E-santé
L'intégration à une stratégie sanitaire est un prérequis au déploiement de StopCovid
La Cnil vient de rendre son avis sur l'application StopCovid dans lequel elle demande des garanties supplémentaires, notamment qu'elle s'inscrive dans une stratégie sanitaire globale. Un point également évoqué par l'Opecst et le Cnom."L'application [StopCovid] ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale." C'est la conclusion à laquelle la Commission nationale de l'informatique et des libertés (Cnil) est arrivée le 24 avril dernier. Saisie par le secrétaire d'État au Numérique, Cédric O, les membres du collège estime que le dispositif est conforme au règlement général sur la protection des données (RGPD) si certaines conditions sont respectées. Ils relèvent qu'un certain nombre de garanties sont en outre apportées par le projet du Gouvernement. Toutefois, la Cnil demande des "garanties supplémentaires".
La commission recommande également dans son avis que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle "dispose d'un fondement juridique explicite et précis dans le droit national". Le cas échéant, elle demande au Gouvernement de la saisir à nouveau du projet de norme encadrant la mise en œuvre de l'application en cause "lorsque la décision aura été prise et le projet précisé".
Le Gouvernement a pris acte de cet avis. Dans un communiqué du 26 avril, il retient l'importance accordée à la question de l'efficacité du dispositif dans une démarché sanitaire globale, "qui doit être éclairée par les épidémiologistes et notamment par l'avis du conseil scientifique". Pour ce qui est des recommandations, il tient compte plus précisément de cinq points :
De son côté, le Conseil national de l'ordre des médecins (Cnom) a lui aussi publié le 25 avril un avis sur le traçage des patients susceptibles d'avoir été en contact avec le Covid-19. Il estime que les personnes contaminées "ne doivent pas pouvoir être localisées dans leurs déplacements", ce qui implique des alertes non immédiates au moment du contact avec une autre personne. L'enregistrement des données médicale "ne doit pas être alimenté par le médecin et il ne doit pas y avoir de croisement possible des données avec un fichier de santé", note le conseil, l'anonymat doit être garanti pour l'enregistrement des données. Pour ce qui est de la conservation de ces données, celles-ci doit être limitée dans le temps sans interconnexion de fichiers. S’agissant des personnes en contact, l'objectif est de les inviter à se faire tester. La géolocalisation ne doit pas non plus être possible. En cas d'alerte via le Bluetooth, "il ne doit pas y avoir de rapprochement possible par l'État sur les déplacements des personnes, ni de contrôle des résultats de contamination éventuelle", estime le Cnom. Dans ces conditions, et en suivant les recommandations de la Cnil, "le traçage peut présenter un intérêt intégré à l'ensemble du processus de déconfinement mais il ne peut en être l'élément central", estime le Cnom.
Un dispositif numérique de suivi individualisé des personnes ne peut être mis en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale.
La Cnil
Utilité suffisante dans la crise à démontrer
Dans son avis publié le 26 avril, la commission rappelle qu'il ne s’agit pas de tracer les individus de façon continue. "Néanmoins, il s'agit d'établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l'application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l'application." Par conséquent, une telle collecte "doit être envisagée avec une grande prudence". L'analyse du protocole technique confirme que l’application traitera bien des données personnelles et sera soumise au RGPD. Elle attire l’attention sur les risques particuliers, "notamment de banalisation, liés au développement d'une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l'application, pendant une certaine durée". La Cnil estime que l'application peut être déployée, conformément au RGPD, "si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées". En ce sens, elle considère que l'utilisation d'applications de suivi des contacts "ne saurait être une mesure autonome et appelle, sur ce point, à une vigilance particulière contre la tentation du "solutionnisme technologique"". Aussi, il revient au Gouvernement d'évaluer l'ensemble des différentes actions à mettre en place, comme la mobilisation de personnels de santé et des enquêteurs sanitaires, la disponibilité de masques et de tests, l’organisation des dépistages, les mesures de soutien...Ce déploiement doit s'inscrire dans un plan d'ensemble.
La Cnil
Analyse d'impact à réaliser en amont
Dans ce cadre, elle recommande que l'impact du dispositif sur la situation sanitaire soit étudié et documenté régulièrement pour aider les pouvoirs publics à décider ou non de son maintien. La commission est aussi d'avis que le dispositif soit conçu de telle manière que le ministère des Solidarités et de la Santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire "puisse assurer la responsabilité de traitement". Elle attire l'attention sur le fait que, "comme tout traitement susceptible de présenter des risques élevés (données de santé, usage à grande échelle, suivi systématique, utilisation d'une nouvelle solution technologique)", une analyse d'impact sur la protection des données devra être réalisée. Sa publication est recommandée à des fins de transparence et au regard du contexte actuel. Le protocole technique transmis indique qu'il est possible d'introduire des faux positifs dans les notifications transmises aux personnes "afin de limiter les risques de réidentification dans certains types d'attaques". La Cnil considère que cette mesure "ne peut ni ne doit être mise en œuvre, dès lors qu'elle aurait pour conséquence d'alerter faussement des personnes n'ayant pas eu de contact à risques".Les cinq fondements du groupe projet
L'Institut national de recherche en sciences et technologies du numérique (Inria), l'Agence nationale de sécurité des systèmes d'information (Anssi), Capgemini, Dassault systèmes, l'Institut national de la santé et de la recherche médicale (Inserm), Lunabee Studio, Orange, Santé Publique France et Withings créent l’équipe-projet StopCovid. Dans un communiqué du 26 avril, ils rappellent les fondements sur lesquels s'appuie le projet :- l'inscription de l'application dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique ;
- le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la Commission européenne sur les applications de suivi de proximité ;
- la transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet pour apporter toutes les garanties en matière de contrôles par la société ;
- le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l'épidémie et accélérer la recherche médicale ;
- le caractère temporaire du projet, dont la durée de vie correspondra, s'il est déployé, à la durée de gestion de l'épidémie.
Mesures de sécurité de très haut niveau à mettre en place
La Cnil recommande aussi dans son avis d'apporter les garanties les plus élevées possibles "contre tout détournement de finalité lié" au choix d'un serveur chargé de la centralisation des identifiants des personnes exposées. Elle demande que des mesures de sécurité organisationnelles et techniques "de très haut niveau soient mises en place, en accord avec un modèle de sécurité adapté prenant en compte tout acte malveillant". Des mesures doivent également être mises en œuvre à la fois dans le serveur central et dans l'application "pour éviter de pouvoir recréer un lien entre les pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l'équipement mobile ou son adresse Mac)" qui permettrait alors d'identifier les utilisateurs. La commission rappelle que "seuls des algorithmes cryptographiques à l'état de l'art doivent être mis en œuvre, afin d'assurer l'intégrité et la confidentialité des échanges". Enfin, si le dispositif envisagé ne prévoit pas de mécanisme "d'enrôlement des personnes lors de la première utilisation de l’application" limitant ainsi les données personnelles collectées, il pourrait toutefois en résulter un risque d'attaque accru "qui n'est acceptable que dans la mesure où un tel mécanisme d'enrôlement des personnes remettrait en question la logique de pseudonymat du traitement". Elle appelle donc le ministère à mettre en place des mesures appropriées afin de lutter contre ce risque.La commission recommande également dans son avis que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle "dispose d'un fondement juridique explicite et précis dans le droit national". Le cas échéant, elle demande au Gouvernement de la saisir à nouveau du projet de norme encadrant la mise en œuvre de l'application en cause "lorsque la décision aura été prise et le projet précisé".
Le Gouvernement a pris acte de cet avis. Dans un communiqué du 26 avril, il retient l'importance accordée à la question de l'efficacité du dispositif dans une démarché sanitaire globale, "qui doit être éclairée par les épidémiologistes et notamment par l'avis du conseil scientifique". Pour ce qui est des recommandations, il tient compte plus précisément de cinq points :
- l'application devrait être le plus largement disponible et le déploiement devrait prendre en compte la situation des personnes non équipées ;
- l'information donnée devrait être associée à la possibilité pour les personnes d'échanger avec un personnel qualifié ;
- le caractère volontaire de son utilisation devrait être explicitement prévu dans les textes juridiques régissant ce dispositif comme dans l'information du public et aucune conséquence négative de devra être attachée à l’absence de téléchargement ou d'utilisation ;
- l'implication centrale des autorités de santé devrait être garantie pour assurer la responsabilité de traitement ;
- une attention particulière devrait être portée à la clarté des informations données et aux mesures permettant aux personnes d'exercer leurs droits sur leurs données à caractère personnel.
Avis de l'Opecst et du Cnom
Pour épauler le Gouvernement dans sa prise de décision, l'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst) a discuté d'une note sur les technologies de l’information utilisées pour limiter la propagation de l'épidémie de Covid-19. Dans le compte rendu des discussions, les parlementaires reviennent sur le dispositif envisagé par le Gouvernement, StopCovid. Il y est notamment indiqué que les technologies de l'information "doivent être combinées avec d'autres outils, qui eux-mêmes ne sont pas encore au point", comme les tests sérologiques. La stratégie de sortie de crise nécessitera de combiner de nombreux leviers, rappelle Cédric Villani, député et premier vice-président de l'office (LREM, Essonne). Par ailleurs, il est précisé dans la note que l'efficacité des outils de localisation sur la propagation de la maladie "n'est pas démontrée dans le contexte français" mais ces outils "apporteraient certainement une contribution utile pour limiter la propagation de l'épidémie, accélérer son contrôle et son déclin". Leur mise en œuvre devra néanmoins "obligatoirement s'inscrire dans le cadre d’une stratégie globale, en complément des mesures d'ordre sanitaire ou logistique à impact direct (faisant intervenir des équipements, masques, tests, traitements, etc.)", rejoignant en cela la position de la Cnil. Le déploiement maîtrisé de ce type d'outils, quand bien même imparfaits, permettrait "de les améliorer pour faire face à une recrudescence de l'épidémie et mieux se préparer à une future pandémie".De son côté, le Conseil national de l'ordre des médecins (Cnom) a lui aussi publié le 25 avril un avis sur le traçage des patients susceptibles d'avoir été en contact avec le Covid-19. Il estime que les personnes contaminées "ne doivent pas pouvoir être localisées dans leurs déplacements", ce qui implique des alertes non immédiates au moment du contact avec une autre personne. L'enregistrement des données médicale "ne doit pas être alimenté par le médecin et il ne doit pas y avoir de croisement possible des données avec un fichier de santé", note le conseil, l'anonymat doit être garanti pour l'enregistrement des données. Pour ce qui est de la conservation de ces données, celles-ci doit être limitée dans le temps sans interconnexion de fichiers. S’agissant des personnes en contact, l'objectif est de les inviter à se faire tester. La géolocalisation ne doit pas non plus être possible. En cas d'alerte via le Bluetooth, "il ne doit pas y avoir de rapprochement possible par l'État sur les déplacements des personnes, ni de contrôle des résultats de contamination éventuelle", estime le Cnom. Dans ces conditions, et en suivant les recommandations de la Cnil, "le traçage peut présenter un intérêt intégré à l'ensemble du processus de déconfinement mais il ne peut en être l'élément central", estime le Cnom.
