Article
La désormais célèbre application mobile de suivi de contacts « StopCovid » est depuis aujourd’hui disponible sur Android et iOS. Le gouvernement a en effet profité du week-end de Pentecôte pour publier au Journal Officiel un arrêté et un décret relatifs à son fonctionnement. Tandis que la Ligue des droits de l’Homme (LDH) a exprimé de sérieuses réserves sur les questions de l’anonymat, du consentement ou de la durée de conservation des données. Tout en mettant en garde sur les privations éventuelles des droits et libertés individuelles des Français.
Pour rappel, « StopCovid » permet à ses utilisateurs d'être informés lorsqu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19, grâce à la conservation de l'historique de proximité des pseudonymes émis via la technologie Bluetooth. L’arrêté du 30 mai 2020 définit donc les critères de distance et de durée du contact. Les utilisateurs équipés de l’appli seront donc informés lorsque les deux téléphones mobiles se trouveront « au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l'un de l'autre ». Soit « à moins d'un mètre pendant au moins 15 minutes ».
Quant au décret n° 2020-650 du 29 mai 2020, il détermine les finalités du traitement de données à caractère personnel mis en œuvre, ainsi que les catégories de données enregistrées, les destinataires de ces données, leur durée de conservation et les modalités d'exercice. Les finalités de ce traitement de données sont au nombre de quatre : - informer les utilisateurs de l'application qu'il existe un risque qu'elles aient été contaminées par le virus du covid-19. - sensibiliser les utilisateurs de l'application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation ; - recommander aux contacts à risque de contamination de s'orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ; -adapter, le cas échéant, la définition des paramètres de l'application permettant d'identifier les contacts à risque de contamination grâce à l'utilisation de données statistiques anonymes au niveau national.
Mise en œuvre
L’article 2 du décret détaille la mise en œuvre de ce traitement. Et c’est justement là-dessus que le bât blesse pour la LDH qui considère que « l’anonymat n’est pas garanti en raison même de la conception de l’application fonctionnant avec des pseudonymes qui permettent toujours la ré-identification et seront distribués par un serveur central (qui peut toujours être piraté). » Et d’ajouter que tout cela est d’autant plus dangereux qu’il s’agit de données de santé qui, par définition, sont extrêmement sensibles et , en général, protégées par le secret médical.
Autre motif qu’inquiétude pour la LDH : les systèmes d’exploitation des smartphones (Android et iOS) pourraient permettent à leur fournisseur Google et Apple de « récupérer des données personnelles », données de StopCovid comprises. La LDH émet également des réserves sur la durée de conservation des données et la question du consentement. Sur le premier point, le gouvernement a promis que les données seraient effacées à la fin de l’épidémie tout en restant très prudent sur une deuxième vague. En vertu de cela, « décidera-t-il en prévision de conserver les données ? Aucune garantie n’est apportée », met en garde l’association.
À propos du consentement, la LDH estime que le volontariat mis en avant par le gouvernement lui permet de considérer qu’il y a consentement de la part de l’utilisateur. Mais « il est peu probable que celui-ci soit libre et éclairé (l’utilisateur aurait tout compris du fonctionnement et de ses conséquences…) », tacle l’association qui redoute également que l’utilisation de StopCovid soit « fortement » recommandée pour certains services (accès aux lieux publics, entreprises, etc.), « ce qui fausserait complètement le caractère libre de celui-ci ». Enfin, l’association évoque le manque de fiabilité du Bluetooth qui n’a pas été prévu pour mesurer des distances entre les personnes, « ce qui entraîne des risques d’une part de ne pas détecter des cas positifs (ceux qui ont vraiment été en contact mais ne seraient pas informés peuvent continuer à contaminer) ou au contraire des fausses alertes (risques de demandes de tests et encombrement des services de santé) ».
Mais aussi son manque de sécurité car il devra « être activé en permanence permet le piratage de toutes les données du téléphone ». Tout cela pour une efficacité incertaine car « les épidémiologistes indiquent que 60% de la population devrait utiliser l’application pour qu’elle soit efficace, or les expériences de Singapour ou Corée du Sud montrent que seuls 15 à 30% l’ont installée », rappelle la LDH qui considère qu’il ne serait pas acceptable qu'« une majorité de nos concitoyens décident de se soumettre à un contrôle permanent » pour endiguer l’épidémie. Car cela serait « la porte ouverte à une surveillance technologique généralisée ».