Numérique : comment lier sécurité sanitaire & vie privée ?


1 - L’Application StopCovid


2 - Article 6 du projet de loi de prorogation de l’état d’urgence sanitaire :


• Position du gouvernement sur l’article 6

• Position du Sénat sur l’article 6


3 - Résultat de la Commission Mixte Paritaire et adoption par le Sénat.


Le Gouvernement souhaite que les opérateurs médicaux bénéficient d’outils informatiques permettant d’automatiser le traitement des informations recueillies sur le terrain, concernant les malades et les « cas contacts » identifiés. Le recours à des fichiers devrait ainsi favoriser un suivi rapide de la population exposée à la maladie. Pour y parvenir, il existe deux voies distinctes mais complémentaires :


• L’Application “StopCovid”.

• Deux Fichiers dédiés, dépendants de l’Article 6 du projet de loi :

- Le SIDEP, Système d’Information national de Dépistage Populationnel.

- Le Contact-Covid, un téléservice accessible par le portail “Ameli Pro”.


1 - L’Application StopCovid


L’Application de « suivi de contact » est destinée à lutter contre la pandémie de Covid-19, en permettant de suivre la propagation de la maladie. L’objectif est de briser les chaînes de contamination et d’endiguer la diffusion du virus.


Rappel de réglementation


Pour protéger nos vies privées, a été voté au niveau Européen le RGPD : Règlement Général sur la Protection des Données (https://cutt.ly/zyxwk6u), applicable depuis le 25 mai 2018.


À chaque fois que nous arrivons sur un site internet, nous devons cliquer sur “Oui, j’accepte /Non, je n’accepte pas” les cookies, ces petits éléments qui s’installent sur votre ordinateur et permettent de repérer ce que vous préférez, ce que vous recherchez etc… Mais ils ne représentent que la partie visible de l’iceberg de la collecte de nos données personnelles par les opérateurs liés au digital.


Implications de ces contraintes pour la création de l’App. StopCovid


StopCovid pose un certain nombre de questions liées aux libertés individuelles.


Installée sur la base du volontariat avec l’utilisation de pseudonyme (un “crypto-identifiant”), elle implique de créer un fichier recensant les personnes infectées ou susceptibles de l’être.

Elle fonctionnerait avec le Bluetooth, pour déterminer quel smartphone s’est retrouvé à proximité d’un autre smartphone, appartenant à une personne contaminée. Si une personne est déclarée malade de la Covid-19 par une autorité de santé, après s’être déclaré malade sur l’application, celle-ci enverrait automatiquement un message à ceux qui auraient été à proximité pendant une période déterminée pour les alerter et les inciter à aller se faire dépister.


Beaucoup d’interrogations demeurent concernant sa création, les modes de conservation et d’utilisations des données inhérentes à son utilisation :

- Le stockage des données centralisées sur un même serveur augmente le risque de piratage du-dit serveur.


- Le Bluetooth est une technologie dépassée, peu sécurisée.


- Il y a aujourd’hui en France un problème de fracture numérique. Tout le monde n’a pas de smartphone, d’abonnement internet et certains ne sont pas à l’aise avec ce nouveau type de technologie.


- Des risques liés à la vie privée : “La France a demandé à Apple d'assouplir les contrôles de sécurité sur la technologie bluetooth, qui empêche les données d'être exportées hors des appareils mobiles. Apple pour l'heure ne souhaite pas dégrader ses normes de sécurité mobile. Il n’y a pas d'autre choix que de changer de cap car Apple ne reculerait pas.” (https://cutt.ly/lyc7cJQ).


- Si l’on fabrique cette application sans accord avec Apple et Google, y aura-t-il un problème de compatibilité entre les systèmes sous Androïd (Google) et sous IOS (Apple) ? Au premier trimestre 2020, Android possédait 78,8% des parts de marché des portables en France, suivi par iOS, avec 21,1% ?


- Le Président du Conseil Scientifique évoque l’efficacité limitée de l’application. Il conseille de la compléter avec des moyens humains sur le terrain. De son côté, la CNIL, la Commission Nationale de l'Informatique et des Libertés a précisé que l’application ne peut être déployée que si son utilité est suffisamment avérée.


- L’utilisation de pseudonyme ne garantit en rien l’anonymat des données.


C’est pourquoi la majorité sénatoriale a demandé la saisine de la CNIL


La CNIL a validé son utilisation… pour autant, cette fonctionnalité n’aura d’impact que si plus de la moitié des personnes l’installent. Or cela est sur la base du volontariat et, dans les pays où cela a été déjà installé, trop peu d’utilisateurs l’ont installé, son efficacité a donc été quasi nulle…

Un débat a eu lieu à l’Assemblée Nationale et au Sénat sur le sujet le 27 mai, qui ont voté le principe. J’ai personnellement voté contre. En effet, pourquoi faire courir un risque pour nos libertés individuelles en installant une application qui aujourd’hui n’aurait que peu d’efficacité mais permettrait d’installer un mouchard dans nos téléphone qui pourrait, un jour futur, être utilisé à d’autres fins que notre seule santé ?


Pour autant, le lancement de l’App. “StopCovid” est théoriquement prévu le 2 juin.


2 - Article 6 du projet de loi de prorogation de l’état d’urgence sanitaire :


Position du gouvernement sur l’article 6.


L’article 6 autorise le Gouvernement à créer un système de gestion des données aux seules fins de lutter contre l’épidémie de la Covid-19. Il a pour finalité :


• La détermination des personnes infectées ou susceptibles de l’être.

• La collecte des informations nécessaires pour déterminer les personnes ayant été en contact avec ces dernières.

• L’organisation des examens de biologie médicale de dépistage.

• La surveillance épidémiologique aux niveaux national et local.

• La réalisation d’enquêtes sanitaires en présence de cas groupés.

• La recherche sur le virus et les moyens de lutter contre sa propagation.


Pour lutter contre la Covid-19, des “brigades sanitaires” ont été créées pour identifier et tester les patients atteints ainsi que pour retracer leurs « cas-contacts », et leur proposer un accompagnement médical et social.


Les moyens techniques : deux systèmes d’information.


- Le SIDEP, Système d’Information national de Dépistage Populationnel, viendrait en appui des opérations d’identification, de dépistage et de suivi des personnes infectées.

Les laboratoires de biologie médicale alimenteraient la base de données (identité, résultat), les médecins assurant la prise en charge des patients diagnostiqués positifs.

- Le Contact-Covid serait lui utilisé par les « brigades sanitaires » chargées d’identifier les cas-contacts puis de leur proposer des mesures de dépistage et, le cas échéant, de mise à l’isolement. Il s’agirait d’un téléservice accessible par le portail “Ameli Pro” sous la responsabilité de la Caisse Nationale d’Assurance Maladie.

Contact-Covid permettrait aux médecins de ville et établissements de santé de :


• Créer une fiche de suivi pour chacun de leurs patients testés positif .

• Téléphoner aux personnes à risque pour évaluer leur degré d’exposition. Il recenserait l’identité des cas-contacts indiqués par le malade.


Les apports du Sénat sur l’article 6 :


Garanties quant à la dérogation au secret médical. Sa durée sera limité à la durée de l’état d’urgence sanitaire, au lieu de l’année prévue par le texte initial. Le périmètre de cette dérogation doit concerner uniquement le sujet concernant l’infection.

Possibilité de refuser d’être inscrit au fichier de suivi des malades, par exemple pour les personnes ayant été désignées à tort comme ayant été en contact avec un malade.


Précisions quant à la liste des catégories de personnes ayant accès aux informations stockées dans ces fichiers.


Demande auprès de la CNIL de l’attribution de l’avis “conforme” sur le système d’information.


Garanties en vue du déconfinement sur le suivi des malades et sur la responsabilité des maires.


Garantie de l'information adéquate des personnes dont les données sont entrées dans le système à l'initiative de tiers et possibilité d'opposition au traitement de ces données.


Demande d’exclusion de l’article 6, les finalités, le développement ou le déploiement de l’application “StopCovid”. Comme l'a rappelé la CNIL, pour déployer cette application, le Gouvernement peut se fonder sur le consentement des utilisateurs ou sur l'intérêt légitime de l'Etat dans la lutte contre l'épidémie. Une norme devra fixer les conditions de fonctionnement de l'application et les garanties des utilisateurs. C’est pourquoi l’article 6 n’a pas à rentrer dans le fondement juridique du développement de l’application. Les fichiers de l’application StopCovid ne pourront pas être croisés avec les fichiers SIDEP et Contact-Covid.


Introduction d’un Comité de contrôle et de liaison Covid-19 chargé d’associer la société civile et le Parlement aux opérations de lutte contre l’épidémie, aux moyens mis en place pour les suivis de contacts et les systèmes d’informations. Ce comité sera composé de deux députés et de deux sénateurs désignés par les présidents de leur assemblée respective.


Suppression de l’habilitation à prendre des ordonnances.


3 - Position de la Commission Mixte Paritaire et adoption du sénat.


En Commission Mixte Paritaire, samedi 9 mai, nous sommes arrivés à un point d’équilibre concernant la gestion des données des personnes atteintes de la Covid-19.


La CMP a rétabli la nécessité que la CNIL exprime un avis “conforme”, un point essentiel auquel nous tenions.


La durée de conservation des données a, en outre, été ramenée à trois mois.


Grâce au Sénat, sécurité sanitaire et vie privée pourront avancer de concert pour, comme le déclare Philippe Bas, Président de la commission des lois du Sénat “nous donner les moyens de prévenir les contaminations pendant la phase du déconfinement, avec les garanties que nous avons ajoutées pour les libertés.”

*StopCovid est élaborée par l’INRIA, l’institut national de recherche en sciences et technologies du numérique https://www.inria.fr/fr et Fraunhofer, un laboratoire de recherche Allemand https://www.fraunhofer.de/en.html.

Permanence dans l'Yonne

2 rue de l'Egalité

89000 Auxerre

03 86 46 68 31

d.verien@senat.fr

Bureau à Paris

15 rue de Vaugirard

75291 Paris cedex 06

01 42 34 15 69

d.verien@senat.fr