection des données personnelles se trouvent garanties à la fois par le Code civil (article 9 de la loi du 17 juillet 1970) par la Constitution (article 2 de la DDHC) mais aussi par le droit supra-national : CEDH (article 8), Charte des droits fondamentaux de l'UE...
- Les atteintes portées par une autorité publique au droit au respect de la vie privée et à la protection des données personnelles des particuliers nee peuvent se justifier que par un motif d'intérêt général et cette atteinte doit être proportionnée et nécessaire au regard de l'objectif envisagé par le Gouvernement à savoir protéger la santé des citoyens ;
- L'utilisation de cette application repos sur le volontariat ;
- Les données collectées seront limitées comme cela ressort de l'aticle 2 du décret et conformément à l'article 5.1.c du RGPD.
- l'exactitude des données transmises devra se faire en conformité avec l'article 5.1.d du RGPD ;
- Une transparence doit être prévue s'agissant de toutes les personnes amenées à traiter les données comme les hébergeurs de l'application en cause.
-Une transparence doit être prévue s'agissant de l'information des personnes utilisatrices de cette application notamment quant à leur droit d'accès et de modifications des données les concernant.
III/ Les dispositions prévues par le décret n° 2020-650 du 29 mai 2020 :
Ce décret s'adapte aux recommandations de la CNIL mais aussi aux dispositions antérieures prévues le RGPD de 2016 ainsi que par les textes protégeant les droits fondamentaux des personnes et qui permettent de limiter l'arbitraire des mesures de police.
En effet, le décret relatif au traitement des données dénommé "Stopcovid" comprend à la fois des dispositions concernant :
- l'usage et la finalité de cette application ;
- les personnes concernées et l'absence d'obligation de fournir des données de santé ;
- la transparence et la sécurisation dans la mise en place du traitement des données ;
- le recours à l'anonymat par l'usage de pseudonymes par les personnes diagnostiquées ou dépistées positives au COVID-19 ;
- le traitement des données par cette application est limité dans le temps : six mois après la fin de l'état d'urgence (article 3).
En conclusion, si cette application ne repose pour le moment que sur la base du volontariat des personnes qui acceptent ou non de révéler leurs données de santé, on ne connaîtra pas avant plusieurs mois son efficacité et son succès auprés des utilisateurs. D'ailleurs, le décret prévoit qu'un rapport d'évaluation sera rendu dans les trente jours suivant le terme de la mise en oeuvre de cette application. On peut supposer que cette application ne perdurera pas après la fin de la période d'état d'urgence sanitaire fixée pour le moment au 10 juillet 2020 mais qui pourrait être prolongée.
La fin de cette période ne lévera pas tous les risques de contamination et devra inciter le Gouvernement a choisir davantage des mesures permettant de soigner efficacement les malades et endiguer le risque de propagation du virus par la commercialisation d'un traitement efficace plutôt que de procéder à une "surveillance généralisée" des personnes potentiellement porteuses du virus.
