L’utilisation d’applications de suivi de contacts en

période de pandémie dans l’espace francophone Rapport

Présenté par

Mme Claudine LEPAGE (France)

Vice-présidente de la commission

Rapporteure

31 mai 2021

2

Lors de la réunion du 26 juin 2020, notre commission m’a chargée d’un

rapport relatif à « L’utilisation de la géolocalisation en temps de pandémie dans

l’espace francophone ».

Ce sujet avait alors semblé particulièrement pertinent et d’actualité en raison,

d’une part, de la création, dans plusieurs pays du monde, d’applications numériques

destinées à endiguer l’épidémie de coronavirus SARS-CoV-2, dénommé COVID-

19, et, d’autre part, des polémiques qu’elles ont suscitées.

En effet, créées pour enregistrer les contacts des individus ayant téléchargé

cette application dans leur smartphone, pour ensuite les informer d’une éventuelle

contamination d’une des personnes à proximité desquelles ils se sont trouvés, ces

applications ont vite éveillé des craintes notamment quant à la protection de la vie

privée et à la protection des données personnelles.

Au cours de mes auditions, je me suis aperçue que le titre du rapport retenu

par notre commission n’était pas conforme à la réalité. En effet, il est apparu que la

plupart des applications développées afin de lutter contre la COVID-19 n’étaient

pas fondées sur la géolocalisation.

J’ai alors proposé de modifier ce titre lors de la réunion du Bureau de notre

commission le 14 janvier dernier. Le Bureau a alors accepté de renommer ce

rapport « l’utilisation d’applications de suivi de contacts en période de pandémie

dans l’espace francophone ».

Lors de cette même réunion du Bureau de notre commission, j’avais rappelé

qu’un questionnaire avait été envoyé aux sections le 26 octobre, avec un rappel le 7

décembre. 6 réponses avaient été reçues.

Suite à la décision du Bureau de modifier le titre du rapport, et afin que les

sections soient informées de ce changement et puissent répondre au questionnaire

même si l’application développée dans leur pays ne fonctionnait pas grâce à la

3

géolocalisation, le Secrétariat de l’APF a procédé à un nouvel envoi dudit

questionnaire indiquant le changement de titre du rapport. Malheureusement, après

ce troisième envoi, le nombre de réponses n’a pas beaucoup évolué. Au moment où

je rédige ce rapport, dix sections (correspondant à 8 pays) ont répondu.

Une fois encore, je déplore ce très faible taux de réponse et de participation.

Les rapports, tels que nous les concevons, se nourrissent de la pratique des sections.

Sans cette « matière première », nos rapports ne sont pas d’une grande utilité. Les

sections dont les Etats n’ont pas développé de telles applications avaient

évidemment également vocation à répondre pour éclairer notre commission sur le

taux d’utilisation de telles applications, sur les raisons expliquant cette non

utilisation etc…

Andorre, la Nouvelle Calédonie et la Roumanie n’avaient pas, à la date à

laquelle les questionnaires ont été renvoyés, d’application de suivi de contacts et

cela pour des raisons différentes qu’il est intéressant de connaitre.

Andorre l’envisageait mais avait des craintes sur la confidentialité de

l’application.

La Nouvelle Calédonie a eu la chance de ne pas être trop touchée par

l’épidémie et a indiqué que les 40 personnes infectées étaient guéries.

Enfin, les autorités roumaines travaillaient à une application « Covtrack »

qui n’étaient pas encore déployée.

Ce nombre de réponses est évidemment très faible, trop faible1 pour

s’essayer à dresser des généralités. Une tendance peut toutefois être dégagée. Ce

que je m’efforcerai de faire en vous présentant les différentes alternatives retenues

ainsi que leur transformation possible.

1 7 sections correspondant à 5 pays ont donc répondu avoir mis en place une application de suivi des contacts

4

1. Des choix techniques divers

Quels qu’aient été les choix techniques effectués, les pays ayant déployé une

telle application ont tous décidé de la rendre facultative.

Andorre, si elle devait avoir recours à une telle application, envisage de la

rendre obligatoire, sans toutefois aucune conséquence en cas de refus.

Certains pays ont couplé le déploiement d’une telle application avec d’autres

mesures, comme l’utilisation de caméras thermiques comme au Cambodge et au

Liban ou encore de tunnels stérilisateurs (au Liban).

L’option du Bluetooth et de la centralisation des données plutôt

retenues

Avoir recours à une application numérique sur smartphone pour juguler une

épidémie nécessite d’opérer des choix techniques : opter, d’une part, pour un

système centralisé ou décentralisé et, d’autre part, pour ou contre la géolocalisation.

Un système centralisé implique de stocker les données sur un serveur

central. Avec un système décentralisé, chaque utilisateur conserve ses données

personnelles sur son téléphone. Les serveurs centraux ne traitent que des codes

générés de façon aléatoire. Ce système est considéré comme la meilleure option en

matière de confidentialité mais n’est évidemment pas parfaite à 100%2.

Le Bluetooth ne permet pas de savoir où l’on se trouve. Il permet de tracer

sans géolocaliser. Il ne détecte que les smartphones à proximité. Il est capable

d’une précision de moins de 2 mètres. Il a une portée de 10 mètres dans les

environnements intérieurs et fonctionne partout, notamment dans les espaces

fermés ou souterrains.

2 Elle semble apparemment vulnérable aux « trolls » et à l’usurpation d’identité

5

La géolocalisation permet de déterminer une position à 10 mètres près. La

précision diminue dans les environnements urbains avec de grands immeubles. La

précision devient assez mauvaise dans des environnements mobiles ou souterrains

comme une rame de métro. Sa précision verticale est limitée, ce qui signifie que la

plupart des personnes dans un seul immeuble seraient identifiées comme étant au

même endroit.

Tous les pays dotés d’une application de suivi des contacts et ayant répondu

au questionnaire, à l’exception du Cambodge, ont choisi la technologie Bluetooth

pour des raisons de confidentialité des données et de protection de la vie privée. Le

Bluetooth permet de déterminer « à proximité de qui » une personne se trouve sans

toutefois savoir précisément à quel endroit elle se situe. Les conditions de

fonctionnement du Bluetooth supposent de rester un minimum de temps à une

distance minimale d’une autre personne (distance et temps à paramétrer et au cours

duquel une contamination est considérée comme possible).

Parmi les réponses reçues, le traitement des données se fait majoritairement

de manière décentralisée pour des raisons de protection des données et de la vie

personnelle (sauf au Cambodge et au Liban). Seules les données strictement

nécessaires sont retenues. Les smartphones communiquent entre eux et avec un

serveur central de façon cryptée, en s’échangeant des codes, et les données ne sont

stockées que sur les smartphones et de façon temporaire.

Le but principal de ces applications est d’alerter en cas de contact avec une

personne infectée. Au Cambodge toutefois, où la géolocalisation est utilisée,

l’application sert également à surveiller le respect des mesures de confinement et de

quarantaine. On voit donc que le choix de la technologie dépend aussi, voire

surtout, du but recherché avec l’application. Certaines applications se sont

également diversifiées, enrichies afin d’être plus attractives. L’application

française, par exemple, contient de nombreuses informations relatives notamment à

l’évolution de l’épidémie, à la localisation de centres de dépistage et offre la

6

possibilité de générer les attestations de sortie en période de couvre-feu et de sortie

limitée.

L’intervention d’une autorité de protection des données personnelles

La mise en place de telles applications suscite nécessairement des

interrogations quant à la collecte et l’utilisation de données personnelles. Certes, les

choix techniques opérés peuvent limiter ces risques. Ils ne font toutefois pas tout. A

l’exception du Cambodge, les Etats dans lesquels une telle application a été

déployée ont tous connu cette préoccupation. Que ces craintes viennent de

parlementaires ou de la société civile, les Etats ont pris les mesures qu’ils

estimaient adaptées pour répondre à ces préoccupations.

Ainsi, le Canada, la France et la Suisse ont intégré dans l’architecture

d’utilisation de l’application de suivi de contacts une autorité compétente en

matière de protection des données.

La section canadienne a ainsi indiqué que « Le gouvernement canadien a

nommé un Conseil consultatif de l’application d’avis d’exposition à la COVID-19,

qui est chargé de veiller « à ce que l’application respecte les normes les plus

élevées en ce qui concerne les résultats en santé publique, la technologie et la

protection des renseignements personnels ». Le Conseil est composé de membres

spécialisés dans divers domaines, y compris dans le domaine de l’informatique, de

la santé, du droit et de la cybersécurité. Le Commissariat à la protection de la vie

privée du Canada a par ailleurs été consulté à plusieurs reprises dans le cadre de

l’élaboration et du déploiement de l’application ».

La section suisse a, quant à elle, précisé que « Des spécialistes en

informatique et divers groupes de personnes ont testé de manière approfondie la

fonctionnalité et la sécurité des données de l'application SwissCovid au cours de la

7

phase pilote. Le Centre national pour la cybersécurité (NCSC) a réceptionné les

résultats des tests et a entrepris les ajustements nécessaires à l'application. Il a

collaboré étroitement avec le Préposé fédéral à la protection des données et à la

transparence (PFPDT) ainsi qu'avec l'Office fédéral de la justice (OFJ).

Pour permettre le lancement de SwissCovid, il était nécessaire d’adapter la loi sur

les épidémies. Le Conseil fédéral a soumis un projet correspondant au Parlement.

Ce dernier réglemente l'organisation, l’exploitation, le traitement des données et

l'utilisation de l'application. Le Parlement a approuvé la modification de la loi le

19 juin 2020. »

En France, la Commission nationale Informatique et Libertés (CNIL) a été

saisie, en amont, des projets de textes instituant l’application StopCovid (devenue

Tous Anti Covid) et régissant les différentes bases de données (de santé

essentiellement) utilisées pour gérer l’épidémie. Elle a également opéré et opère des

contrôles pendant la phase de fonctionnement de l’application afin de vérifier la

collecte et le traitement des données. Elle interviendra également en fin de

pandémie afin de s’assurer que les données ne sont pas conservées.

La France s’est également dotée d’un « Comité de contrôle et de liaison

COVID-19 (CCL-COVID) » chargé d’associer la société civile et le Parlement aux

opérations de lutte contre la propagation de l’épidémie. Il doit, notamment, d’une

part, évaluer l’apport réel des outils numériques et déterminer s’ils sont, ou pas, de

nature à faire une différence significative dans le traitement de l’épidémie et,

d’autre part, vérifier le respect des garanties entourant le secret médical et la

protection des données personnelles.

8

Le « succès » de telles applications

Aux dates auxquelles les questionnaires ont été renvoyés, le taux de

téléchargement de telles applications n’était pas très élevé.

Les scientifiques estiment que pour être efficace, de telles applications

devraient être téléchargées par au moins 60% de la population. Ce qui n’était le cas

dans aucun des pays ayant répondu au questionnaire, à la date de la réponse.

Les taux de téléchargement indiqués3 étaient ainsi d’environ 15% au

Canada, 29% en Suisse, moins de 4% au Cambodge, et 4% en France en fin d’été

2020 et un peu plus de 20% en mai 2021.

Il n’est pas possible de connaitre le rôle réel de telles applications dans la

lutte contre la pandémie. En effet, télécharger l’application ne signifie pas

l’activer et recevoir une notification de cas contact n’implique pas forcément de se

faire tester et de s’isoler.

Toutefois, seule l’application française publie le nombre de personnes qui

ont reçu, via l’application, une notification suite à une exposition à la COVID-194.

Pour le Professeur Emmanuel Rusch, Président du Comité de contrôle et de

liaison COVID-19 (CCL-COVID), l’application française « Tous Anti Covid »,

grâce aux informations qu’elle contient en matière d’information, d’éducation, de

sensibilisation, contribue à une forme de sensibilisation et peut être à une forme

d’implication des personnes qui l’ont téléchargé. Les informations consultables

dans l’application peuvent les amener à davantage d’attention. Le Comité de

contrôle et de liaison a toutefois rappelé que de telles applications ne peuvent en

aucun cas constituer un « geste barrière ».

3 Le taux de téléchargement devrait, dans l’absolu, être mis en perspective avec le pourcentage de la population

équipée d’un smartphone 4 178 804 personnes ont ainsi été averties au 25 avril 2021

9

2. La transformation possible, la « 2ème vie » de ces applications

Les applications sont toutes censées disparaitre à la fin de la pandémie. Une

seconde vie est toutefois envisagée pour certaines d’entre elles, comme pour

l’application française. En effet, les autorités françaises vont coupler l’application

de suivi de contacts « Tous Anti Covid » à un « passe sanitaire ».

En effet, l’application s’est dotée d’un « carnet de tests » dans lequel il est

possible de télécharger les certificats de vaccination et les résultats de test PCR soit

directement à partir des QR codes contenus sur les résultats de tests ou l’attestation

de vaccination, soit en les téléchargeant sur un site médical sécurisé. Il n’y a donc

rien d’automatique et il s’agit d’une simple faculté.

Ces documents, sous forme de QR codes, ne pourront être lus dans

l’application que par des personnes habilitées et pour des occasions précises : dans

les aéroports, pour l’accès à certains évènements5…. Les informations contenues

dans ces QR codes sont les mêmes que celles contenues sur les versions papier des

documents qu’ils concernent.

Ce « passe sanitaire » français a vocation à être reconnu dans toute l’Europe

puisqu’il répond aux recommandations émises par la Commission européenne.

Et dès le 1er juillet, un « passe sanitaire européen » devrait entrer en vigueur

et faciliter les déplacements au sein de l’Union européenne. Les voyageurs

prouveront rapidement, grâce à un QR code, qu’ils peuvent voyager (en raison du

résultat négatif à un test ou de leur vaccination). La preuve papier demeurera

évidemment tout aussi valable.

5 La CNIL s’est prononcée, le 12 mai 2021, sur le projet du Gouvernement relatif à la mise en place d’un passe

sanitaire conditionnant l’accès à certains lieux publics recevant de grands rassemblements de personnes.

10

*

* *

Le faible taux de réponse au questionnaire a malheureusement empêché de

mener une étude poussée et comparée de l’utilisation, ou non, d’applications de

suivi de contacts en période de pandémie dans l’espace francophone. Une tendance

a néanmoins pu être dégagée à la lecture des quelques réponses reçues. Il est

rassurant de voir que l’impératif de protection des données personnelles a été pris

au sérieux et qu’une conciliation qui semble appropriée a pu être faite entre santé

publique et respect de la vie privée.

11

Annexe n°1

Questionnaire envoyé aux sections les 26 octobre et 7 décembre 2020 et le 22

janvier 2021

Suite à la crise sanitaire causée par le coronavirus apparu fin 2019, qui

deviendra ensuite « COVID19 », une épidémie inédite a frappé le monde. Les Etats

se sont mobilisés afin de protéger leur population. Des « états d’urgence sanitaire »

ont été décidés, limitant les libertés des individus afin de contenir la propagation du

virus et se traduisant souvent par un « confinement », des tests ont dû être

développés, un traitement et un vaccin sont recherchés.

D’autres outils, en sus des gestes barrière, ont été imaginés pour endiguer la

contamination une fois les déconfinements amorcés. Ainsi, de nombreux Etats ont

envisagé ou déployé une application destinée à prévenir les contacts d’une

personne contaminée par ce virus afin qu’elle puisse se faire tester et prendre les

mesures requises par son éventuelle contamination (« quarantaine » ou isolement

social).

Ces applications, à installer sur smartphone, ont suscité de nombreuses

questions et critiques, notamment au regard du respect de la vie privée et de la

protection des données personnelles. La Commission des Affaires parlementaires a

souhaité s’intéresser au recours à de telles applications dans l’espace francophone.

Le présent questionnaire vise à déterminer les pays qui ont imaginé voire

déployé une application de géolocalisation, connaitre les obstacles rencontrés,

étudier les systèmes retenus, analyser la pertinence de l’outil au regard de l’objectif

de sécurité sanitaire et de santé publique et déterminer les garanties apportées en

matière notamment de respect de la vie privée et de la protection des données

personnelles.

12

I. Questions relatives à l’application

1. Votre pays a-t-il envisagé de déployer une application de géolocalisation pour

contenir la pandémie de COVID19 ?

□Si oui, l’a-t-il déployée ?

□Si non, pour quelles raisons ?

2. Cette application a-t-elle suscité le débat, la contestation dans votre pays ?

Si oui, pourquoi ?

3. Quelle est la finalité de cette application ?

□Surveiller le respect des mesures de confinement ?

□Surveiller le respect des mesures de quarantaine ?

□Alerter en cas de contact avec une personne infectée ?

□Inciter au dépistage ?

□Autre : …..

4. L’utilisation de cette application est-elle facultative ?

□Oui

□Non

5. Le non-téléchargement de cette application a-t-il des conséquences ? Si oui,

lesquelles ?

6. A quelle date son téléchargement a-t-il été possible ?

13

7. A quelles(s) date(s) votre pays a –t-il été confiné puis déconfiné ?

8. Par quel pourcentage de la population a-t-elle été téléchargée ?

9. Quel est le mode de fonctionnement utilisé par cette application?

□Bluetooth

□Géolocalisation

10. Pour quelle(s) raison(s) ce mode de fonctionnement a-t-il été retenu ?

11. Quel est le système de traitement des données retenu ?

□Système centralisé ?

□Système décentralisé ?

12. Le choix de ce système a-t-il été contesté ?

13. Quel pourcentage de la population de votre pays dispose d’un smartphone ?

Avez-vous le détail par tranche d’age ?

14. Par qui cette application a –t-elle été lancée ? créée ?

II. Questions relatives aux données

15. Une autorité de protection des données a-t-elle été saisie préalablement au

déploiement de l’application et aux bases de données liées ?

14

Si oui, quel a été son rôle ? (a rendu un avis ? avis consultatif ou conforme?

Quel était-il ? etc…)

16. Quelles garanties relatives à la vie privée et aux données personnelles entourent

l’utilisation de cette application et des bases de données liées?

17. Une analyse régulière de l’utilisation de cette application et des bases de

données liées est-elle prévue ?

Si oui, par qui ? Les résultats sont-ils publics ?

18. Un bilan de l’utilisation de cette application est-il prévu ?

Si oui, quand ?

A-t-il déjà été effectué ? Si oui, quel est ce bilan ?

19. Combien de personnes ont été avisées de ce qu’elles avaient été en contact avec

une personne contaminée par la COVID19 ?

20. Quel est le coût, pour l’Etat, de cette application ?

21. Une durée « de vie » de cette application est-elle prévue ?

22. Quelles sont les données collectées ?

23. Comment et par qui le sont-elles ?

24. Qui les traite ? En d’autres termes, qui y a accès ? Où sont-elles stockées ?

15

25. Dans quel but ?

26. A quelles conditions et avec qui ces données peuvent-elles être partagées ?

27. L’utilisateur de l’application est-il informé de ses droits et de ses possibilités

d’action sur ses données personnelles ?

28. Quel est et sera le sort des données ?

29. Votre pays a-t-il mis en place d’autres moyens technologiques pour lutter

contre la pandémie ?

Si oui, lesquels ? (caméras thermiques dans les lieux publics, drones

diffusant des messages aux personnes ne respectant pas le confinement, collecte

d’informations sur les réseaux sociaux, reconnaissance faciale…)

Quel en est le but ? Faire respecter les préconisations sanitaires ? Faire du

suivi de contact (contact tracing)?

30. Comment qualifieriez vous l’intérêt de cette application face à la crise de la

Covid19 ? A-t-elle, selon vous, contribué à limiter la propagation du virus ?

16

Annexe n°2

Liste des personnes auditionnées

Le Secrétariat d’Etat chargé du Numérique français :

M. Antoine DARODES, Directeur du Cabinet du Secrétaire d’Etat chargé du

Numérique

Mme Aude COSTA DE BEAUREGARD, Conseillère transformation numérique

de l’Etat et Régulation

La Commission nationale Informatique et libertés (CNIL) française :

M. Mathias MOULIN, Directeur de la protection des droits et des sanctions,

M. Bertrand PAILHÈS, Directeur des technologies et de l'innovation,

Mme Tiphaine HAVEL, Conseillère pour les questions institutionnelles et

parlementaires

M. le Professeur Emmanuel RUSCH : Professeur de médecine, Président

de la Conférence nationale de santé, Président du Comité de contrôle et de liaison

Covid-19

L’Association francophone des Autorités de protection des données

personnelles (AFAPDP) :

Mme Marine REVEL, chargée de mission