Depuis avril 2020, des pays européens ont adopté les applications de traçage numérique en ordre dispersé, comme un moyen de lutte contre la pandémie. La plupart de ces  pays  ont  opté  pour  l’API  (Application Programming Interface)  développé  par  les géants de la technologie américaine, Apple et  Google1. Ce protocole s’appuie sur un système décentralisé,  les notifications de cas contacts étant opérées directement par l’application auprès des usagers de smartphones, ayant activé l’application, et qui ont été en contact avec la personne contaminée. Ce mode de collecte de données a été préconisé par l’Union européenne dans un communiqué de presse le 16  juin 20202,  afin  de faciliter l’interopérabilité entre  les  applications  de  traçage.  Dans l’UE, seule la   Hongrie et la France ont déployé une application basée sur un système centralisé de notifications. À l’heure actuelle,  ces  applications  ont  été  inefficaces, le nombre de notifications de cas contacts étant très faible par rapport au nombre total de  contaminations3.

L’API Apple-Google : une solution globalisée

L’utilisation de l’API Apple-Google a l’avantage de combiner un socle technologique commun fonctionnant sur la quasi-totalité des smartphones  utilisés dans le monde4. Ce protocole permet l’utilisation en filigrane de la  technologie Bluetooth pour enregistrer les cas contacts, sans que l’application de traçage soit ouverte en permanence. Cela représente un avantage d’utilisation significatif par rapport à celles ne fonctionnant pas sur ce protocole et nécessitant  d’avoir  l’application ouverte en permanence. Un autre avantage du système décentralisé consiste à ne pas avoir à télécharger l’application d’un autre  pays utilisant  le  même  système. Les premiers pays à avoir testé cette interopérabilité  sont  l’Allemagne,  l’Italie  et l’Irlande. Ainsi, il n’est pas nécessaire de télécharger l’application locale lors d’un voyage vers un de ces pays si l’on a déjà une autre application de ce type. Il est noté qu’un réseau e-Santé a été constitué dans le cadre de l’article 14 de la Directive 2011/24/EU, réunissant sur la base du  volontariat les  autorités nationales chargées de la santé en ligne désignées par les États membres. Ce réseau a émis des  lignes directrices pour l’interopérabilité des applications de traçage numérique  à  l’attention  de  la  Commission européenne et des États membres, en se référant à l’API Apple-Google5.

TousAntiCovid : une technologie «  souveraine  » mais esseulée

Par contraste, la France a fait le choix délibéré  d’une  application  bâtie sur  une technologie souveraine, impliquant l’INRIA6 et  l’ANSSI7, ainsi que des entreprises françaises telles que Capgemini, Orange et Dassault Systèmes. L’application française utilise le protocole Robert (Robust and Privacy-Preserving Proximity Tracing) développé par une équipe de chercheurs français et allemands, qui met en œuvre  une approche  centralisée  des  collectes de données. Le choix français d’une technologie souveraine est louable, mais se trompe d’échelle. La lutte contre une pandémie nécessite  des réponses globales et  non  à l’échelle  d’un  seul  pays.  Dans ces conditions, l’application française se trouve  isolée,  sans  interopérabilité  avec les applications des autres pays, ce qui lui a valu les critiques de la Commission européenne.

Les enjeux des technologies souveraines

L’implication  des  géants  non-européens de la technologie dans les domaines aussi sensibles que la santé pose des questions, notamment en matière de protection des données personnelles. 

Dans son arrêt du 16 juillet 2020, dit «  Schrems  II  »8, la Cour de justice de l’Union européenne a invalidé le Privacy Shield, l’accord conclu en 2016 par  la  Commission  Européenne  et  les États-Unis pour le transfert des données hors UE, qui avait lui-même succédé au Safeharbor Agreement, invalidé par la même cour en 2015 et pour des raisons similaires. Dans l’arrêt de juillet 2020, la Cour a jugé que la législation américaine permettant une collecte en vrac des  données personnelles par les  services  de  renseignement,  sans  possibilité effective de recours par les personnes concernées devant  les juridictions nationales, étaient contraires au RGPD9. Or, la loi américaine, dite Cloud Act10, impose à tous  les fournisseurs  de services de communication électronique ou de services informatiques à distance de préserver,  de  sauvegarder,  et  de  divulguer aux autorités le contenu de toute communication  électronique  et  toute information concernant un client ou abonné. Et peu importe où ces informations sont localisées, aux États-Unis ou en dehors du sol américain, dès lors que ces  entreprises  possèdent  ou  contrôlent ces informations.

Dans ce cadre, le recours du «  Health   Data Hub  », plateforme de données de santé créée fin novembre 2019 afin de faciliter le partage de ces données de santé11, à Microsoft Azure pour l’hébergement des données et l’utilisation de logiciels  nécessaires  à  leur  traitement, a provoqué la saisine du Conseil d’État. Lequel, saisi en référé12, a jugé dans son ordonnance du 13 octobre 2020 que dans le cadre du contrat avec Microsoft Azure, aucune donnée personnelle ne pouvait être transférée en  dehors  de  l’UE.  Le Conseil  a  émis  certaines  craintes quant au potentiel accès à ces données par les services de renseignements américains. À la suite de cette ordonnance, le   ministère s’est  engagé  à  recourir  à  une  solution  technique permettant  de  ne  pas exposer  les données hébergées  par  le  Health Data  Hub à  d’éventuelles  demandes  d’accès  illégales au regard du RGPD dans un délai compris entre 12 et 18 mois et, en tout état de cause, ne dépassant pas deux  ans13.

En conclusion

Même si les applications basées sur le protocole Apple-Google pour les   applications de  traçage  numérique  ne  peuvent  pas  ipso facto  être soumises au Cloud Act américain, il est permis de se poser la question de l’immixtion des entreprises américaines dans le domaine de la santé, et de craindre que, sur la base du constat de leur inefficacité  actuelle, les    applications de traçage futures ne soient plus invasives en termes de traitement des données personnelles, et contrôlées par des géants de la technologie non européens. Dès lors, le développement de technologies européennes souveraines dans des domaines aussi sensibles que la santé, mais également l’agriculture  et  les  télécommunications, devrait être encouragé, tel le projet franco- allemand GAIA-X14   pour un cloud européen et souverain, ou la plateforme API-AGRO pour l’échange de données agricoles. 

SUR L’AUTEUR. Constantin  a  fondé  Pavléas  Avocats  en  2001, cabinet  d’avocats  spécialisé  dans  le  droit  des  NTIC.  Il  assiste  ses clients dans  la  négociation  de  contrats  complexes  dans  le  domaine des  technologies  et  les  conseille  en  matière  de  protection des données  personnelles.  Il  intervient  régulièrement  en  qualité  de conseil  PI  dans  le  cadre  d’opérations  de  fusions  et acquisitions. Constantin  dirige  la  Majeure  Droit  du  Numérique  et  Propriété Intellectuelle  du  Mastère  Droit  et  Pratique des  Affaires  de  l’école  de  droit  HEAD.

Notes

1 https://www.lemonde.fr/pixels/article/2020/04/10/coronavirusapple-et-google-proposent-un-outil-commun-pour-lesapplications-de-tracage-des-malades_6036278_4408996.html

2 https://ec.europa.eu/health/sites/health/files/ehealth/docs/ mobileapps_interoperabilityspecs_en.pdf

3 Au 15 février 2021, selon les données affichées par l’application TousAntiCovid, il n’y a eu que 78 630 notifications de cas contacts depuis le 2 juin 2020, pour 13 035 074 personnes ayant activé l’application, soit 20  % de la population française, et 3 465 163 cas détectés de Covid-19 depuis le début de la pandémie (selon les données de la direction générale de la santé).

4 Smartphones  utilisant les systèmes d’exploitation Android   de Google, et iOs pour les iPhones d’Apple.

5 https://ec.europa.eu/health/sites/health/files/ehealth/docs/ mobileapps_interoperabilityspecs_en.pdf.

6  Institut  national de recherche en sciences et technologies du numérique.

7  Agence  Nationale de la Sécurité des Systèmes d’Information.

8 https://eur-lex.europa.eu/legal-content/FR/ TXT/?uri=CELEX:62018CJ0311.

9 Règlement  (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

10 Clarifying  Lawful Overseas Use of Data Act ou Cloud Act, entré  en vigueur le 23 mars 2018, sur l’accès aux données de communication, notamment opérées dans le Cloud.

11 https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-healthdata-hub

12 https://www.conseil-etat.fr/actualites/actualites/health-data-hubet-protection-de-donnees-personnelles-des-precautions-doiventetre-prises-dans-l-attente-d-une-solution-perenne

13  https://elections.cnil.fr/en/node/120008

14 https://www.lemonde.fr/economie/article/2020/11/20/cloudeuropeen-l-alliance-gaia-x-prend-son-envol_6060503_3234.html

 

Lire l’article complet sur : www.magazine-decideurs.com