Des applications d’avertissement et d'alerte concernant la COVID-19 pour protéger des vies et des emplois

Les applications de traçage des contacts et d'alerte peuvent contribuer à rompre la chaîne de transmission des infections par le coronavirus, à l’échelle nationale et par-delà les frontières, et à sauver des vies en venant compléter le traçage manuel des contacts. La plupart des États membres ont lancé une application nationale de traçage des contacts et d’alerte, qui peut être utilisée sur une base volontaire.

Mais le virus ne s’arrête pas aux frontières. C'est pourquoi les États membres, en collaboration avec la Commission, ont également mis en place de nouveaux services permettant aux applications nationales de communiquer entre elles par-delà les frontières au sein de l'Europe. Ainsi, les utilisateurs ne devront installer qu'une seule application, qui leur permettra d’être avertis s’ils ont été en contact avec une personne ayant indiqué avoir été testée positive à la COVID-19. Les applications de traçage des contacts et d’alerte, dont l'usage n'est pas obligatoire, fonctionnent avec la technologie Bluetooth (échange de données à très courte distance). Elles respectent la vie privée des utilisateurs et ne permettent pas de géolocaliser des personnes.

Applications mobiles de traçage des contacts dans l’UE

colour coded map

Pour l'instant, ce service fonctionne selon un système «décentralisé», dans lequel les calculs sont effectués dans l'application de l'utilisateur/trice. Ce système a été adopté par la majorité des États membres. Des solutions sont en cours d’analyse pour inclure des systèmes «centralisés» (dans lesquels les calculs sont effectués sur un serveur sécurisé mis en place par l’autorité nationale de santé). Ce système «décentralisé», associé à des services de passerelle, permet d’utiliser ces applications par-delà les frontières.

Les données à caractère personnel des citoyens sont pleinement protégées. Les informations ne seront stockées sur la passerelle que pendant une période maximale de 14 jours. Les informations sont échangées sous forme cryptée et dans un format pseudonymisé, et sont limitées à l’essentiel.

La passerelle est mise en place par T-Systems et SAP et le serveur lui-même est hébergé dans le propre centre de données de la Commission à Luxembourg. Ce système est opérationnel, et les premières applications nationales y sont connectées depuis octobre 2020.

Trois applications nationales (celles de l’Allemagne, de l’Irlande et de l’Italie) ont été connectées pour la première fois le 19 octobre, lorsque le système a été mis en ligne. Au total, 20 applications sont basées sur des systèmes décentralisés et peuvent devenir interopérables lors des prochaines étapes.

Les États membres sont coresponsables de la passerelle européenne d'interconnexion (European Federation Gateway Service): les États membres participants définissent ensemble la finalité et les moyens du traitement des données à caractère personnel par l'intermédiaire de la passerelle d'interconnexion.

Tous les États membres devraient créer des applications efficaces et compatibles et renforcer leurs efforts de communication pour en promouvoir l’utilisation.

Comment les données à caractère personnel des utilisateurs sont-elles protégées?

La Commission européenne a publié une boîte à outils de l’UE sur les applications de traçage des contacts et d’alerte, ainsi que des orientations sur la protection des données, qui définissent une série de principes directeurs pour ces applications:

  • les applications de traçage des contacts et d’alerte ne devraient être installées et utilisées que sur une base volontaire;
  • le principe de minimisation des données: seules les données strictement nécessaires au fonctionnement du service sont collectées, rien de plus;
  • les applications devraient utiliser des données de proximité fondées sur la technologie Bluetooth;
  • aucune donnée de localisation n’est demandée ni utilisée par l’application de traçage;
  • les applications de traçage des contacts et d’alerte ne permettent pas de suivre les déplacements des personnes;
  • les données ne devraient pas être conservées plus longtemps que nécessaire (14 jours);
  • les données devraient être protégées au moyen de techniques de pointe, notamment le cryptage;
  • les applications devraient être désactivées dès que la pandémie aura pris fin.

Les données relatives à la santé sont considérées comme des données sensibles au sens du règlement général sur la protection des données (RGPD, article 9). Leur traitement doit donc être soumis à des conditions strictes. Les données statistiques agrégées sur l’utilisation d’applications de traçage des contacts qui ne permettent pas d’identifier les personnes physiques concernées ne sont pas considérées comme des données à caractère personnel, et le RGPD ne s’applique donc pas.

Questions et réponses

TéléchargerPDF - 241.9 Ko

Contexte

Le 8 avril, la Commission a adopté une recommandation visant à soutenir la levée progressive des mesures de confinement liées au coronavirus au moyen de données et d’applications mobiles. Cette recommandation énonce des principes clés pour l’utilisation des applications mobiles en matière de mesures de distanciation sociale, d’alerte, de prévention et de traçage des contacts. Toute utilisation d’applications et de données devrait respecter la sécurité des données et les droits fondamentaux de l'UE, tels que la protection de la vie privée et des données.

Le 16 avril, les États membres participant au réseau «Santé en ligne», soutenu par la Commission, ont adopté une boîte à outils à l'échelle de l'UE concernant les applications de traçage des contacts utilisées dans la lutte contre la COVID-19. Ils jettent ainsi les bases d’une approche paneuropéenne commune en matière d’applications de traçage des contacts et d’alerte. Le réseau «Santé en ligne» a adopté des lignes directrices en matière d’interopérabilité le 13 mai. Celles-ci détaillent les besoins en matière d’interopérabilité à différents stades du flux de traçage des contacts.

S’appuyant sur le travail déjà mené, le réseau «Santé en ligne» a adopté en juin des spécifications techniques et des lignes directrices, qui définissent l’architecture d’une passerelle européenne d'interconnexion (European Federation Gateway Service), permettant l’échange de clés de traçage des contacts entre les États membres. Grâce à ce système, les citoyens voyageant dans les pays ayant rejoint la passerelle d'interconnexion ne devront installer qu’une seule application. Les modalités de traitement des données à caractère personnel dans la passerelle d'interconnexion ont été adoptées en juillet, dans le cadre de la modification de la décision d’exécution relative au réseau «Santé en ligne». Le développement et le déploiement de la passerelle d'interconnexion ont été achevés à la fin du mois de septembre. Les États membres vont pouvoir commencer à se connecter au système.