Applications mobiles et sortie de crise COVID-19

applications mobiles

Dans le cadre de la sortie du confinement imposé pour répondre à l’épidémie de COVID-19, une des mesures sanitaires évoquée a été le dépistage et le traçage des personnes positives au virus afin de diminuer le risque de contagion. Pour la Commission Européenne, les technologies et données numériques jouent un « rôle précieux » dans la stratégie de sortie de la crise de COVID-19 ; de même elle est convaincue que les applications mobiles en constituent un élément important. Le 8 avril 2020, elle publiait une recommandation concernant une approche européenne commune de l’Union pour le recours aux applications de suivi numérique et le 14 avril, le Comité européen de la protection des données lui avait adressé un avis favorable à propos de son projet d’orientations.

Poursuivant dans sa logique, la Commission européenne a publié le 17 avril, des orientations à destination des États membres et des développeurs d’applications portant sur les caractéristiques et exigences auxquelles devront répondre ces applications mobiles.

Il apparaît en effet que ces applications peuvent aider les autorités de santé publique à surveiller et à maîtriser la pandémie de COVID-19 et sont particulièrement utiles dans la phase de levée des mesures de confinement. En complément d’autres mesures, telles que des capacités de dépistage accrues, ces applications peuvent aider à interrompre la chaîne de transmission de l’infection de manière plus rapide et plus efficace que les mesures générales de confinement et ainsi réduire le risque de propagation importante du virus.

« L’une des conditions préalables importantes pour le développement, l’acceptation et l’adoption de ces applications par les particuliers est la confiance. Les citoyens doivent être certains que leurs droits fondamentaux sont respectés et que les applications ne seront utilisées qu’aux fins spécifiquement définies, qu’elles ne seront pas utilisées pour la surveillance de masse et que les citoyens resteront maîtres de leurs données. »

La commission pose ainsi le principe de base de ces orientations : les applications mobiles doivent garantir le respect de la législation de l’UE en matière de protection des données à caractère personnel et de respect de la vie privée, en particulier le règlement général sur la protection des données (RGPD) et la directive « vie privée et communications électroniques ».

Cette collecte ne concerne que les données nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie de COVID-19, de sorte que ces orientations visent à limiter le caractère intrusif des fonctionnalités des applications.

Au niveau national, un arrêté du 21 avril 2020 autorise le Health Data Hub (Plateforme des données de santé) et la Caisse nationale d’assurance maladie (CNAM) à collecter de nouvelles données de santé, dont celles issues des applications mobiles, ceci afin d’améliorer les connaissances sur le virus COVID-19, de nouvelles données de santé.

Selon cet arrêté ministériel, le Health Data Hub et la CNAM sont responsables du stockage et de la mise à disposition des données. Ceci répond à une des exigences de la Commission Européenne qui avait considéré que « Les autorités sanitaires nationales (ou les entités exécutant des missions d’intérêt public dans le domaine de la santé) demeurent responsables du traitement des données ».

Toutefois, les exigences européennes sont particulièrement lourdes, comme bien souvent en matière de règlementation, et c’est d’autant plus vrai quand on touche aux données personnelles de santé !

A titre d’exemple, la Commission européenne précise que les applications doivent garantir que les utilisateurs en conservent le contrôle et que chaque fonctionnalité de l’application ainsi que le stockage d’informations sur l’appareil de l’utilisateur doivent faire l’objet d’un consentement par l’utilisateur.

Également, elle considère qu’il convient d’évaluer la nécessité de traiter les données à caractère personnel et leur pertinence au regard de la finalité poursuivie (c’est le principe de minimisation des données) et note, par exemple, que si la finalité de la fonctionnalité est l’analyse des symptômes ou la télémédecine, elle ne requiert pas l’accès à la liste de contacts de la personne qui possède l’appareil.

La Commission fixe encore des limites strictes pour la conservation des données (maximum 3 mois). Ainsi, pour la fonctionnalité de recherche de contacts, les données doivent être effacées dès lors qu’elles ne sont plus nécessaires pour prévenir les personnes concernées.

Pour terminer avec les exemples, il apparaît essentiel à la Commission que les données soient stockées sur le terminal de l’utilisateur sous forme cryptée, en utilisant des techniques cryptographiques de pointe, et dans un format pseudonymisé.

Pour l’heure  – et l’expression prend ici tous son sens – et dans un premier temps notre gouvernement semble privilégier la voie du « contact tracing » sans doute par faute de temps (le développement de telles applications mobiles s’avère particulièrement long et fastidieux et le déconfinement approche à grand pas), peut-être aussi pour éluder le débat sur l’aspect liberticide des applications mobiles de tracing ou tracking et les inquiétudes exprimées par de nombreuses personnalités politiques. Il n’exclut pas évidemment la mise en service de l’application « Stop Covid », dont il garderait le contrôle.

Le « contact tracing » sera mis en place autour des personnes atteintes du coronavirus et de leur entourage pour une durée maximale d’un an. Il se fera à cinq degrés différents » a précisé le ministre de la santé, Olivier Véran en impliquant au niveau 1 les médecins et les professionnels de santé de premier recours.

Dès lors que le tracing de niveau 1 sera exercé par ces derniers, ceci pour définir le premier cercle des cas de contacts potentiels, se posera d’emblée et nécessairement la question du respect du secret professionnel, ce qui nécessite en tout premier lieu l’obligation d’inscrire sur la liste des maladies à déclaration obligatoire le COVID-19.

Le projet de loi sur la prolongation de l’état d’urgence sanitaire, qui comprend désormais le détail de ce “contact tracing”, est actuellement en cours de lecture et de vote au parlement mais la discussion sur son contenu précis et ses décrets d’application risque d’être longue….

Marie Belloc
Avocat spécialiste en droit de la santé