IT and data

QR Codes, Pass Sanitaire, TousAntiCovid : la technologie au service de la lutte contre la pandémie de Covid-19

Publié le 1st Jun 2021

TMC_smartphones

Près d’un an et demi après l’apparition de la Covid-19 dans le monde, la pandémie s’est installée et il reste difficile de trouver des solutions technologiques pérennes et efficaces. Alors que nous entrons dans une nouvelle ère, celle d’un nouveau déconfinement progressif et d’une gestion des populations vaccinées, les autorités françaises ont misé sur une consolidation des acquis technologiques avec l’utilisation améliorée du contact tracing et l’utilisation renforcée de la technologie des QR Codes, avec une centralisation des informations dans une application TousAntiCovid remaniée. L’application, auparavant un outil de gestion des cas contacts, va devenir un outil de gestion des déplacements.

Le projet de loi de sortie progressive de l'état d'urgence a été définitivement adopté par le Parlement le 27 mai 2021 et prévoit notamment la fin de l’état d’urgence sanitaire au 30 septembre 2021.

Au niveau européen, la proposition d’un certificat vert numérique portée par le commissaire européen au Marché Intérieur, Thierry Breton, a été provisoirement validée le 20 mai par le Parlement Européen et le Conseil de l’Europe et il pourrait être déployé dès le 1er juillet 2021.

 

TousAntiCovid : renforcement de la technologie et implémentation de nouveaux outils

En France, l’application StopCovid a subi une première évolution en fin d’année 2020. Afin de s’adapter à l’installation dans le temps du virus, elle a été obligée de muter : le 23 octobre 2020, le gouvernement a annoncé le déploiement de « TousAntiCovid ». TousAntiCovid a donc remplacé StopCovid, en conservant néanmoins les acquis qui avaient fait la force de l’application StopCovid i.e. l’utilisation du contact tracing.

L’utilisation du contact tracing a depuis été largement améliorée notamment par l’utilisation du « rétrotracing » permettant de remonter à la source et rechercher toutes les personnes qui ont participé à l’évènement durant lequel la personne positive à la Covid-19 a pu se contaminer.
Le 17 décembre 2020, la CNIL s’est prononcée, en urgence, sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif à StopCovid. Ce projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application.

L’évolution principale, reprise dans le projet de loi adopté par le Parlement vise à introduire au sein de l’application, dans la perspective de la réouverture de certains établissements recevant du public (les « ERP », soient les restaurants, bars, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la Covid-19, nommé «Pass Sanitaire».
En parallèle, le Pass Sanitaire permettra de stocker les certificats de tests PCR ainsi que les certificats de vaccination.

 

L’utilisation du QR Code a fait l’objet de plusieurs évolutions

  • Dans un premier temps, le QR Code était remis par le professionnel de santé à l’issue de son test PCR positif, pour la transmission de ces données au serveur centralisé ;

 

  • Dans un deuxième temps, le QR Code a fait l’objet d’une utilisation dans le cadre des attestations de déplacements, qui avaient été dématérialisées au sein de l’application TousAntiCovid ;

 

  • L’application TousAntiCovid prévoit ainsi dans une troisième évolution l’utilisation du QR Code délivré par un professionnel de santé à la suite d’un test PCR et/ou antigénique positif ou négatif, afin que l’utilisateur puisse justifier d’un test PCR et/ou antigénique négatif au cours d’un voyage dans le cadre de l’initiative européenne du Certificat Vert Numérique.

 

  • Dans le cadre du traçage des foyers de contamination, TousAntiCovid prévoit dans un quatrième temps l’utilisation du QR Code afin de retracer grâce au rétrotracing les ERP fréquentés par un utilisateur qui serait testé positif à la Covid-19.

 

  • Enfin, l’application TousAntiCovid aura vocation à utiliser la technologie QR Code à un nouveau stade : le QR Code « carnet » stockant les tests ou les vaccins effectués. Cette fonctionnalité, validée par le Parlement, doit permettre de tenir compte des risques particuliers des contaminations liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes.

Ainsi, l’évolution de la technologie QR Code soulève de nouvelles questions en matière de données personnelles et il est intéressant de confronter cette évolution avec la réglementation française applicable.

Sur la question de l’analyse d’impact relative à la nouvelle utilisation des QR Codes, il ne fait pas de doute qu’elle est nécessaire compte tenu des traitements envisagés, la CNIL restant très vigilante quant à la proportion de l’atteinte potentielle aux droits et libertés des utilisateurs de TousAntiCovid.

 

Sur la question de la qualification de données de santé, l’article 4.15 du RGPD définit précisément les données de santé comme les « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Comme la CNIL l’indique, la notion de données de santé est désormais large et doit donc être appréciée au cas par cas. Trois cas de figures sont alors envisageables : les donnée de santé par nature, par croisement ou par destination.

L’application devra veiller à ce que les QR Codes ne stockent pas des informations qui pourraient révéler, dans un contexte particulier lié à l’environnement de l’utilisateur ou à son état de santé, les risques sanitaires encourus par l’utilisateur si celui-ci était exposé à la Covid-19.
La CNIL estime que les QR Codes, compte tenu des modalités et du contexte de la collecte des données permettant de les constituer, sont susceptibles d’être protégés par le secret médical, si les données qu’ils comprennent ont été produites ou collectées dans un contexte médical. Outre les règles afférentes à la nature des données de santé, la règle du secret médical impose également que la transmission de données de santé intervienne dans le respect des garanties légales protégeant ce secret.

Le QR Code semble ici constituer des données de santé et les autorités compétentes devront donc respecter les impératifs liés aux traitements de ces données dites sensibles et notamment en termes de sécurité, hébergement de données de Santé (HDS) et bien sûr solliciter le consentement de l’utilisateur.

 

Sur la question de la proportionnalité des traitements, la CNIL a recommandé, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Par ailleurs, la CNIL relève que l’absence de l’utilisation de la technologie de géolocalisation ou encore la séparation des données liées aux visites des ERP avec celles transmises via le protocole ROBERT(1) sont de nature à garantir la proportionnalité des traitements.

En tout état de cause, dans sa dernière communication du 12 mai 2021, la CNIL met l’accent sur le caractère temporaire de cette application et des traitements associés, rappelant que « son utilisation ne saurait en aucun cas être maintenue au-delà de la crise sanitaire ». Le terme de « crise sanitaire » est large par pragmatisme et il semble que la CNIL n’a pas voulu se référer à une date précise, ou à un nombre de contamination fixe, lui préférant un concept aux frontières poreuses afin de laisser aux autorités une certaine marge de manœuvre. Il semble que le pouvoir législatif ait entendu cet appel au caractère temporaire au moment du vote final du 27 mai 2021.

TousAntiCovid soulève également des questions en matière éthique, et notamment les conditions d’exploitation de ces données à des fins autres que celles prévues par les finalités de traitement déclarées au titre de TousAntiCovid.

Parmi les craintes exprimées, notamment lors des auditions de la commission d’enquête du Sénat, le risque de discrimination a été soulevé car les personnes qui n'utiliseraient pas l'application pourraient ne pas être en mesure de travailler ou d'accéder librement à certains lieux publics : cette crainte a été entendue par les parlementaires, qui ont voté pour limiter l’utilisation de ce Pass Sanitaire aux évènements impliquant de grands rassemblements de personnes à l’exclusion notamment des activités de la vie courante (restaurants, bars, commerces).
En tout état de cause, ces réserves ainsi que la transparence sur la gestion de TousAntiCovid souhaitée par les parlementaires ont été entendues par la CNIL : l’application est en auto-analyse constante par l’autorité, dans ce qui peut être considéré comme du privacy by design permanent.

Certificat Vert Numérique : une initiative européenne

Au niveau européen, la Commission européenne, par une initiative portée par Thierry Breton, propose de faciliter la libre circulation au sein de l’Union européenne en mettant en place un « Certificat Vert Numérique ». Ce certificat permettrait de prouver qu'une personne a été vaccinée contre la COVID-19, ou qu’elle a reçu un résultat négatif à un test de dépistage ou qu’elle s’est rétablie de la COVID-19.

Le Certificat Vert Numérique, communion de tous les Pass Sanitaire nationaux, correspondrait, pour chaque pays, au QR Code (i) du test PCR négatif ou (ii) du vaccin à jour interopérable délivré par chaque Etat membre contenant notamment une signature numérique visant à garantir son authenticité et permettant ainsi à l’utilisateur de voyager au sein de l’Union Européenne. Chaque établissement délivrant des résultats de test ainsi que les centres de vaccination au sein des États membres disposerait de sa propre signature numérique.

Un portail, mis en place par la Commission européenne, permettrait de vérifier les signatures des certificats dans l'ensemble de l'UE sans que des données personnelles du titulaire du certificat ne soient transmises à celui-ci.

Dans une optique européenne, La CNIL dans sa communication du 22 avril 2021 sur l’utilisation du Pass Sanitaire dans le cadre de l’initiative du Certificat Vert Numérique en Union Européenne a notamment précisé que cette nouvelle fonctionnalité doit, à ce stade, uniquement permettre « de favoriser les déplacements nécessitant un contrôle sanitaire ».

Concernant les garanties que devraient apporter le gouvernement, la CNIL s’est inscrite dans le sillon des autorités de contrôle européenne, en précisant que les autorités qui vérifieront la base de données ne devront pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données.

Le Pass Sanitaire, qui a fait l’objet d’un accord politique provisoire entre le Parlement européen et le Conseil de l’Europe le 20 mai 2021 devra être approuvé par le Parlement Européen dont la prochaine plénière est prévue du 7 au 10 juin à Strasbourg. Une entrée en vigueur du Règlement peut être espérée au 1er juillet 2021.

 

La mise à jour technologique qui a accompagné le développement de l’application StopCovid devenue TousAntiCovid s’accompagne de nouvelles questions et nouveaux enjeux : juridiques, au niveau des données personnelles et des libertés publiques, mais également éthiques et politiques, avec l’utilisation du passeport sanitaire, en France et en Union Européenne. Il appartient aux autorités compétentes de jauger et de mettre en balance d’une part les principes d’homogénéité ou de minimisation des données personnelles et d’autre part les impératifs de sécurité sanitaire. L’utilisation des Pass Sanitaires au sein de l’Union Européenne va se démocratiser avec l’arrivée de la période estivale, source de multiples mouvements de masses. Comment les différentes technologies vont-elles coexister et comment l’interopérabilité entre les technologies, notamment compte tenu des différentes approches de base retenues par les différents pays européens (protocole ROBERT v. protocole DP-3T utilisé par de nombreux pays au sein même de l’Union) va se faire ? Rendez-vous est pris en septembre afin de constater les effets de ces évolutions technologiques, qui tentent à tout prix, d’évoluer aussi vite, voire plus vite, que la pandémie.

 

(1)  le protocole ROBERT permet de regrouper sur un serveur centralisé situé en France, sous le contrôle du Ministère de la Santé, une liste de crypto-identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes déclarées positives à la Covid-19.
Partager

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Interested in hearing more from Osborne Clarke?