L’utilisation d’applications de suivi de contacts en
période de pandémie dans l’espace francophone Rapport
Présenté par
Mme Claudine LEPAGE (France)
Vice-présidente de la commission
Rapporteure
31 mai 2021
2
Lors de la réunion du 26 juin 2020, notre commission m’a chargée d’un
rapport relatif à « L’utilisation de la géolocalisation en temps de pandémie dans
l’espace francophone ».
Ce sujet avait alors semblé particulièrement pertinent et d’actualité en raison,
d’une part, de la création, dans plusieurs pays du monde, d’applications numériques
destinées à endiguer l’épidémie de coronavirus SARS-CoV-2, dénommé COVID-
19, et, d’autre part, des polémiques qu’elles ont suscitées.
En effet, créées pour enregistrer les contacts des individus ayant téléchargé
cette application dans leur smartphone, pour ensuite les informer d’une éventuelle
contamination d’une des personnes à proximité desquelles ils se sont trouvés, ces
applications ont vite éveillé des craintes notamment quant à la protection de la vie
privée et à la protection des données personnelles.
Au cours de mes auditions, je me suis aperçue que le titre du rapport retenu
par notre commission n’était pas conforme à la réalité. En effet, il est apparu que la
plupart des applications développées afin de lutter contre la COVID-19 n’étaient
pas fondées sur la géolocalisation.
J’ai alors proposé de modifier ce titre lors de la réunion du Bureau de notre
commission le 14 janvier dernier. Le Bureau a alors accepté de renommer ce
rapport « l’utilisation d’applications de suivi de contacts en période de pandémie
dans l’espace francophone ».
Lors de cette même réunion du Bureau de notre commission, j’avais rappelé
qu’un questionnaire avait été envoyé aux sections le 26 octobre, avec un rappel le 7
décembre. 6 réponses avaient été reçues.
Suite à la décision du Bureau de modifier le titre du rapport, et afin que les
sections soient informées de ce changement et puissent répondre au questionnaire
même si l’application développée dans leur pays ne fonctionnait pas grâce à la
3
géolocalisation, le Secrétariat de l’APF a procédé à un nouvel envoi dudit
questionnaire indiquant le changement de titre du rapport. Malheureusement, après
ce troisième envoi, le nombre de réponses n’a pas beaucoup évolué. Au moment où
je rédige ce rapport, dix sections (correspondant à 8 pays) ont répondu.
Une fois encore, je déplore ce très faible taux de réponse et de participation.
Les rapports, tels que nous les concevons, se nourrissent de la pratique des sections.
Sans cette « matière première », nos rapports ne sont pas d’une grande utilité. Les
sections dont les Etats n’ont pas développé de telles applications avaient
évidemment également vocation à répondre pour éclairer notre commission sur le
taux d’utilisation de telles applications, sur les raisons expliquant cette non
utilisation etc…
Andorre, la Nouvelle Calédonie et la Roumanie n’avaient pas, à la date à
laquelle les questionnaires ont été renvoyés, d’application de suivi de contacts et
cela pour des raisons différentes qu’il est intéressant de connaitre.
Andorre l’envisageait mais avait des craintes sur la confidentialité de
l’application.
La Nouvelle Calédonie a eu la chance de ne pas être trop touchée par
l’épidémie et a indiqué que les 40 personnes infectées étaient guéries.
Enfin, les autorités roumaines travaillaient à une application « Covtrack »
qui n’étaient pas encore déployée.
Ce nombre de réponses est évidemment très faible, trop faible1 pour
s’essayer à dresser des généralités. Une tendance peut toutefois être dégagée. Ce
que je m’efforcerai de faire en vous présentant les différentes alternatives retenues
ainsi que leur transformation possible.
1 7 sections correspondant à 5 pays ont donc répondu avoir mis en place une application de suivi des contacts
4
1. Des choix techniques divers
Quels qu’aient été les choix techniques effectués, les pays ayant déployé une
telle application ont tous décidé de la rendre facultative.
Andorre, si elle devait avoir recours à une telle application, envisage de la
rendre obligatoire, sans toutefois aucune conséquence en cas de refus.
Certains pays ont couplé le déploiement d’une telle application avec d’autres
mesures, comme l’utilisation de caméras thermiques comme au Cambodge et au
Liban ou encore de tunnels stérilisateurs (au Liban).
L’option du Bluetooth et de la centralisation des données plutôt
retenues
Avoir recours à une application numérique sur smartphone pour juguler une
épidémie nécessite d’opérer des choix techniques : opter, d’une part, pour un
système centralisé ou décentralisé et, d’autre part, pour ou contre la géolocalisation.
Un système centralisé implique de stocker les données sur un serveur
central. Avec un système décentralisé, chaque utilisateur conserve ses données
personnelles sur son téléphone. Les serveurs centraux ne traitent que des codes
générés de façon aléatoire. Ce système est considéré comme la meilleure option en
matière de confidentialité mais n’est évidemment pas parfaite à 100%2.
Le Bluetooth ne permet pas de savoir où l’on se trouve. Il permet de tracer
sans géolocaliser. Il ne détecte que les smartphones à proximité. Il est capable
d’une précision de moins de 2 mètres. Il a une portée de 10 mètres dans les
environnements intérieurs et fonctionne partout, notamment dans les espaces
fermés ou souterrains.
2 Elle semble apparemment vulnérable aux « trolls » et à l’usurpation d’identité
5
La géolocalisation permet de déterminer une position à 10 mètres près. La
précision diminue dans les environnements urbains avec de grands immeubles. La
précision devient assez mauvaise dans des environnements mobiles ou souterrains
comme une rame de métro. Sa précision verticale est limitée, ce qui signifie que la
plupart des personnes dans un seul immeuble seraient identifiées comme étant au
même endroit.
Tous les pays dotés d’une application de suivi des contacts et ayant répondu
au questionnaire, à l’exception du Cambodge, ont choisi la technologie Bluetooth
pour des raisons de confidentialité des données et de protection de la vie privée. Le
Bluetooth permet de déterminer « à proximité de qui » une personne se trouve sans
toutefois savoir précisément à quel endroit elle se situe. Les conditions de
fonctionnement du Bluetooth supposent de rester un minimum de temps à une
distance minimale d’une autre personne (distance et temps à paramétrer et au cours
duquel une contamination est considérée comme possible).
Parmi les réponses reçues, le traitement des données se fait majoritairement
de manière décentralisée pour des raisons de protection des données et de la vie
personnelle (sauf au Cambodge et au Liban). Seules les données strictement
nécessaires sont retenues. Les smartphones communiquent entre eux et avec un
serveur central de façon cryptée, en s’échangeant des codes, et les données ne sont
stockées que sur les smartphones et de façon temporaire.
Le but principal de ces applications est d’alerter en cas de contact avec une
personne infectée. Au Cambodge toutefois, où la géolocalisation est utilisée,
l’application sert également à surveiller le respect des mesures de confinement et de
quarantaine. On voit donc que le choix de la technologie dépend aussi, voire
surtout, du but recherché avec l’application. Certaines applications se sont
également diversifiées, enrichies afin d’être plus attractives. L’application
française, par exemple, contient de nombreuses informations relatives notamment à
l’évolution de l’épidémie, à la localisation de centres de dépistage et offre la
6
possibilité de générer les attestations de sortie en période de couvre-feu et de sortie
limitée.
L’intervention d’une autorité de protection des données personnelles
La mise en place de telles applications suscite nécessairement des
interrogations quant à la collecte et l’utilisation de données personnelles. Certes, les
choix techniques opérés peuvent limiter ces risques. Ils ne font toutefois pas tout. A
l’exception du Cambodge, les Etats dans lesquels une telle application a été
déployée ont tous connu cette préoccupation. Que ces craintes viennent de
parlementaires ou de la société civile, les Etats ont pris les mesures qu’ils
estimaient adaptées pour répondre à ces préoccupations.
Ainsi, le Canada, la France et la Suisse ont intégré dans l’architecture
d’utilisation de l’application de suivi de contacts une autorité compétente en
matière de protection des données.
La section canadienne a ainsi indiqué que « Le gouvernement canadien a
nommé un Conseil consultatif de l’application d’avis d’exposition à la COVID-19,
qui est chargé de veiller « à ce que l’application respecte les normes les plus
élevées en ce qui concerne les résultats en santé publique, la technologie et la
protection des renseignements personnels ». Le Conseil est composé de membres
spécialisés dans divers domaines, y compris dans le domaine de l’informatique, de
la santé, du droit et de la cybersécurité. Le Commissariat à la protection de la vie
privée du Canada a par ailleurs été consulté à plusieurs reprises dans le cadre de
l’élaboration et du déploiement de l’application ».
La section suisse a, quant à elle, précisé que « Des spécialistes en
informatique et divers groupes de personnes ont testé de manière approfondie la
fonctionnalité et la sécurité des données de l'application SwissCovid au cours de la
7
phase pilote. Le Centre national pour la cybersécurité (NCSC) a réceptionné les
résultats des tests et a entrepris les ajustements nécessaires à l'application. Il a
collaboré étroitement avec le Préposé fédéral à la protection des données et à la
transparence (PFPDT) ainsi qu'avec l'Office fédéral de la justice (OFJ).
Pour permettre le lancement de SwissCovid, il était nécessaire d’adapter la loi sur
les épidémies. Le Conseil fédéral a soumis un projet correspondant au Parlement.
Ce dernier réglemente l'organisation, l’exploitation, le traitement des données et
l'utilisation de l'application. Le Parlement a approuvé la modification de la loi le
19 juin 2020. »
En France, la Commission nationale Informatique et Libertés (CNIL) a été
saisie, en amont, des projets de textes instituant l’application StopCovid (devenue
Tous Anti Covid) et régissant les différentes bases de données (de santé
essentiellement) utilisées pour gérer l’épidémie. Elle a également opéré et opère des
contrôles pendant la phase de fonctionnement de l’application afin de vérifier la
collecte et le traitement des données. Elle interviendra également en fin de
pandémie afin de s’assurer que les données ne sont pas conservées.
La France s’est également dotée d’un « Comité de contrôle et de liaison
COVID-19 (CCL-COVID) » chargé d’associer la société civile et le Parlement aux
opérations de lutte contre la propagation de l’épidémie. Il doit, notamment, d’une
part, évaluer l’apport réel des outils numériques et déterminer s’ils sont, ou pas, de
nature à faire une différence significative dans le traitement de l’épidémie et,
d’autre part, vérifier le respect des garanties entourant le secret médical et la
protection des données personnelles.
8
Le « succès » de telles applications
Aux dates auxquelles les questionnaires ont été renvoyés, le taux de
téléchargement de telles applications n’était pas très élevé.
Les scientifiques estiment que pour être efficace, de telles applications
devraient être téléchargées par au moins 60% de la population. Ce qui n’était le cas
dans aucun des pays ayant répondu au questionnaire, à la date de la réponse.
Les taux de téléchargement indiqués3 étaient ainsi d’environ 15% au
Canada, 29% en Suisse, moins de 4% au Cambodge, et 4% en France en fin d’été
2020 et un peu plus de 20% en mai 2021.
Il n’est pas possible de connaitre le rôle réel de telles applications dans la
lutte contre la pandémie. En effet, télécharger l’application ne signifie pas
l’activer et recevoir une notification de cas contact n’implique pas forcément de se
faire tester et de s’isoler.
Toutefois, seule l’application française publie le nombre de personnes qui
ont reçu, via l’application, une notification suite à une exposition à la COVID-194.
Pour le Professeur Emmanuel Rusch, Président du Comité de contrôle et de
liaison COVID-19 (CCL-COVID), l’application française « Tous Anti Covid »,
grâce aux informations qu’elle contient en matière d’information, d’éducation, de
sensibilisation, contribue à une forme de sensibilisation et peut être à une forme
d’implication des personnes qui l’ont téléchargé. Les informations consultables
dans l’application peuvent les amener à davantage d’attention. Le Comité de
contrôle et de liaison a toutefois rappelé que de telles applications ne peuvent en
aucun cas constituer un « geste barrière ».
3 Le taux de téléchargement devrait, dans l’absolu, être mis en perspective avec le pourcentage de la population
équipée d’un smartphone 4 178 804 personnes ont ainsi été averties au 25 avril 2021
9
2. La transformation possible, la « 2ème vie » de ces applications
Les applications sont toutes censées disparaitre à la fin de la pandémie. Une
seconde vie est toutefois envisagée pour certaines d’entre elles, comme pour
l’application française. En effet, les autorités françaises vont coupler l’application
de suivi de contacts « Tous Anti Covid » à un « passe sanitaire ».
En effet, l’application s’est dotée d’un « carnet de tests » dans lequel il est
possible de télécharger les certificats de vaccination et les résultats de test PCR soit
directement à partir des QR codes contenus sur les résultats de tests ou l’attestation
de vaccination, soit en les téléchargeant sur un site médical sécurisé. Il n’y a donc
rien d’automatique et il s’agit d’une simple faculté.
Ces documents, sous forme de QR codes, ne pourront être lus dans
l’application que par des personnes habilitées et pour des occasions précises : dans
les aéroports, pour l’accès à certains évènements5…. Les informations contenues
dans ces QR codes sont les mêmes que celles contenues sur les versions papier des
documents qu’ils concernent.
Ce « passe sanitaire » français a vocation à être reconnu dans toute l’Europe
puisqu’il répond aux recommandations émises par la Commission européenne.
Et dès le 1er juillet, un « passe sanitaire européen » devrait entrer en vigueur
et faciliter les déplacements au sein de l’Union européenne. Les voyageurs
prouveront rapidement, grâce à un QR code, qu’ils peuvent voyager (en raison du
résultat négatif à un test ou de leur vaccination). La preuve papier demeurera
évidemment tout aussi valable.
5 La CNIL s’est prononcée, le 12 mai 2021, sur le projet du Gouvernement relatif à la mise en place d’un passe
sanitaire conditionnant l’accès à certains lieux publics recevant de grands rassemblements de personnes.
10
*
* *
Le faible taux de réponse au questionnaire a malheureusement empêché de
mener une étude poussée et comparée de l’utilisation, ou non, d’applications de
suivi de contacts en période de pandémie dans l’espace francophone. Une tendance
a néanmoins pu être dégagée à la lecture des quelques réponses reçues. Il est
rassurant de voir que l’impératif de protection des données personnelles a été pris
au sérieux et qu’une conciliation qui semble appropriée a pu être faite entre santé
publique et respect de la vie privée.
11
Annexe n°1
Questionnaire envoyé aux sections les 26 octobre et 7 décembre 2020 et le 22
janvier 2021
Suite à la crise sanitaire causée par le coronavirus apparu fin 2019, qui
deviendra ensuite « COVID19 », une épidémie inédite a frappé le monde. Les Etats
se sont mobilisés afin de protéger leur population. Des « états d’urgence sanitaire »
ont été décidés, limitant les libertés des individus afin de contenir la propagation du
virus et se traduisant souvent par un « confinement », des tests ont dû être
développés, un traitement et un vaccin sont recherchés.
D’autres outils, en sus des gestes barrière, ont été imaginés pour endiguer la
contamination une fois les déconfinements amorcés. Ainsi, de nombreux Etats ont
envisagé ou déployé une application destinée à prévenir les contacts d’une
personne contaminée par ce virus afin qu’elle puisse se faire tester et prendre les
mesures requises par son éventuelle contamination (« quarantaine » ou isolement
social).
Ces applications, à installer sur smartphone, ont suscité de nombreuses
questions et critiques, notamment au regard du respect de la vie privée et de la
protection des données personnelles. La Commission des Affaires parlementaires a
souhaité s’intéresser au recours à de telles applications dans l’espace francophone.
Le présent questionnaire vise à déterminer les pays qui ont imaginé voire
déployé une application de géolocalisation, connaitre les obstacles rencontrés,
étudier les systèmes retenus, analyser la pertinence de l’outil au regard de l’objectif
de sécurité sanitaire et de santé publique et déterminer les garanties apportées en
matière notamment de respect de la vie privée et de la protection des données
personnelles.
12
I. Questions relatives à l’application
1. Votre pays a-t-il envisagé de déployer une application de géolocalisation pour
contenir la pandémie de COVID19 ?
□Si oui, l’a-t-il déployée ?
□Si non, pour quelles raisons ?
2. Cette application a-t-elle suscité le débat, la contestation dans votre pays ?
Si oui, pourquoi ?
3. Quelle est la finalité de cette application ?
□Surveiller le respect des mesures de confinement ?
□Surveiller le respect des mesures de quarantaine ?
□Alerter en cas de contact avec une personne infectée ?
□Inciter au dépistage ?
□Autre : …..
4. L’utilisation de cette application est-elle facultative ?
□Oui
□Non
5. Le non-téléchargement de cette application a-t-il des conséquences ? Si oui,
lesquelles ?
6. A quelle date son téléchargement a-t-il été possible ?
13
7. A quelles(s) date(s) votre pays a –t-il été confiné puis déconfiné ?
8. Par quel pourcentage de la population a-t-elle été téléchargée ?
9. Quel est le mode de fonctionnement utilisé par cette application?
□Bluetooth
□Géolocalisation
10. Pour quelle(s) raison(s) ce mode de fonctionnement a-t-il été retenu ?
11. Quel est le système de traitement des données retenu ?
□Système centralisé ?
□Système décentralisé ?
12. Le choix de ce système a-t-il été contesté ?
13. Quel pourcentage de la population de votre pays dispose d’un smartphone ?
Avez-vous le détail par tranche d’age ?
14. Par qui cette application a –t-elle été lancée ? créée ?
II. Questions relatives aux données
15. Une autorité de protection des données a-t-elle été saisie préalablement au
déploiement de l’application et aux bases de données liées ?
14
Si oui, quel a été son rôle ? (a rendu un avis ? avis consultatif ou conforme?
Quel était-il ? etc…)
16. Quelles garanties relatives à la vie privée et aux données personnelles entourent
l’utilisation de cette application et des bases de données liées?
17. Une analyse régulière de l’utilisation de cette application et des bases de
données liées est-elle prévue ?
Si oui, par qui ? Les résultats sont-ils publics ?
18. Un bilan de l’utilisation de cette application est-il prévu ?
Si oui, quand ?
A-t-il déjà été effectué ? Si oui, quel est ce bilan ?
19. Combien de personnes ont été avisées de ce qu’elles avaient été en contact avec
une personne contaminée par la COVID19 ?
20. Quel est le coût, pour l’Etat, de cette application ?
21. Une durée « de vie » de cette application est-elle prévue ?
22. Quelles sont les données collectées ?
23. Comment et par qui le sont-elles ?
24. Qui les traite ? En d’autres termes, qui y a accès ? Où sont-elles stockées ?
15
25. Dans quel but ?
26. A quelles conditions et avec qui ces données peuvent-elles être partagées ?
27. L’utilisateur de l’application est-il informé de ses droits et de ses possibilités
d’action sur ses données personnelles ?
28. Quel est et sera le sort des données ?
29. Votre pays a-t-il mis en place d’autres moyens technologiques pour lutter
contre la pandémie ?
Si oui, lesquels ? (caméras thermiques dans les lieux publics, drones
diffusant des messages aux personnes ne respectant pas le confinement, collecte
d’informations sur les réseaux sociaux, reconnaissance faciale…)
Quel en est le but ? Faire respecter les préconisations sanitaires ? Faire du
suivi de contact (contact tracing)?
30. Comment qualifieriez vous l’intérêt de cette application face à la crise de la
Covid19 ? A-t-elle, selon vous, contribué à limiter la propagation du virus ?
16
Annexe n°2
Liste des personnes auditionnées
Le Secrétariat d’Etat chargé du Numérique français :
M. Antoine DARODES, Directeur du Cabinet du Secrétaire d’Etat chargé du
Numérique
Mme Aude COSTA DE BEAUREGARD, Conseillère transformation numérique
de l’Etat et Régulation
La Commission nationale Informatique et libertés (CNIL) française :
M. Mathias MOULIN, Directeur de la protection des droits et des sanctions,
M. Bertrand PAILHÈS, Directeur des technologies et de l'innovation,
Mme Tiphaine HAVEL, Conseillère pour les questions institutionnelles et
parlementaires
M. le Professeur Emmanuel RUSCH : Professeur de médecine, Président
de la Conférence nationale de santé, Président du Comité de contrôle et de liaison
Covid-19
L’Association francophone des Autorités de protection des données
personnelles (AFAPDP) :
Mme Marine REVEL, chargée de mission
Top Related