Résumé

Le virus Sars-COV-2 a contaminé plusieurs millions de personnes à travers le monde. Pour lutter contre cette pandémie, une majorité d’États a adopté des mesures extraordinaires, notamment en confinant leurs populations. Le traçage des chaînes de contamination s’est également imposé comme un outil indispensable. Dans certains pays, le traçage humain a été assisté par des applications pour téléphones portables ou par des objets connectés. Ce rapport présente une analyse réalisée dans le courant de l’été 2020, en coopération avec l’Internet Society France, au plus vif des débats à ce sujet.

Auteur(s)

Tayfun Tümtürk est doctorant à l’Université de Szeged. Il mène des recherches sur la protection des données personnelles et la protection de la vie privée.

Plan

Introduction

Ce document étant, d’une part, le fruit d’une série de recherches collaboratives, menées au sein d’Internet Society France, pour éclairer un sujet d’actualité, il vise d’abord à présenter brièvement le contexte européen en matière de protection des données à caractère personnel en réaction à la pandémie de Sars-COV-2, puis à faire une analyse des applications de contact tracing, lancées par des différents États de l’Europe, et finalement à formuler des recommandations afin sensibiliser les développeurs et les utilisateurs à la protection des données à caractère personnel dans la lutte contre le COVID-19.

Concernant la façon dont nous avons choisi les applications de contact tracing, qui sont l’objet de notre recherche, nous pouvons noter que leur nombre, à l’initiative de mesures gouvernementales, n’a cessé d’augmenter dans le monde entier depuis le début du lancement de la toute première application de contact tracing pour lutter contre le Sars-COV-2. De ce fait, notre recherche ne pouvant pas les couvrir toutes, c’est pourquoi, nous l’avons limitée au territoire européen. En outre, pour analyser leur transparence, importait surtout leur disponibilité au moment où nous avons conduit cette recherche, à savoir, de fin juin à fin juillet 2020. Par exemple, l’application britannique NHS COVID-19 app, qui était en développement, a été exclue de notre recherche.

Avant d’entrer dans le vif du sujet, il serait pertinent de donner un bref aperçu général de la surveillance sanitaire, apparue avec le Sars- COV-2, en relation avec la problématique des données à caractère personnel.

Après que le virus Sars-COV-2 soit devenu une menace contre la vie humaine, les États membres de l’UE, ont pris des mesures extraordinaires pour arrêter la propagation du virus, menaçant parfois la vie privée des personnes concernées. L’exposition des personnes au COV-19 a divisé les sociétés dans tous les pays : les personnes testées positives ont pu devenir la cible d’une chasse aux sorcières. En effet, pour diminuer le contact entre ceux-ci et le reste de la population, dans les pays membres de l’UE, des mesures, certaines prévues dans le droit commun, d’autres étant extraordinaires, mentionnées ci-dessous, ont été mises en œuvre.

L’article 89 du RGPD rend ainsi déjà d’ordinaire possible des dérogations des droits des personnes concernées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historique ou statistique, il en va presque de même lorsqu’il s’agit de la protection de certains intérêts publics dont la santé publique, tels que prévus dans l’article 6§1 sous d) et sous e), qui concerne la licéité du traitement sans faire de distinctions entre les catégories particulières de données à caractère personnel, et notamment l’article 9§2 sous i), cité ci-dessous, dont la portée est limitée au traitement portant sur des catégories particulières de données à caractère personnel, du RGPD :

« Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel. ».1

La position de l’EDPB (Comité Européen de la Protection des Données) explicite bien la logique des exceptions citées ci-dessus :

« Le RGPD est conçu pour être flexible. Il peut donc permettre une réponse efficace pour soutenir la lutte contre la pandémie, tout en protégeant les libertés et les droits fondamentaux de l’homme. Lorsque le traitement de données à caractère personnel est nécessaire dans le cadre de COVID-19, la protection des données est indispensable pour instaurer la confiance, créer les conditions d’acceptabilité sociale de toute solution possible et, par conséquent, garantir l’efficacité de ces mesures »2

L’un des exemples les plus frappants concernant ces dérogations exceptionnelles est le décret hongrois n°179/2020 prévoyant des dérogations au sujet de l’information à fournir, lesquelles sont fixées dans les articles 13,14 du RGPD, et au sujet des droits des personnes concernées, prévus par les articles 15 à 22 du RGPD. En France, le droit à la portabilité et le droit d’opposition sont exclus par le décret n° 2020-551 du 12 mai 2020, cette exclusion s’appuyant sur l’article 23 du RGPD. En Bulgarie en vertu de la « Loi sur les mesures et actions pendant l’état d’urgence » le Ministère de l’intérieur a le droit de traiter les données personnelles collectées par déclarations des citoyens passant par des points de contrôles dans les villes régionales du pays sur la base légale de l’article 23 du RGPD.3

Des lignes directrices publiées par des autorités nationales de la protection des données personnelles expliquent comment traiter les données pendant la période de pandémie. Datu valsts inspekcija (Lettonie) a précisé que le traitement de données sensibles est licite dans le contexte de pandémie conformément à l’article 6, et à l’article 9 du RGPD.4

Úřad pro ochranu osobních údajů (Office pour la protection des données personnelles de la Tchéquie) souligne dans sa ligne directrice que selon la Résolution gouvernementale n ° 250 du 18 mars 2020, si nécessaire pour détecter une flambée, les autorités de santé publique peuvent demander aux opérateurs de télécommunications des données sur la circulation des personnes résultant des données de localisation obtenues à partir d’un téléphone mobile.5 DZLP (Direction pour la protection des données personnelles de la Macédoine du nord) a déclaré que le traitement des données, effectué pour l’intérêt public, y compris la protection contre les menaces transfrontières graves pour la santé, est une base juridique valable pour le traitement des données en vertu des articles 10 et 13 de la loi sur la protection des données personnelles 2020.6

En plus de ces mesures susmentionnées, à partir du mois de mars 2020 plusieurs États ont commencé à lancer leur application de « contact tracing » afin de minimiser la propagation du virus Sars-COV-2 et de tracer les gens infectés par celui-ci. Une majorité des États européens qui ont recouru à cette nouvelle technologie ont pourtant adopté différents protocoles sur lesquels les applications sont construites.

L’objectif de notre recherche était donc de faire une analyse des applications de contact tracing, qui sont déjà en cours d’utilisation au sein de l’UE, afin de répondre à la question de savoir si les applications de contact tracing fournissent suffisamment d’information aux utilisateurs dans une société de l’information. A partir de là, nous nous sommes interrogés sur le « principe de transparence » du droit de la protection des données à caractère personnel. Et pour faire cela, nous avons cherché à répondre aux points suivants :

1) Sur quel protocole les applications sont construites ;
2) Quelle technologie elles utilisent (Bluetooth ou GPS) pour détecter les utilisateurs qui ont été exposés au COVID-19 ;
3) Quel modèle de stockage de données elles adoptent (centralisé, décentralisé ou hybride) ;
4) Si le nombre de téléchargement de chaque application est accessible ;
5) Si une analyse d’impact au titre de l’article 35 du RGPD existe et est accessible à tous les utilisateurs.

1. Les protocoles d’applications de contact tracing

Une grande majorité des applications sont construites soit sur un protocole, soit se sont inspirées de plusieurs protocoles. Les plus connus et les plus adoptés sont actuellement : 1) Bluetrace/Opentrace de Singapour, qui est l’un des premiers États, qui a lancé une application de contact tracing, 2) PEPP-PT (Pan European Privacy Preserving Proximity Tracing), une initiative européenne multilatérale, 3) DP-3T, un consortium international de technologues, juristes, ingénieurs et épidémiologistes qui collaborent pour un protocole indépendant des États et favorable à la protection de la vie privé et 4) Privacy-Preserving Contact Tracing, également connu comme Exposure Notifications, de la collaboration d’Apple et Google.

Nom application Version Android minimale Version iOS minimale Autres OS / Magasin d’applications Protocole utilisé

Corona-Warn-App

Android 6.0 iOS 13.5 DP-3T et TCN, ainsi que sur les spécifications de suivi des contacts de confidentialité d'Apple et de Google.

STOPP CORONA APP

Android 6.0 iOS 13.5 Exposure notification d'Apple/Google

COVTRACER

Android 5.0 iOS 9.0 Safepaths (Massachusetts Institute of Technology

Smitte Stop

Android 6.0 iOS 13.5 Exposure notification d'Apple/Google

StopCovid

Android 5.0 iOS 11.4 DESIRE

Alertanoo

Android 5.0 En cours de développement Protocole ROBERTd'inria

Immuni

Android 6.0 iOS 13.5 Huawei Appgallery (en cours de développement) Exposure notification d'Apple/Google

Apturi Covid

Android 6.0 iOS 13.5 Exposure notification d'Apple/Google

StopKorona!

Android 5.0 iOS 11.0 Pas spécifié

ProteGo

Android 5.0 iOS 12.1 Exposure notification d'Apple/Google

NHS Corona app

Android 5.0 iOS 9.0 Exposure notification d'Apple/Google

Rakning C-19

Android 5.0 iOS 9.0 Pas spécifié

Erouska

Android 5.0 iOS 11.0 Inspiré des : OpenTrace de Singapour ProteGO-app de Pologne Covid World de Slovakie

Tableau 1 : Protocoles utilisés

2.Principe de fonctionnement des applications de contact tracing

Quant au principe de fonctionnement des applications de contact tracing, deux aspects deviennent importants : premièrement sur quelle technologie, Bluetooth ou GPS, et deuxièmement sur quel modèle de stockage de données, « centralisé » ou « décentralisé », elles sont basées.

Une majorité des applications utilisent la technologie Bluetooth mais certaines utilisent le GPS et le Bluetooth en même temps, telles que l’application norvégienne Smitte Stop et l’application chypriote CovTracer, ou le GPS seul, telles que l’application islandaise Rakning C-19.

Parmi ces trois applications, Smitte Stop a été suspendue par Datatilsynet en raison de l’utilisation du GPS, considérée attentatoire à la vie privée, et CovTracer doit utiliser le Bluetooth seul afin de mieux respecter celle-ci.

Il est évident que puisque le GPS sert à détecter la géolocalisation de la personne concernée, son utilisation dans un traçage de contacts pourrait engendrer des risques concernant la vie privée. La raison en est que, contrairement à Bluetooth, le GPS permet d’enregistrer l’historique des déplacements de la personne concernée dans un temps donné. Cette fonction du GPS peut être utilisée pour prévoir le risque d’une éventuelle contamination du virus restant à la surface des objets dans un espace clos, même pendant un certain temps après qu’une des personnes concernées a quitté la zone.7 Compte tenu de la difficulté de garder l’anonymat dans un tel contexte, cette particularité du GPS, qualifiée comme un avantage par certains chercheurs, devient en effet un inconvénient.

Cependant, bien que la technologie Bluetooth paraisse, à première vue, ne présenter aucun risque, elle en présente de fait plusieurs, et notamment les deux suivants, qui sont très importants :

Premièrement, selon une étude, le taux de génération de faux positifs (notification d’exposition lorsqu’il n’y a pas eu de contact étroit ou lorsque l’interaction n’était pas cliniquement pertinente) et faux négatifs (le fait que l’exposition qui serait signalée sans que cela soit un cas avéré) par le Bluetooth est entre 7- 15 %.8 Ainsi, dans les cas où les utilisateurs d’une application sont séparés les uns des autres par un mur ou simplement par une surface vitrée qui leur évite d’être exposés au virus, il est probable qu’ils soient notifiés par leur application d’une éventuelle exposition.

Deuxièmement, pour que le système de traçage fonctionne comme prévu, les puces Bluetooth des téléphones mobiles doivent être suffisamment sensibles pour pouvoir détecter une proximité de 2 mètres par rapport à un autre utilisateur pendant un certain temps, 15 minutes en général, mais cette estimation de temps et de distance ne doit pas être considérée comme une règle, car il n’y a pas de consensus sur ce point.9 Comme indique John Brooks, médecin principal de Centers for Disease Control and Prevention (CDC) : « en moins de temps et avec un éternuement sur le visage ou un autre contact intime où de nombreuses gouttelettes respiratoires sont émises, une contamination peut se produire ».10 Toutefois, cette sensibilité de Bluetooth pour effectuer des estimations correctes dépend de plusieurs facteurs tels que la position du corps où la personne concernée porte le téléphone mobile et le nombre de signaux Bluetooth que ce dernier observe.11

Dans le modèle décentralisé

« les identificateurs éphémères arbitraires de tous les téléphones en contact avec un autre utilisateur sont générés, stockés et traités sur l’appareil de l’utilisateur (c’est-à-dire son téléphone portable), qui calcule les scores de risque pour tous les utilisateurs et stocke tous les identificateurs présentant un risque d’infection. Lorsqu’une personne reçoit un résultat positif au test COVID-19 d’une autorité de santé publique, elle met en ligne (upload) ses données de contact exposées sur un serveur dorsal (backend server). Les protocoles DP-3T et TCN et l’interface de programmation d’application (API) Google-Apple Exposure Notification en sont des exemples ».12

Il existe également un troisième modèle qui peut être désigné comme « hybride », mélange des modèles centralisés et décentralisés, qui intègre les autorités de santé dans le processus d’une façon plus respectueuse de la confidentialité. Dans le modèle hybride, adopté par les protocoles DESIRE et ROBERT, jusqu’à ce que l’utilisateur se déclare positif au COVID-19, les données d’identités éphémères des autres utilisateurs avec lesquels il était en contact sont stockées dans l’appareil de celui-ci. Puis l’utilisateur partage volontairement ces données avec le serveur qui est chargé de calculer les scores de risque et d’envoyer des notifications aux utilisateurs qui comprennent un risque d’infection.13

Le protocole DESIRE apporte deux améliorations majeures à ROBERT :

«  1. Alors que le protocole ROBERT ne s’appuyait que sur des pseudonymes temporaires pour les applications, DESIRE s’appuie sur des « Private Encounter Tokens » (« jetons privés de rencontre ») ou PET, qui associent un pseudonyme unique et secret uniquement lors de la rencontre entre deux appareils mobiles à proximité l’un de l’autre. Ces jetons PET sont générés conjointement et de manière confidentielle par les applications des deux utilisateurs, ce qui apporte un meilleur niveau de protection de la vie privée. Cette génération locale dans les applications est une forme significative de décentralisation.
 
2. Toutes les données stockées par l’autorité centrale sont désormais chiffrées à l’aide de clés secrètes stockées sur les appareils mobiles des utilisateurs, ce qui fournit une protection efficace contre d’éventuelles fuites de données. ».14

Même si le modèle décentralisé parait plus favorable à la protection de la vie privée, vu que le serveur n’intervient que lors de la notification des utilisateurs présentant un risque d’infection, il faut souligner que certaines applications décentralisées requièrent des informations permettant d’identifier la personne concernée telles que le numéro de téléphone, l’adresse électronique, le nom de l’utilisateur et les stockent dans un serveur centralisé. Ce sont les applications de STOPP CORONA APP (Autriche), VirusRadar (Hongrie), StopKorona ! (Macédoine du nord) qui collectent de telles informations. Il existe d’autres limites des modèles décentralisés. Par exemple, si le téléphone portable de la personne concernée est volé ou s’il a été victime d’un malware il est très probable que les données stockées soient révélées. D’autre part, une personne en position d’abuser de son autorité, tel qu’un policier ou un employeur, pourrait forcer la personne concernée à montrer les données de l’application.15

Au-delà des limites que suscite le modèle décentralisé, il serait bien de souligner un de ses plus grands avantages, puisque les données sont stockées dans l’appareil de l’utilisateur. Ainsi, une fois l’application supprimée, les données le sont aussi. Dans les modèles où les données sont confiées à un contrôleur central, il se peut que les données ne soient pas automatiquement supprimées du serveur ; c’est à l’utilisateur lui-même de vérifier qu’elles sont bien supprimées en contactant celui-ci.

Nous avons énuméré ci-dessous les applications, qui ont fait l’objet de notre recherche, selon les modèles sur lesquels elles sont basées :

Applications basées sur un modèle centralisé

  • ViruSafe (Bulgarie)
  • Smitte Stop (Norvège)
  • ProteGo (Pologne)
  • Erouska (Tchéquie)

Applications basées sur un modèle décentralisé

  • Apturi Covid (Lettonie)
  • Corona-Warn-App (Allemagne)
  • Immuni (Italie)
  • Smitte Stop (Danemark)
  • StopKorona! (Macédoine du nord)
  • STOPP CORONA APP (Autriche)
  • VirusRadar (Hongrie)

Applications basées sur la localisation (GPS)

  • COVTRACER (Chypre)
  • Smitte Stop (Norvège)
  • ProteGo (Pologne)
  • Rakning C-19 (Islande)

Hybride

  • Alertanoo (Réunion, France)
  • StopCovid (France)

Tableau 2 : Liste des applications

3. Nombre de téléchargement des applications

L’efficacité des applications de contact tracing est encore un sujet de débat, même si certaines analyses, telles que celles du gouvernement de Royaume Unis, montrent les nombres des contaminations prévenus grâce aux applications de traçages.16

Des estimations actuelles indiquent que l’épidémie peut être arrêtée lorsque 80 % des utilisateurs de smartphones utilisent une application de contact tracing ou 56 % de l’ensemble d’une population donnée.17

Cependant, les recherches que nous avons conduites avec les plus de données disponibles montrent que ce chiffre de 56% n’était pas encore été franchi au moment de notre étude. Même si en Allemagne le nombre de téléchargement a dépassé les 18 millions, vue que la population totale du pays est 83,02 millions, le nombre de téléchargement est resté très en deçà de 56%. Cela questionne la légalité des dites applications. Car même si le traitement des données à caractère personnel est autorisé par les articles 6 et 9 du RGPD pour la protection de la santé et l’intérêt public, il n’est pas précisé à quoi correspond ledit niveau d’efficacité.

Nom d’application Nombre de téléchargement Date de la statistique Population totale du pays

Apturi Covid (Lettonie)

100 000 (info reçue par mail du développeur) 22 juillet 2020 1,92 million

Corona-Warn-App (Allemagne)

18.4 millions 10 octobre 2020 83,02 millions

COVTRACER (Chypre)

9000 (info reçue par mail du développeur) 20 juillet 2020 1.17 million

Smitte Stop (Danemark)

1.541.633 10 octobre 2020 5,806 millions

Tableau 3 : Nombre de téléchargements.18

L’un des facteurs les plus importants facilitant le nombre de téléchargements par le plus grand nombre de détenteurs de téléphones portables est l’accessibilité de l’application dans des services de téléchargements tels que l’App Store, Google Play Store, Huawei Appgallery.

Actuellement les applications islandaises Rakning C-19 et chypriotes COVTRACER sont accessibles pour les appareils fonctionnant sur la version d’Android 5.0 et d’iOS 9.0, les autres applications exigent une version supérieure. En outre, l’application italienne Immuni sera également accessible à partir de l’Huawei Appgallery.

Les statistiques nous montrent, par exemple, qu’en France, seules 44 % des personnes âgées de 70 ans et plus sont équipées d’un smartphone.19 Donc ceux qui n’en sont pas équipés d’un smartphone sont déjà exclus de traçage automatisé des contacts. Et les personnes âgées, dont la probabilité de posséder un vieux modèle de smartphone est plus forte, ne peuvent pas accéder à certaines applications qui nécessitent des versions plus récentes d’Android ou d’iOS. En outre, si l’on fait exception des applications interdites aux enfants, il est très probable que les moins de 12 ans ne possèdent pas un smartphone tout en continuant de circuler dans la population. Ces deux derniers groupes sont exclus de traçage automatisé des contacts. Toutefois, nous pouvons mentionner le cas de Singapour qui a distribué aux personnes âgées et aux élèves des petits appareils portables sans écran, ne servant qu’au traçage automatisé des contacts tout comme les applications de téléphones portables.

4.Les analyses d’impact relative à la protection des données des applications de contact tracing

Même si le nombre total de téléchargements de chaque application a été une donnée difficile à trouver, nous avons réussi à collecter un grand nombre des chiffres, listés au-dessus. En ce qui concerne les analyses d’impact des applications (abréviation anglaise : DPIA) ; quelle qu’en soit la raison, avec le même effort, nous n’avons pu accéder qu’à très peu d’entre elles.

C’est l’article 35 du RGPD qui impose l’élaboration d’une analyse d’impact lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le traitement à grande échelle de données sensibles, comme c’est le cas avec les applications de contact tracing, est l’un des cas prévus dans ledit article pour une analyse d’impact.

Cependant cette dernière n’est pas disponible pour toutes les applications qui ont été sujet de notre recherche. Soit parce que l’analyse d’impact n’existe pas soit parce qu’elle n’est pas partagée au public.

Or, en France, selon la Commission d’accès aux documents administratifs, l’analyse d’impact constitue un document administratif et dès lors qu’elle est achevée, elle devrait être communicable à toute personne qui en fait la demande.20

Par conséquent, au-delà du fait que l’élaboration de ce document soit une obligation légale, sa communication publique constitue aussi « un moyen de favoriser la confiance dans les opérations de traitement et de démontrer le respect des principes de transparence et de responsabilité ».21 Comme le considérant 39 du RGPD, qui détaille l’article 12 du même règlement, faisant référence à la transparence l’indique, s’agissant des applications de contact tracing, que les personnes concernées devraient être informées non seulement du fonctionnement des applications et du traitement de données mais aussi des risques concernant leurs données personnelles. C’est le cas de l’analyse d’impact de l’application italienne Immuni, qui souligne que le modèle décentralisé et la technologie Bluetooth sur lesquels est basée l’application présentent des faiblesses.22 Est aussi rappelé aux personnes concernées différents types de risques par le biais de scénarios potentiels tels que les logiciels malveillants.

Les analyses d’impact auxquelles nous avons pu accéder sont mentionnées ci-dessous :

Nom d’application Analyse d’impact

Corona-Warn-App

Bericht zur Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesrepublik Deutschland

Immuni

Valutazione d'impatto sulla protezione dei dati personali presentata dal Ministero della Salute relativa ai trattamenti effettuati nell'ambito del sistema di allerta Covid-19 denominato "Immuni"

ProteGo

Ocena niezbędności i proporcjonalności środków ochrony

Smitte Stop (Danemark)

Konsekvensanalyse vedr. databeskyttelse

STOPP CORONA APP

Bericht über die Datenschutz-Folgenabschätzungfür die Anwendung StoppCorona-App des Österreichischen Roten Kreuzes

Tableau 4 : Analyses d’impact

5. Conclusion et recommandations

Sur la base des données recueillies au cours de nos recherches, nous nous permettons de dire que, bien que le RGPD permette l’utilisation de données anonymes ou personnelles pour surveiller et contrôler la propagation du virus SRAS-CoV-2, il ne faut pas oublier que le respect de la vie privée est très important pour instaurer et renforcer la confiance de la société dans les applications de contact tracing. Afin d’y arriver, comme il est déjà conseillé par le Conseil de l’Europe, par la Commission européenne et par le Contrôleur européen de la protection des données (EDPS), il faut que les développeurs ne collectent pas les données de localisation puisqu’elles sont sujettes à une réidentification.23 Nous observons qu’il y a très peu d’applications qui se sont basées sur le GPS et celles qui utilisent cette technologie ont tendance à ne plus l’utiliser. Il est par exemple prévu que l’application chypriote COVTRACER, par exemple, passe au Bluetooth, et Datatilsynet (l’autorité norvégienne de protection des données) avait déjà suspendu l’utilisation de l’application Smitte Stop au motif qu’elle recueillait de grandes quantités d’informations personnelles y compris des données de localisation continues.24

Quant aux modèles d’applications, il est constaté que l’approche décentralisée est plus favorable au respect de la vie privée. Cela tient au contrôle accru que les utilisateurs ont sur la manière dont leurs propres données sont stockées et partagées avec les gouvernements ou des tiers.25 Cependant, certains trouvent l’approche centralisée plus fiable puisqu’elle met en avant l’autorité de santé plutôt que des spécialistes de la technologie.26 Alors, des modèles hybrides qui associent les points forts des deux systèmes peuvent être une bonne solution permettant de bénéficier à la fois de la confidentialité et de l’efficacité.

En ce qui concerne le nombre de téléchargements, le fonctionnement des applications sur le plus d’appareils possible est également très important pour atteindre le seuil de téléchargement minimum nécessaire. Dans ce cas-là non seulement l’accessibilité des applications dans des services de téléchargements est important mais leur fonctionnement indifférencié sur des appareils d’iOS et Android aussi. L’application tchèque Erouska par exemple, est basée sur son propre protocole, va utiliser le Privacy-Preserving Contact Tracing d’Apple et Google puisqu’elle a rencontré des problèmes de fonctionnement en arrière-plan sur des appareils iOS et pour que l’application soit interopérable avec d’autres applications des pays de l’UE, ainsi que nous l’a communiqué le développeur. A cette fin, toutes les applications au sein de l’UE devraient adopter une approche décentralisée.

Comme le virus n’a pas de nationalité, les applications ne devraient pas en avoir non plus. Vu que certaines applications, ainsi que leur politique de confidentialité, ne sont accessibles que dans la langue nationale du pays, qui est le cas pour « ViruSafe de la Bulgarie, STOPP CORONA APP de l’Autriche, VirusRadar de la Hongrie » cela met une barrière entre l’utilisateur et l’application.

Rendre accessible le code source des applications sur des réseaux comme « GitHub » ou « GitLab » sur lesquels les développeurs partagent leurs applications peut faciliter la traduction des applications sur la base de volontariat. Ce sont « Smitte Stopp du Danemark, CovTracer du Chypre, StopKorona ! du Macédoine du nord, VirusRadar de la Hongrie » qui ne se trouvent pas dans l’une des plateformes open source de gestion de développement de logiciels.

Sur ce type de plateformes, les applications open source accroîtraient la confiance dans la communauté et faciliteraient la résolution de problèmes en temps réel grâce à la participation de cette dernière. Nous recommandons l’article de Dabbish et al., qui peut être trouvé dans les références, à ceux qui veulent comprendre mieux comment fonctionne le « social coding » (programmation collaborative avec la communauté).27

Comme indiqué au début, le but de cette recherche était de formuler des recommandations sur ce sujet d’actualité. Il ressort que la principale recommandation que nous pouvons faire à ce stade est qu’il faut accroître la transparence sur les codes sources et les évaluations d’impact au titre de l’article 35 du RGPD, mais aussi sur les statistiques d’utilisation, afin de pouvoir évaluer de façon indépendante l’efficacité et la fiabilité de ces applications tout en renforçant la confiance du public.


Bibliographie

Références de base pour davantage d’informations

a) Publications scientifiques et textes de doctrine juridique

• Ferretti, L., Wymant, C., Kendall, M., Zhao, L., Nurtay, A., Abeler-Dörner, L., Parker, M., Bonsall, D., & Fraser, C. (2020). Quantifying SARS-CoV-2 transmis-sion suggests epidemic control with digital contact tracing. Science, 368(6491).
• Hinch, R., Probert, W., Nurtay, A., Kendall, M., Wymant, C., Hall, M., & Fraser, C. (2020). Effective configurations of a digital contact tracing app : A report to NHSX. Accédé à l’adresse : https://github. com/BDI-pathogens/covid-19_instant_tracing/blob/master/Report.
• Levy B., Stewart M. (2020). « A systematic review of the ethics and efficacy ofd-igital contact tracing applications ». Harward Data Science Review. Accédé à l’adresse : https://www.researchgate.net/profile/Matthew_Stewart27/publication/343917672_A_Systematic_Review_of_the_Ethics_and_Efficacy_of_Digital_Contact_Tracing_Applications/links/5f47da2fa6fdcc14c5d07261/A-Systematic-Review-of-the-Ethics-and-Efficacy-of-Digital-Contact-Tracing-Applications.pdf
• Li, T., Faklaris, C., King, J., Agarwal, Y., Dabbish, L., & Hong, J. I.(2020). De-centralized is not risk-free : Understanding public perceptions of privacy-utility trade-offs in COVID-19 contact-tracing apps. arXiv preprint arXiv:2005.11957, p.20. Accédé à l’adresse : https://arxiv.org/abs/2005.11957

b) Textes de loi

• Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sani-taire et complétant ses dispositions Accédé à l’adresse : https://www.legifrance.gouv.fr/loda/id/JORFTEXT000041869923/2020-05-14/
• Loi sur les mesures et actions pendant l’état d’urgence (Bulgarie). Accédé à l’adresse : https://dv.parliament.bg/DVWeb/showMaterialDV.jsp?idMat=147391
MAGYARZLÖNY 98. Szám. A Kormány 179/2020. (V. 4.) Korm. rendeletea veszélyhelyzet idején az egyes adatvédelmi és adatigénylési rendelkezésektől való eltérésről. Accédé à l’adresse : https://magyarkozlony.hu/hivatalos-la-pok/8kGGfNvTeu9K9vNlCUoB5eab3bea8b653/dokumentumok/008772a9660e8ff51e7dd1f3d39ec056853ab26c/letoltes
• Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directi-ve 95/46/CE (règlement général sur la protection des données).

c) Documents officiels

• Ciucci M., Gouardères, F. (2020). « National COVID-19 contact tracing apps » Policy Department for Economic, Scientific and Quality of Life Policies. Accédé à l’adresse : https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/652711/IPOL_BRI(2020)652711_EN.pdf
• Commission européenne (2020), Coronavirus : Member States agree on an interop-erability solution for mobile tracing and warning apps. Accédé à l’adresse : https://ec.europa.eu/commission/presscorner/detail/en/ip_20_1043
• Commission européenne (2020), Interoperability guidelines for approved contact tracing mobile applications in the EU. Accédé à l’adresse : https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf
• Commission européenne (2020), Mobile applications to support contact tracing in the EU’s fight against COVID-19. Accédé à l’adresse : https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_202006progressreport_en.pdf
• Commission européenne (2020). Orientations sur les applications soutenant la lutte contre la pandémie de COVID-19 en ce qui concerne la protection des données (2020/C 124 I/01)
EDPB (2020), Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. Accédé à l’adresse : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf
EDPS (2020). « TechDispatch #1/2020 : Contact Tracing with Mobile Applications ». Accessible à l’adresse :https://edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-12020-contact-tracing-mobile_en
• Montgomery J. (2020), Key principles for an ethical and effective CV19 contact tracing app, Ethics Advisory Board (CV19 App). Accédé à l’adresse : http://qna.files.parliament.uk/qna-attachments/1195217/original/EAB_Letter_to_NHSx%20(1).pdf
• Parlement européen (2020), States of emergency in response to the coronavirus cri-sis : Situation in certain Member States. Accédé à l’adresse : https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/649408/EPRS_BRI(2020)649408_EN.pdf
• Parlement européen, (2020), The role of therapeutics, testing, and contact-tracing apps. Accédé à l’adresse : https://www.europarl.europa.eu/RegData/etudes/IDAN/2020/652016/EPRS_IDA(2020)652016_EN.pdf
• Pierucci A., Walter J-P. (2020). « Déclaration conjointe sur le suivi numérique des contacts ». Conseil de l’Europe. p.4. Accédé à l’adresse : https://rm.coe.int/covid19-joint-statement-2-28-april-2-fr/16809e3fd6

d) Articles de presse

AFP (2020). « StopCovid : l’application n’a envoyé que 72 notifications depuis son lancement », Francetvinfo. Accessible à l’adresse : https://www.francetvinfo.fr/sante/maladie/coronavirus/stopcovid-l-application-n-a-envoye-que-72-notifications-depuis-son-lancement_4079329.html
• O’Neill, P. H.(2020). No, coronavirus apps don’t need 60% adoption to be effec-tive. Accédé à l’adresse : https://www.technologyreview.com/2020/06/05/1002775/covid-apps-effective-at-less-than-60-percent-download/
• Patrick Howell, O. N., Mosley, T. R., & Johnson, B. (2020). « A flood of coronavi-rus apps are tracking us. Now it’s time to keep track of them », Technology Review. Accédé à l’adresse : https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/

e) Autres

• Arcep (2019) « Baromètre du numérique 2019 : Enquête sur la diffusion des tech-nologies de l’informationet de la communication dans la société française en 2019 ». Accessible à l’adresse : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-num-2019.pdf
• Cada (2018), Conseil 20183041 - Séance du 08/11/2018. Accédé à l’adresse : https://www.cada.fr/20183041
CNIL (2020), Application « StopCovid » : la CNIL tire les conséquences de ses contrôles. Accédé à l’adresse : https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles
• Folkehelseinstituttet (2020). Nombre de téléchargements. Accessible à l’adresse : https://www.fhi.no/historisk-arkiv/artikler/smittestopp/nokkeltall-fra-smittestopp
• Robert Koch Institute (2020). « Kennzahlen zur corona warn app ». Accessible à l’adresse : https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Kennzahlen.pdf?__blob=publicationFile
• Roca, V., Bielova, N., Boutet, A., Castelluccia, C., Cunche, M., Lauradoux, C., & Le Métayer, D. (2020). DESIRE : une Troisième Voie pour un Système Européen de Notification d’Exposition.
• Smitte stop (2020). Nombre de téléchargements. Accessible à l’adresse : https://smittestop.dk/spoergsmaal-og-svar/
• The Directorate of Health and The Department of Civil Protection and Emergency Management (2020). Nombre de téléchargements. Accessible à l’adresse : https://www.covid.is/app/en



1 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

2 EDBP (2020), Twenty-fourth Plenary session : EDPB doubles down on COVID-19 guidance in newly adopted letters. Accédé à l’adresse : https://edpb.europa.eu/news/news/2020/twenty-fourth-plenary-session-edpb-doubles-down-covid-19-guidance-newly-adopted_fr

3 Cf. 179/2020. (V. 4.) Korm. rendeletea veszélyhelyzet idején az egyes adatvédelmi és adatigénylési rendelkezésektől való eltérésről. Accédé à l’adresse : https://magyarkozlony.hu/hivatalos-lapok/8kGGfNvTeu9K9vNlCUoB5eab3bea8b653/dokumentumok/008772a9660e8ff51e7dd1f3d39ec056853ab26c/letoltes ; décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions ; loi sur les mesures et actions pendant l’état d’urgence (Bulgarie). Accédé à l’adresse : https://dv.parliament.bg/DVWeb/showMaterialDV.jsp?idMat=147391

4 Datu valsts inspekcija (2020), Par sensitīvo datu publiskošanu. Accédé à l’adresse https://www.dvi.gov.lv/lv/zinas/par-sensitivo-datu-publiskosanu/

5 Úřad pro ochranu osobních údajů (2020), Ke zpracování osobních údajů v rámci opatření proti šíření koronaviru, accédé à l’adresse https://www.uoou.cz/ke-zpracovani-osobnich-udaju-v-ramci-opatreni-proti-sireni-koronaviru/ds-6134/archiv=1&p1=2611

6 DZLP (2020), Mbrojtja e të dhënave personale dhe Koronavirusi. Accédé à l’adresse https://dzlp.mk/sq/content/mbrojtja-e-t%C3%AB-dh%C3%ABnave-personale-dhe-koronavirusi-0

7 Raskar, R., Nadeau, G., Werner, J., Barbar, R., Mehra, A., Harp, G., ... & Louisy, K. (2020). COVID-19 Contact-Tracing Mobile Apps : Evaluation and Assessment for Decision Makers. Covid SafePaths, p.12. Accédé à l’adresse : https://arxiv.org/ftp/arxiv/papers/2006/2006.05812.pdf

8 Kaptchuk, G., Hargittai, E., & Redmiles, E. M. (2020). How good is good enough for COVID19 apps ? The influence of benefits, accuracy, and privacy on willingness to adopt. arXiv preprint arXiv:2005.04343, p.2. Accédé à l’adresse : https://arxiv.org/abs/2005.04343

9 Hernandez, D., Toy, S., & Mckay, B. (2020). How exactly do you catch Covid-19 ? There is a growing consensus. The Wall Street Journal. Accédé à l’adresse : https://www.wsj.com/articles/how-exactly-do-you-catch-covid-19-there-is-a-growing-consensus-11592317650

10 Ibid.

11 Ng, P. C., Spachos, P., & Plataniotis, K. (2020). COVID-19 and Your Smartphone : BLE-based Smart Contact Tracing. arXiv preprint arXiv:2005.13754. p. 12.

12 Ciucci M., Gouardères, F. (2020). « National COVID-19 contact tracing apps » Policy Department for Economic, Scientific and Quality of Life Policies, p.2. Accédé à l’adresse : https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/652711/IPOL_BRI(2020)652711_EN.pdf

13 Roca, V., Bielova, N., Boutet, A., Castelluccia, C., Cunche, M., Lauradoux, C., & Le Métayer, D. (2020). DESIRE : une Troisième Voie pour un Système Européen de Notification d’Exposition.

14 Roca, V., Bielova, N., Boutet, A., Castelluccia, C., Cunche, M., Lauradoux, C., & Le Métayer, D. (2020). DESIRE : une Troisième Voie pour un Système Européen de Notification d’Exposition (Doctoral dissertation, Inria).
Vaudenay, S. (2020). Analysis of DP3T. IACR Cryptol. ePrint Arch., 2020, p.11.

15 Vaudenay, S. (2020). Analysis of DP3T. IACR Cryptol. ePrint Arch., 2020, p.11.

16 Governement of UK (2021). NHS COVID-19 app alerts 1.7 million contacts to stop spread of COVID-19. Department of Health and Social Care. Accédé à l’adresse : https://www.gov.uk/government/news/nhs-covid-19-app-alerts-17-million-contacts-to-stop-spread-of-covid-19

17 Hinch, R., Probert, W., Nurtay, A., Kendall, M., Wymant, C., Hall, M., & Fraser, C. (2020). Effective configurations of a digital contact tracing app : A report to NHSX. Accessible à l’adresse : https://github. com/BDI-pathogens/covid-19_instant_tracing/blob/master/Report.

18 -* Robert Koch Institute (2020), « Kennzahlen zur corona warn app ». Accessible à l’adresse : https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Kennzahlen.pdf?__blob=publicationFile

19 Arcep (2019) « Baromètre du numérique 2019 : Enquête sur la diffusion des technologies de l’informationet de la communication dans la société française en 2019 ». p.32. Accessible à l’adresse : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-num-2019.pdf

20 Cada (2018), Conseil 20183041 - Séance du 08/11/2018, https://www.cada.fr/20183041

21 Commission européenne (2018). Groupe de travaıl « Artıcle 29 » sur la protectıon des données. Lignes directrices sur la transparence au sens du règlement (UE) 2016/679. Commission européenne p.26. Accédé à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf

22 GPDP (2020). Valutazione d’impatto sulla protezione dei dati personali presentata dal Ministero della Salute relativa ai trattamenti effettuati nell’ambito del sistema di allerta Covid-19 denominato « Immuni », [9357972].

23 Cf. Pierucci A., Walter J-P. (2020). « Déclaration conjointe sur le suivi numérique des contacts ». Conseil de l’Europe. p.4. Accessible à l’adresse : https://rm.coe.int/covid19-joint-statement-2-28-april-2-fr/16809e3fd6 ; Commission européenne (2020). Orientations sur les applications soutenant la lutte contre la pandémie de COVID-19 en ce qui concerne la protection des données (2020/C 124 I/01) ; EDPS (2020). « TechDispatch #1/2020 : Contact Tracing with Mobile Applications ». Accessible à l’adresse :https://edps.europa.eu/data-protection/our-work/publications/techdispatch/techdispatch-12020-contact-tracing-mobile_en

24 Datatilsynet (2020), Midlertidig stans av appen Smittestopp, accédé à l’adresse https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/midlertidig-stans-av-appen-smittestopp/

26 Li, T., Faklaris, C., King, J., Agarwal, Y., Dabbish, L., & Hong, J. I.(2020). Decentralized is not risk-free : Understanding public perceptions of privacy-utility trade-offs in COVID-19 contact-tracing apps. arXiv preprint arXiv:2005.11957, p.20.

27 Dabbish, L., Stuart, C., Tsay, J., & Herbsleb, J. (2012). Social coding in GitHub : transparency and collaboration in an open software repository. In Proceedings of the ACM 2012 conference on computer supported cooperative work (pp. 1277-1286).