La réussite de ces technologies repose sur la confiance dans l’outil, le traitement et dans la protection des données collectées estime l’APDL.

Les applications de traçage du Covid respectent-elles les principes fondamentaux de la protection des données personnelles ? Emma Goodwin et Renaud Le Squeren, deux administrateurs de l’Association pour la Protection des Données au Luxembourg (APDL) apportent des éléments de réponses sur le sujet.

L’objectif de ces app’ ? Faciliter l’information des individus qui ont côtoyé une personne testée positive au coronavirus, et accélérer leur prise en charge.

“C’est la première fois à notre connaissance que des outils de traçage de ce type sont utilisés pour essayer d’aider à ralentir une pandémie. De ce point de vue, c’est une véritable nouveauté technologique,” indique Emma Goodwin expert en informatique et en cyber sécurité chez Cyberfinit.

Les initiatives européennes visent à dépister les nouvelles sources d’infection aussitôt que possible, pour limiter la propagation du Covid-19, et se divisent en deux groupes : des applications de suivi des contacts qui utilisent la technologie à proximité sans fil (à titre d’exemple le Bluetooth à basse consommation) et les applications qui partagent la localisation par GPS ou antenne-relais, précise-t-elle.

La Commission européenne n’a pas manqué de préciser les modalités d’utilisation de ces technologies de traçage: “Elle a donné son accord pour les applications de suivi des contacts, mais elle rejette la collecte des données de localisation, incompatible avec le règlement général sur la protection des données (RGPD),” précise Renaud Le Squeren, Partner et Avocat à la Cour chez DSM Avocat à la Cour.

“Selon la directive e-Privacy et le RGPD, les données concernant la localisation sont aussi celles à caractère personnel et donc dans la portée du RGPD, quelle que soit la technologie avec laquelle on trace des contacts”.

Autres conditions émises par Bruxelles: les chefs de projet doivent être soit des institutions soit des autorités publiques; les applications doivent être téléchargées et utilisées sur une base volontaire, anonyme et au-delà des frontières nationales; et l’outil devra être automatiquement désactivé chez tous les utilisateurs dès que la crise sanitaire qui la justifie sera terminée.

La protection en question

Plusieurs pays ont déjà adopté leur propre outil. Le Luxembourg a pour sa part choisi MAELA, la plateforme de téléconsultation et l’outil de télésuivi de patients.

“Celle-ci permet une surveillance médicale à distance de tous les patients, dont les tests Covid ont été positifs. Concrètement, la personne concernée est inscrite dans le système national directement – et non pas sur base de volontariat – par l’hôpital au moment de sa sortie, ou par l’inspection sanitaire après avoir reçu les résultats positifs du laboratoire,” détaille Me Renaud Le Squeren.

“La personne concernée doit ensuite répondre tous les deux jours à un questionnaire pendant deux semaines, pour évaluer l’état de santé du patient, identifier les besoins et éventuellement une prise en charge en cas d’aggravation de son état de santé”.

Autre pays, autre outil, l’application française StopCovid repose sur le volontariat et sur l’utilisation des données anonymisées. Elle identifie via Bluetooth les téléphones des personnes qui ont été en contact (moins d’1 mètre et plus de 15 minutes) avec un individu déclaré contaminé.

Pour l’APDL, l’outil a soulevé de sérieuses questions sur le respect de la protection des données personnelles. L’asbl note tout d’abord que la confidentialité sur la géolocalisation des personnes n’avait pas été suffisamment expliquée.

L’hébergement centralisé reste potentiellement vulnérable aux cyberattaques.

APDL

“Sur les téléphones Android, le Bluetooth active également le positionnement des personnes,” précise Renaud Le Squeren. “Pour autant l’État français a confirmé que les données de géolocalisation ne seraient pas enregistrées ni utilisées”.

La France a privilégié l’usage de serveurs centraux basés en Europe et contrôlés par les autorités sanitaires. “Ce mode d’hébergement centralisé reste par ailleurs potentiellement vulnérable aux cyberattaques,” prévient l’APDL.

Selon l’asbl, les autorités auraient également pu miser sur l’approche décentralisée, qui prévoit que les informations nécessaires au fonctionnement du service restent stockées directement sur les smartphones des utilisateurs et circulent entre eux lorsque c’est nécessaire.

Le juriste juge par ailleurs le délai de conservation des données appropriée: l’application devait en effet garder les données liées à sa mise en œuvre six mois à compter de la fin de l’état d’urgence sanitaire, contrairement aux préconisations de Bruxelles.

Les historiques de proximité des personnes diagnostiquées positives devaient elles être conservés 15 jours.

L’outil doit être mis en avant de manière à rassurer les citoyens

renaud Le Squeren

Autres biais: les antennes relais n’étaient pas assez précises pour déterminer la proximité exacte de deux téléphones. Le Bluetooth traversant par ailleurs les murs, l’app’ ne pouvait donc distinguer entre les personnes présentes dans le même espace que l’individu infecté, et celles qui se trouvaient dans d’autres pièces.

Résultats mitigés, pour le moment

Plus généralement, l’outil n’a pas eu le succès escompté : “depuis son lancement le 2 juin, seules 2,3 millions de personnes ont téléchargé l’application en France,” rappelle l’asbl.

“Comme c’était la première fois qu’une telle application était déployée, les modalités de mise en œuvre étaient donc toutes nouvelles et ont soulevé des débats : ces outils génèrent en effet des données qui pourraient être détournées de leur finalité,” résume Renaud Le Squeren.

Toutefois selon lui, “l’outil doit être mis en avant de manière à rassurer les citoyens. Avec les garanties données par les Etats, la conformité au RGPD semble assurée”.

TousAntiCovid, qui a remplacé StopCovid le 22 octobre dernier, devrait être plus interactive tout en gardant la même base technique, estime Renaud Le Squeren.

“L’application fournira des informations plus générales, sur le mode de circulation du virus, les gestes barrières à adopter, les adresses des centres de tests. Elle disposera aussi d’un QR code, pour permettre à l’utilisateur de scanner les endroits où ils se trouvent, comme les boutiques ou les restaurants.

La valeur ajoutée des applications de traçage reste encore à démontrer.

Emma Goodwin

Il pourra également accéder à un suivi plus précis sur les lieux de l’épidémie autour de lui”.

Plus largement en Europe, la mise en place des technologies de traçage a jusqu’à présent donné des résultats mitigés selon l’APDL. Ses administrateurs notent que peu de gens ont téléchargé l’outil numérique, par peur par exemple de perdre leur travail ou d’avoir à signaler leur présence à des réunions (syndicales ou politiques) qui devait rester confidentielle.

Vers plus de confiance

“La valeur ajoutée des applications de traçage reste encore à démontrer,” en conclut Emma Goodwin. “Aucune étude scientifique attestée n’a pu prouver que ces outils pouvaient réduire la transmission du virus”.

Pour l’auditrice, la réussite de ces technologies repose sur une double condition : donner d’une part confiance en la sécurité et l’application elle-même, afin de susciter son téléchargement et d’assurer son bon usage; réduire d’autre part la peur – notamment chez les personnes âgées – face à l’utilisation et au traitement ultérieur des données collectées.

Créée en octobre 2013, l’Association pour la protection des Données au Luxembourg (APDL) a pour but de “favoriser les contacts et les échanges d’expériences et d’idées et d’être un lieu de rencontre entre toutes les personnes physiques pratiquant de manière régulière le droit, l’économie, l’ingénierie ou la recherche scientifique et technique en relation avec les questions et problématiques liées aux traitements de données à caractère personnel”. Elle compte 150 membres.

Dans le cadre de la Cybersecurity Week Luxembourg 2020, elle organisait le 22 octobre dernier un webinaire dédié aux applications de traçage Covid-19 et aux données personnelles.

Avocat à la Cour et responsable du pôle Digital chez DSM Avocats à la Cour, Renaud Le Squeren est spécialisé notamment dans les nouvelles technologies et la transition numérique.

Emma Goodwin est auditrice, consultante et formatrice en informatique chez Cyberfinit. Ses domaines d’expertises couvrent l’audit interne, les contrôles IT et la cyber sécurité.

Silicon Luxembourg, November 2020