Quel bilan peut-on établir sur les « traçages numériques » #Covid19 ? Amélie BEAUX fait le point sur les premières expériences

Article rédigé par Amélie BEAUX, Associée chez KOS Avocats, Docteur en droit, Avocate au Barreau de Paris 

---

N°1, Juillet 2020

---

 

La France, comme d’autres Etats de l’Union européenne (UE), a instauré des opérations dites « de traçage » afin d’éviter (ou de minimiser) de nouvelles vagues épidémiques. Quels sont les différents niveaux de « tracing » ? Quels sont les instruments utilisés ? Quelles sont les limites qui méritent d’ouvrir la discussion dans les usages et les dérives possibles. Nous vous proposons dans cet article, d’établir un état des lieux, dans le contexte du déconfinement actuel qui mobilise tous les acteurs en charge d’assurer la sécurité sanitaire de la population en France. Ici, nous aborderons ce sujet avec une approche juridique afin de mettre en exergue les articulations nécessaires entre les impératifs de contrôle et le respect des libertés individuelles.

Quels sont les 3 niveaux de « tracing » ? 

Il existe trois niveaux de traçage (ou « tracing ») :

Niveau 1 :

Il est exercé par les médecins, les professionnels de santé de premier recours, en ville comme à l’hôpital, afin de définir le premier cercle des cas, contacts potentiels de malades. Pour ce faire, les médecins ont accès à la plate-forme « Ameli Pro », avec un formulaire à remplir. Si le patient est testé positif, le médecin doit inscrire son identité et renseigner le maximum de noms de personnes qui sont entrées en contact avec lui, en remontant jusqu’à quarante-huit heures avant l’apparition des symptômes.

Niveau 2 :

Celui-ci est organisé par l’Assurance-maladie qui a constitué des « brigades sanitaires ». Ce travail d’enquête vise à enrichir la liste des contacts potentiels au-delà du premier cercle, de vérifier qu’aucune personne potentiellement malade n’ait pu échapper au premier tracing et donner des consignes aux intéressés.

Niveau 3 : 

Il est organisé depuis le début de l’épidémie par les agences régionales de santé (ARS). Il s’agit d’identifier les chaînes de contamination (les « clusters »).

Quels sont les principaux outils mis en place dans la mise en oeuvre du « tracing » ?

Les outils déployés ont d’abord été « Contact Covid » et « SI-DEP » ; puis dans la foulée «Stop Covid».

1/ Contact Covid et SI-DEP

Ces deux dispositifs ont été mis en place sur le fondement de la loi n°2020-546 du 11 mai 2020 qui a autorisé le ministre de la santé à créer un système d’information « aux seules fins de lutter contre l’épidémie de covid-19 » et ce, « pour la durée strictement nécessaire à cet objectif ou, au plus, pour une durée de six mois à compter de la fin de l’état d’urgence sanitaire ».

Le système d’information est destiné à permettre le partage des données de santé concernant les personnes contaminées et leur entourage, sans leur consentement, avec certaines structures habilitées, telles que les agences régionales de santé (ARS), les caisses d’assurance maladie ou encore les professionnels de santé.

Le Conseil Constitutionnel a jugé le dispositif conforme à la Constitution au regard du droit au respect de la vie privée, sauf en ce qui concerne les organismes chargés de l’accompagnement social des intéressés qui, ne relevant pas de la lutte contre l’épidémie, n’ont pas à recevoir communication des données de santé des patients et, a fortiori, de leur entourage. Le Conseil constitutionnel a saisi l’occasion de cette décision pour poser -et ce pour la première fois- le principe selon lequel lorsque sont en « cause des données à caractère personnel de nature médicale, une particulière vigilance doit être observée dans la conduite de ces opérations et la détermination de leurs modalités. ».

Le décret d’application n° 2020-551 du 12 mai 2020 est venu fixer les règles applicables aux traitements de données de santé dans le cadre de la lutte contre l’épidémie de coronavirus, prévoyant la mise en place d’un dispositif de « contact tracing » fondé sur deux traitements de données à caractère personnel : « Contact-Covid » et « SI-DEP ».

Ces traitements reposent sur la mission d’intérêt public dont sont investis les organismes chargés de les mettre en place et sur les motifs d’intérêt public pour lesquels ils ont été créés, conformément aux articles 6.1.e et 9.2.i du Règlement général sur la protection des données (RGPD), ces motifs étant les suivants :

• L’identification des personnes contaminées par l’épidémie,
• L’identification des personnes ayant pu être en contact avec les personnes infectées,
• L’orientation de ces personnes vers des mesures de soins appropriées (quarantaine, prise en charge…),
• La surveillance de l’épidémie à l’échelle nationale,
• La recherche sur le virus et sur les moyens de lutter contre sa propagation.

Concernant précisément les deux systèmes d’information mis en place :

a) Contact-covid : identification et rupture des chaînes de contamination 

Contact-covid représente l’adaptation Covid-19, par la Caisse nationale d’assurance maladie (CNAM), du système d’information existant « Ameli Pro » pour les professionnels de santé et les ARS.

Le système permet d’identifier les cas de contact, de prendre en charge les tests de dépistage et de proposer un accompagnement social aux personnes qui en ont besoin.

Pour ce faire, le traitement des données s’effectue lors du diagnostic (les médecins collectent les données des personnes infectées et des personnes avec lesquelles elles ont été en contact -identification/vie professionnelle/déplacements des 14 derniers jours/données de santé/entourage) et ces données sont transmises aux plateformes départementales d’assurance maladie qui avertiront alors les personnes susceptibles d’avoir été en contact avec un patient infecté afin de les informer des démarches à accomplir. C’est sur la base de ces données que les ARS pourront identifier et traiter les chaînes de contamination, y compris les plus complexes.

b) SI-DEP : une base de données des tests de dépistage

SI-DEP (Système d’Informations de DEPistage) est un instrument déployé dans l’ensemble des laboratoires et structures autorisées, permettant de centraliser les résultats des tests de dépistage du COVID-19 en recueillant l’identification de la personne dépistée, de son médecin traitant, les caractéristiques du prélèvement et les résultats des analyses.

Un croisement s’effectue alors par les autorités sanitaires avec « Contact Covid » afin de s’assurer que toutes les personnes testées positives font l’objet d’une prise en charge et de disposer, en temps réel, d’informations pertinentes (anonymes) en vue d’assurer le suivi de l’épidémie et d’améliorer la connaissance du virus.

Les deux systèmes d’information ont été validés par la Commission nationale informatique et libertés (CNIL). En effet, les deux schémas respectent les droits des personnes dont les données sont traitées :

• droit à l’information (y compris pour les cas contacts qui seront informés du traitement de leurs données lors de la première prise de contact dans le cadre de l’enquête sanitaire),
• durée de conservation limitée (trois mois maximum à compter de la collecte),
• pseudonymisation des données,
• droit d’opposition bien que limité (vaut uniquement pour la transmission des données à la Plateforme de Données de l’Etat ou à la CNAM, et non aux autres structures habilitées).

2/ Stop Covid

Deux textes ont permis la mis en place de cette application digitale :

• Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » ;
• Arrêté du 30 mai 2020 définissant les critères de distance et de durée du contact au regard du risque de contamination par le virus du covid-19 pour le fonctionnement du traitement de données dénommé « StopCovid ».

Inspiré par Singapour et la Corée du Sud où le système a été un succès, le gouvernement français a confié à l’Institut national de recherche en informatique et en automatique (Inria) le pilotage opérationnel du projet de recherche qui réunit l’expertise d’acteurs nationaux, publics et privés, agissant tous à titre gracieux :

• Anssi (Agence nationale de la sécurité des systèmes d’informations),
• Capgemini (architecture et co-développement back-end),
• Dassault Systèmes (infrastructure souveraine de données qualifiée SecNumCloud),
• Inserm (modèles de santé),
• Lunabee Studio (développement des applications mobiles),
• Orange (diffusion de l’application et interopérabilité),
• Santé publique France (insertion et articulation de l’application dans la stratégie globale de détection et suivi des contacts),
• Withings (objets connectés).

Aux côtés de cette équipe-projet, figurent les industriels Atos, Sopra Steria, Thales, et les start-ups de santé Bloom, Lifen et Semeia.

L’application « StopCovid » a pour objet d’informer les personnes ayant été en contact avec une personne contaminée par le coronavirus.

Précisément, elle alerte les utilisateurs de l’application si ces derniers ont été à moins d’un mètre et pendant au moins quinze minutes d’une personne contaminée par le coronavirus. L’idée est de rompre la chaîne de propagation du virus en utilisant les techniques de traçage de contacts pour identifier les cas contagieux, les isoler, retrouver et identifier tous leurs contacts, les diagnostiquer et les isoler eux aussi s’ils s’avèrent contagieux.

L’application fonctionne grâce à l’utilisation de la technologie « Bluetooth », et donc sans recourir à une géolocalisation des individus, contrairement à des Etats tels que l’Israël ou la Pologne, où les citoyens en quarantaine ont aussi pour obligation de télécharger l’application équivalente et d’envoyer régulièrement des selfies afin de prouver qu’ils sont bien chez eux.

Grâce au Bluetooth, en théorie[1], seules les données d’individus en contact « un certain temps » sont récupérées, tandis que la géolocalisation, fonctionnant par le système GPS, capte en continu les données (technique beaucoup plus intrusive même si plus efficace). De plus, au niveau du Bluetooth, les données récoltées sont chiffrées sur le téléphone de l’individu qui pourra en garder l’usage et désactiver son Bluetooth dès qu’il le souhaite (cette possibilité de désactivation rendant le Bluetooth évidemment moins efficace que la géolocalisation).

Outre le fonctionnement par Bluetooth, Stop Covid est d’un emploi « volontaire », « anonyme » (avec pseudonymisation irréversible) et « temporaire », ce qui lui a valu d’être validé par la CNIL (Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »), laquelle a néanmoins précisé que l’utilité du dispositif serait plus précisément analysée après son lancement : la « durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière ». Elle a par ailleurs insisté sur la nécessaire sécurité du dispositif, et fait des préconisations techniques.

En outre, elle a précisé que l’usage de l’application étant volontaire, cela implique qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Enfin, la CNIL rappelle que l’utilisation d’applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique » et souligne que l’efficacité d’un tel dispositif dépend notamment de sa disponibilité dans les magasins d’application (appstore, playstore…) et d’une large adoption par le public avec un paramétrage adéquat.

Or, depuis la mise en route de l’application, on constate déjà trois freins conséquents à son efficacité dans le présent et le futur :

1. Un téléchargement trop faible (1,4 millions de Français seulement soit 2% de la population[2]) ayant donné lieu à un nombre réduits de signalements. En effet, seules 68 personnes ont utilisé jusqu’à présent l’application pour prévenir de leur contamination les personnes qu’elles ont croisées. Et seuls 14 utilisateurs de l’application ont alors reçu un message d’alerte les avertissant qu’ils ont été en contact avec une de ces personnes contaminées.
2. Une interopérabilité impossible avec les autres Etats membres de l’UE qui ont convenu d’un ensemble de spécifications techniques visant à garantir la sécurité de l’échange d’informations entre les applications nationales de traçage des contacts reposant sur une architecture « décentralisée » (qui s’appuie sur la transmission par un serveur central des pseudonymes des personnes testées positives au Covid-19 vers tous les smartphones) alors que l’application française repose, elle, sur un protocole « centralisé » qui transmet les données pseudonymisées d’une personne testée positive vers un serveur central qui est géré par les autorités de santé.
3. Certains citoyens ne sont pas équipés en smartphones[3] ou alors restent victimes de la fracture numérique.

Pour une coût mensuel oscillant entre 80.000 et 120.000 euros, les freins pré-cités ne sont pas des moindres…Néanmoins, l’application retrouvera probablement son utilité si l’épidémie reprend de plus belle en septembre 2020.

Critiques globales des dispositifs de traçage

Le respect du RGPD, de la Loi informatique et libertés, et de la vie privée ne nous semblent pas le plus problématique, contrairement à ce qui a pu être décrit chez certains juristes. En effet, traiter les données des utilisateurs de manière licite, loyale, limitée et transparente, le tout au service de finalités déterminées et légitimes, et ce de manière proportionnée à ce qui est nécessaire au regard des finalités poursuivies, n’est pas ce qui est le plus complexe (même si cela l’est incontestablement !).

La crainte la plus légitime n’est pas non plus celle recensée par les médias et reposant sur l’adjectif « liberticide » avec une image de l’Etat qui deviendrait « despote » à surveiller tous les utilisateurs. Du moins pas en France, car on sait a contrario qu’aux Etats-Unis, les smartphones de millions d’Américains sont suivis par le gouvernement, la sécurité intérieure américaine ayant acheté des données de localisation provenant de smartphones afin de suivre des personnes à la frontière (les autorités américaines ont eu accès à ces informations via des bases de données commerciales rassemblées par des sociétés de marketing !).

En réalité, notre plus grande crainte réside dans le risque de cybercriminalité dont les auteurs sont sans pitié et attaquent d’autant plus aisément et sans vergogne en temps de crise. Pour s’en convaincre, il suffit de songer à l’augmentation incroyablement exponentielle des cas de phishing depuis le confinement avec la mise en place massive du télétravail[4] ou de se remémorer l’attaque dont l’Assistance publique des hôpitaux de Paris (AP-HP) a fait l’objet en pleine explosion pandémique (le 22/03/2020, via un bombardement des serveurs informatiques par de fausses requêtes afin de les rendre inaccessibles).

Ainsi, le plus complexe -selon nous- est de garantir la sécurité des données recueillies, et ce d’autant plus que les hackers sont internationaux et attaquent depuis le monde entier, profitant d’un web mondialisé sans frontière. Cette cybercriminalité se répand d’ailleurs volontiers sur fond de guerres politiques et économiques.

Ce risque global est par ailleurs accru avec :

• La fourniture par Facebook de données à des instituts de recherche français. En effet, depuis avril 2020, Facebook a mis à disposition de l’université PSL (Paris sciences et lettres) et de ses partenaires (CNRS, Inserm et Inria), des outils basés sur les données de ses utilisateurs en guise de « contribution aux efforts sanitaires ». Cet accès se fait via le programme « Data for Good » de Facebook, créé en 2017 afin de structurer l’accès des organisations humanitaires aux données du réseau. En l’espèce, il s’agit de transmettre par exemple des cartes sur les mouvements de population pour mieux comprendre la crise du coronavirus (cartes de regroupement, tendances en matière d’amplitude de mouvement, indices de connectivité sociale…). Ici encore, quand bien même les données sont anonymisées et agrégées dans un cadre garantissant la protection de la vie privée des utilisateurs, un risque de fuite, de vol ou de détournement n’est pas anodin. Ce risque est lui-même décuplé par les risques induits par Facebook lui-même : par exemple, le 27/03/2020, il a été constaté que l’application Zoom iOS (largement utilisée pour des réunions virtuelles lors du confinement) partageait -sans le savoir a priori– certaines informations avec Facebook.

• La mise à disposition depuis mars 2020 par les opérateurs téléphoniques Orange et SFR, au profit de l’Inserm, de l’Inria, ou de l’AP-HP, des données agrégées de déplacements des populations, afin de lutter contre l’épidémie. Ici encore, si les données de mobilité fournies par l’opérateur sont anonymisées et si le but n’est pas d’étudier les données personnelles de chaque individu ou de retracer les déplacements au niveau individuel, mais de connaître le nombre de personnes qui se sont déplacées sur le territoire français entre deux zones observées et à une date donnée, cela représente toutefois une nouvelle brèche potentielle dans le monde de la cybercriminalité.

 

Enfin, le Health Data Hub (acronyme souvent employé  « HDH » ) : il s’agit d’une plateforme nationale des données de santé, recueille des données de santé en masse depuis le Covid et un contentieux a eu lieu devant le Conseil d’Etat concernant -pour résumer- le fait que ces données sont hébergées au sein du Cloud du géant américain Microsoft.

Or, pour rappel, la loi américaine « Cloud Act » autorise les pouvoirs publics américains à accéder aux données stockées par des hébergeurs américains, et ce n’importe où dans le monde, alors que notre beau RGPD européen prémunit les Etats de l’UE contre cette loi en interdisant le transfert de données vers des pays extérieurs à l’UE. Néanmoins le Conseil d’Etat a validé la structuration actuelle du HDH par une décision en date du 19/06/2020.

 

En conclusion, pour faire face à aux cyberattaques liées au Covid-19, un groupe de 360 experts de plus de 40 pays s’est constitué sous le nom de « CTI Covid-19 » et dont la priorité est de protéger les données de santé.  L’Agence de l’Union européenne pour la cyber-sécurité (ENISA) et la CNIL ont également publié des conseils pratiques pour télétravailler en sécurité.

Au regard de la situation actuelle, nous ne sommes pas encore en situation d’établir que l’ensemble des dispositifs proposés pour assurer la protection des personnes dans le contexte du Covid-19, puissent apporter toutes les garanties de la sécurité du traitement des données personnelles. Les autorités sanitaires devront encore affiner les modalités de recueil des informations récoltées, et ce, dans le respect absolu des libertés individuelles, éthiques et du droit des personnes.

---

Pour aller plus loin : 

[1] En théorie…. Car il a déjà pu être révélé que Stop Covid collectait en fait les identifiants de toutes les personnes croisées par un utilisateur, et donc pas seulement celles croisées à moins d’un mètre pendant quinze minutes (selon un chercheur français en cryptographie de l’Institut national de recherche en informatique et en automatique -Inria, qui s’occupe du projet StopCovid). Ainsi, tous les contacts croisés pendant les quatorze derniers jours sont envoyés au serveur central hébergeant les données liées à StopCovid. Toute une quantité de données qui n’a pas d’intérêt pour tracer la propagation du virus et qui pose un vrai danger pour la vie privée…

[2] Contre 10 millions de téléchargements pour l’application équivalente en Allemagne.

[3] Le taux d’équipement en smartphone de la population française n’est « que » de 77 %, selon une enquête de 2019 du Centre de recherche pour l’étude et l’observation des conditions de vie (CREDOC).

[4] Le risque de cyberattaques et/ou de fuites des données sont accrus par la pratique encore massive du télétravail (utilisation plus importante d’appareils personnels, plus grande circulation des données, systèmes informatiques sensibles plus accessibles depuis l’extérieur de l’entreprise et procédures de sécurité plus difficiles à mettre en œuvre hors de l’entreprise).

 

 

 

Nous remercions vivement Amélie BEAUX, Docteur en droit, Avocate au Barreau de Paris,  Associée chez KOS Avocats ,  pour partager son expertise professionnelle pour nos fidèles lecteurs de ManagerSante.com

---

Biographie de l’auteure : 

Docteur en droit, Amélie BEAUX a rejoint le Barreau de Paris après avoir soutenu sa thèse en droit de la concurrence (mention très honorable et félicitations du jury à l’unanimité) et exercé au sein de la Direction des Affaires Juridiques du Ministère de la Santé. Elle a commencé la profession au sein de cabinets spécialisés en santé (Vatier et associés, Houdart et associés). 

Ses domaines de prédilection sont : La responsabilité médicale, la tarification à l’activité, le recouvrement titres de recettes, le droit des sociétés, le droit des nouvelles technologies de santé (e-santé), le droit des associations et fondations, le droit des assurances, le droit de la concurrence. 

Elle délivre des formations auprès des professionnels du secteur (responsabilité médicale, e-santé, données de santé). 

Elle publie régulièrement dans des revues et ouvrages de références (Expertises, Contrats-Concurrence-Consommation, Concurrences, Jurisdoctoria, La Mémoire du Droit, Dictionnaire des Régulations).

 

---

[DÉCOUVREZ NOTRE NOUVELLE CHAÎNE YOUTUBE]

youtube.com/c/ManagerSante

---

Et suivez l’actualité sur ManagerSante.com, 

Vous aimez notre Site média ?

Cliquez sur les étoiles et votez :