Covid et application mobile : un peu de droit dans un monde de luttes [mise à jour au 30/4]

Lutte contre le virus…

Lutte contre les risques de big-brotherisation de notre société…

Chacun est dans sa lutte. Et ces deux luttes sont légitimes.

Mais quel équilibre trouver, dès lors, en ce domaine ? 

Est-il raisonnable pour le citoyen de s’affoler quand on fait une application volontaire alors… que tout aussi volontairement une grande majorité de nos concitoyens ne s’émeuvent pas que FaceBook et Google sachent tout de leurs vies et monétisent ces données sans vergogne ?

Est-il raisonnable de penser qu’une application (dont nous n’aurions pas tout le code source, semble-t-il ; voir ici à ce sujet ; et avec un protocole « Robert » qui n’est pas exempt de centralisation, voir par là ) puisse être efficace sans intégrer les iPhones et sans être obligatoire ?

Mais était-il raisonnable que la France refuse (au nom d’une indépendance nationale que l’on peut comprendre) les offres d’Apple et de Google visant à un outil mondial sans transmission de données (voir ici et  ou encore de ce côté là ; au contraire de l’Allemagne ce qui peut comme ici être interprété comme une défaite teutonne — voir ici une présentation de ce tonneau là — ou au contraire être perçu comme un pragmatisme, outre-Rhin, intelligent et surtout plus respectueux des droits : voir ici) ? A moins que les discussions entre Orange et Apple ne fassent bouger les lignes (voir ici) ?

Cela dit, il est possible qu’on se dirige vers un enterrement discret de cet outil (voir ici en ce sens) qui ne devrait pas, plus, donner lieu à un débat parlementaire semble-t-il (voir ici mais bon… tout peut encore changer).

Entre ces injonctions contradictoires, nous voici tous un peu perdus. 

 

Alors, de manière neutre (ou lâche ; à vous de choisir le bon qualificatif…) nous avons préféré vous donner des informations brutes et à chacun de choisir. Avec ci-après, en ces domaines :

  • l’avis de la CNIL
  • l’avis du Conseil national du numérique
  • les orientions de la Commission européenne
  • les lignes directrices du CEPD
  • l’avis de la Quadrature du net, de la LDH de la CNDH et de quelques autres
  • des éléments sur le protocole « Robert »
  • une alerte sur les confusions possibles
  • des renvois vers quelques articles intéressants (avec notamment l’arrêt du recours à une application qui pourtant semblait très efficace en Israël)

 

 

I. L’avis de la CNIL (en date du 24 avril 2020)

 

Dans le cadre de l’état d’urgence sanitaire lié à l’épidémie de COVID-19, et plus particulièrement de la stratégie globale de « déconfinement », la CNIL a été saisie d’une demande d’avis par le secrétaire d’État chargé du numérique. Celle-ci concerne l’éventuelle mise en œuvre de « StopCovid » : une application de suivi de contacts dont le téléchargement et l’utilisation reposeraient sur une démarche volontaire. Les membres du collège de la CNIL se sont prononcés le 24 avril 2020.

Dans le contexte exceptionnel de gestion de crise, la CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) si certaines conditions sont respectées. Elle relève qu’un certain nombre de garanties sont apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes.

La CNIL appelle cependant à la vigilance et souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale. Elle demande certaines garanties supplémentaires. Elle insiste sur la nécessaire sécurité du dispositif, et fait des préconisations techniques.

Elle demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

 

 

II. L’avis du Conseil national du numérique (24 avril 2020)

 

En réponse à sa saisine par le secrétaire d’État chargé du Numérique le 17 avril dernier, le Conseil national du numérique a rendu lui aussi un avis favorable sur l’application StopCOVID.

Cet avis se fonde sur trois éléments :

• L’application peut s’avérer utile dans la lutte contre la pandémie, en tant qu’élément d’une stratégie plus globale. Une telle application doit être unique et spécifiée par l’État afin de garantir sa souveraineté numérique.
• Une série de conditions doivent être assurées afin de garantir l’intérêt général et l’État de droit. Elles touchent à la confiance des citoyens, qui doit s’appuyer sur la transparence et l’indépendance du contrôle de l’application, ainsi que sa limitation dans le temps et la reconnaissance de son caractère exceptionnel.
• L’inclusion, l’accessibilité et la loyauté de l’information sont les facteurs-clés de la réussite de son déploiement. À ce titre, l’accent doit être mis sur l’expérience utilisateur de l’application, l’accompagnement des publics fragiles ou éloignés du numérique et la mobilisation des acteurs de la médiation numérique.

Dans un effort de pédagogie et afin d’éclairer un débat passionnel, le Conseil détaille ses positions en proposant plusieurs pistes de réponses sur des problématiques technique, sociétale, d’acceptabilité, de confiance et de communication soulevées par l’application.

Afin d’accompagner son avis, le Conseil émet quinze recommandations, parmi lesquelles :

  1. Créer un comité de pilotage, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application.
  2. Renommer l’application « AlerteCOVID » pour ne pas lui faire porter de fausses promesses.
  3. Favoriser une seule application pour la France, sous l’autorité du Ministère de la Santé.
  4. Encadrer l’application par un décret fixant les conditions de sa mise en œuvre, sa durée dans le temps et des garanties sur la protection des données.
  5. Clarifier les procédures à suivre en cas de réception d’une notification ou de test positif .
  6. Organiser des séances de questions-réponses entre les citoyens et les responsables politiques, par exemple à travers des directs sur des médias généralistes (sur les mêmes modalités, organiser des séances à destination de la communauté technique et de la médiation).
  7. Mobiliser les acteurs de terrain (collectivités, structures de médiations, associations) pour évaluer les besoins et accompagner les plus éloignés du numérique, voire participer à leur équipement.
  8. Comme toutes les organisations mobilisées pour accompagner la décision collective dans cette période de crise sanitaire, le Conseil rappelle qu’il n’est qu’en mesure de fournir une lecture sous forme de « photographie », représentative de ses connaissances à la date de sa publication. Le développement de l’application et de toutes les briques qui la composent n’est pas terminé.

 

VOICI CET AVIS DÉTAILLÉ DE 25 PAGES :

 

III. Les orientions de la Commission européenne

 

Au JOUE du 17 avril était diffusée une importante Communication de la Commission intitulée « Orientations sur les applications soutenant la lutte contre la pandémie de COVID-19 en ce qui concerne la protection des données» ((2020/C 124 I/01).

VOICI CE DOCUMENT TRÈS PRÉCIS :

 

La Commission est assez stricte sur les informations en matière de responsable du traitement, de contrôle et d’information des utilisateurs, de stockage des données (avec partage aux cas de contamination confirmés avec consentement exprès), de respect du RGPD et du principe de minimisation (utilisation uniquement des données indispensables), de conservation des données, d’accès au code source, d’association des structures nationales comme la CNIL, etc.

 

IV. Les lignes directrices du CEPD

 

Dans la foulée, les lignes directrices (« guidelines ») très précises ont été diffusées par le CEPD (European Data Protection Board ; EDPB). Les voici (en anglais) :

 

V. L’avis de la Quadrature du net, de la LDH, de la CNDH, etc.

 

Il n’aura pas été difficile de deviner que la Quadrature du net aura face à ces positions été à tout le moins critique. Voir :

 

Voir aussi une tribune parue dans le Monde et que nous diffusons ici via sa reproduction sur le site de la Quadrature du Net afin que les non abonnés à ce quotidien puissent y accéder :

 

Voir la position de la Ligue des droits de l’homme sous la forme d’une lettre ouverte très argumentée :

 

Pour une position radicale :

 

Voir aussi l’avis de la CNCDH rendu en autosaisine :
www.cncdh.fr/sites…es.pdf

VI. Confusions possibles

 

Diverses applications utilisent déjà le nom de stopcovid ou des termes proches. Ce qui entraîne des confusions :

 

VII. Accès au protocole « Robert »

 

Voir :

Articles intéressants