Publics concernés : toute personne dotée d'un téléphone mobile et qui souhaite télécharger l'application StopCovid.
Objet : création d'une application mobile de suivi de contacts dénommée « StopCovid » dans le cadre de la lutte contre l'épidémie de covid-19.
Entrée en vigueur : le texte entre en vigueur au lendemain de sa publication.
Notice : le décret crée un traitement de données à caractère personnel, nécessaire au fonctionnement de l'application mobile de suivi de contacts dénommée « StopCovid », qui permet à ses utilisateurs d'être informés lorsqu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19, grâce à la conservation de l'historique de proximité des pseudonymes émis via la technologie Bluetooth. Le téléchargement et l'utilisation de l'application sont libres et gratuits. Le décret détermine les finalités du traitement de données à caractère personnel mis en œuvre, ainsi que les catégories de données enregistrées, les destinataires de ces données, leur durée de conservation et les modalités d'exercice, par les personnes concernées, des droits qui leur sont reconnus par le règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
Références : le décret peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport du ministre des solidarités et de la santé ;
Vu la directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2020-290 du 23 mars 2020 d'urgence pour faire face à l'épidémie de covid-19, notamment son article 4 ;
Vu la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions ;
Vu le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions, notamment son article 9 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 25 mai 2020 ;
Le Conseil d'Etat (section sociale) entendu,
Décrète :
Article 1
I. - Il est créé un traitement de données dénommé « StopCovid », dont le responsable est le ministre chargé de la santé (direction générale de la santé).
Ce traitement de données à caractère personnel, qui repose sur une application mobile et un serveur central, est mis en œuvre dans le cadre d'une mission d'intérêt public conformément au e du paragraphe 1 de l'article 6 du règlement (UE) du 27 avril 2016 susvisé, et pour les motifs d'intérêt public mentionnés au i du paragraphe 2 de l'article 9 de ce même règlement.
II. - Ce traitement a pour finalités :
1° D'informer les personnes utilisatrices de l'application qu'il existe un risque qu'elles aient été contaminées par le virus du covid-19 en raison du fait qu'elles se sont trouvées à proximité d'un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie. Les personnes exposées à ce risque sont désignées ci-après comme « contacts à risque de contamination » ;
2° De sensibiliser les personnes utilisatrices de l'application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation ;
3° De recommander aux contacts à risque de contamination de s'orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ;
4° D'adapter, le cas échéant, la définition des paramètres de l'application permettant d'identifier les contacts à risque de contamination grâce à l'utilisation de données statistiques anonymes au niveau national.
III. - L'application StopCovid est installée librement et gratuitement par les utilisateurs. Ceux-ci ont la faculté d'activer ou non la fonctionnalité de l'application permettant de constituer l'historique de proximité mentionné au 5° du I de l'article 2. En cas de diagnostic clinique positif au virus du covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l'application sont libres de notifier ou non ce résultat dans l'application et de transmettre au serveur l'historique de proximité mentionné au 6° du I de l'article 2. L'application peut être désinstallée à tout moment.
IV. - Le code source mis en œuvre dans le cadre de StopCovid est rendu public et est accessible à partir des sites internet du ministre des solidarités et de la santé et du ministre de l'économie et des finances ainsi que du site internet www.stopcovid.gouv.fr.
Article 2
I. - Pour la mise en œuvre du traitement mentionné à l'article 1er, sont traitées les données suivantes :
1° Une clé d'authentification partagée entre l'application et le serveur central, générée par ce serveur lors du téléchargement de l'application, qui sert à authentifier les messages de l'application ;
2° Un identifiant unique associé à chaque application téléchargée par un utilisateur, qui est généré de façon aléatoire par le serveur central et n'est connu que de ce serveur, où il est stocké ;
3° Les codes pays, générés par le serveur central ;
4° Des pseudonymes aléatoires et temporaires, qui sont transmis chaque jour par le serveur central à l'application lorsqu'elle se connecte à ce dernier ;
5° L'historique de proximité d'un utilisateur, constitué des pseudonymes aléatoires et temporaires émis via la technologie « Bluetooth » par les applications installées sur des téléphones mobiles d'autres utilisateurs qui se trouvent, pendant une durée déterminée, à une distance de son téléphone mobile telle qu'il existe un risque suffisamment significatif qu'un utilisateur qui serait positif au virus du covid-19 contamine l'autre.
Les pseudonymes aléatoires et temporaires sont collectés et enregistrés par l'application sur le téléphone mobile de l'utilisateur.
Un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l'un de l'autre ;
6° L'historique de proximité des contacts à risque de contamination par le virus du covid-19, correspondant aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l'historique de proximité.
Ces données sont transmises par les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent au serveur central. Elles sont alors stockées sur ce serveur et sont notifiées aux applications des personnes identifiées comme contacts à risque de contamination à l'occasion de leur connexion quotidienne au serveur.
Ces personnes identifiées comme contacts à risque de contamination reçoivent alors, par l'intermédiaire de l'application, la seule information selon laquelle elles ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours ;
7° Les périodes d'exposition des utilisateurs à des personnes diagnostiquées ou dépistées positives au virus du covid-19, stockées sur le serveur central. Ces données sont collectées et enregistrées par l'application sur le téléphone mobile de l'utilisateur et stockées sur le serveur central en cas de partage par l'utilisateur de l'historique de proximité des contacts à risque de contamination par le virus du covid-19 ;
8° Les données renseignées dans l'application par les personnes diagnostiquées ou dépistées positives au virus du covid-19 qui décident d'envoyer au serveur l'historique de proximité de leurs contacts à risque :
a) La date de début des symptômes si l'utilisateur est en mesure de donner cette information ;
b) Le code aléatoire à usage unique donné par un médecin traitant à son patient suite à un diagnostic clinique positif au virus du covid-19 ou un code aléatoire à usage unique sous forme de QR-code émis par le traitement mentionné à l'article 8 du décret n° 2020-551 du 12 mai 2020 susvisé en cas d'examen de dépistage positif au virus du covid-19, en application de l'article 9 de ce même décret, afin que l'utilisateur de l'application soit autorisé par le serveur à partager son historique de proximité ;
9° Le statut « contacts à risque de contamination » de l'identifiant de l'application, qui est retenu dès lors qu'un utilisateur de l'application a été, conformément aux critères définis par l'arrêté mentionné au 5°, à proximité d'un autre utilisateur, ultérieurement dépisté ou diagnostiqué positif au virus du covid-19. Cette donnée est stockée par le serveur central, lorsqu'elle lui a été communiquée par l'utilisateur qui accepte de lui transmettre son historique de proximité des contacts à risque de contamination par le virus du covid-19 ;
10° La date des dernières interrogations du serveur central.
II. - Les données permettant l'identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement.
III. - Les sous-traitants auxquels le responsable du traitement peut recourir dans les conditions prévues à l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont accédants ou destinataires des données du traitement strictement nécessaires à l'exercice de leurs missions.
Article 3
Le traitement est mis en œuvre pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire déclaré par l'article 4 de la loi n° 2020-290 du 23 mars 2020 susvisée.
La clé d'authentification partagée et l'identifiant aléatoire permanent sont conservés jusqu'à ce que l'utilisateur désinstalle l'application StopCovid, et au plus tard pour la durée mentionnée au premier alinéa.
Les données de l'historique de proximité enregistrées par l'application sur le téléphone mobile sont conservées quinze jours à compter de leur enregistrement par cette application.
Lorsqu'elles ont été partagées sur le serveur central, les données de l'historique de proximité des contacts à risque de contamination sont conservées sur ce serveur quinze jours à compter de leur enregistrement par l'application du téléphone mobile de la personne dépistée ou diagnostiquée positive au virus du covid-19.
Les données mentionnées au 8° du I de l'article 2 ne sont pas conservées. Elles ne sont traitées qu'une seule fois afin que l'utilisateur de l'application soit autorisé par le serveur à partager son historique de proximité.
Les actions réalisées par les administrateurs dans le traitement font l'objet d'un enregistrement, qui est conservé pendant une durée maximale de six mois à compter de la fin de l'état d'urgence sanitaire. Cet enregistrement comporte l'identification de l'administrateur, les données de traçabilité, notamment la date, l'heure et la nature de l'intervention dans le traitement.
Article 4
En application de l'article 11 et du i du paragraphe 1 de l'article 23 du règlement (UE) du 27 avril 2016 susvisé, les droits d'accès, de rectification ainsi que le droit à la limitation prévus aux articles 15, 16 et 18 de ce même règlement ne peuvent s'exercer auprès du responsable de traitement.
Les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits, conformément aux dispositions des articles 13 et 14 du règlement (UE) du 27 avril 2016 susvisé, au moment de l'installation de l'application StopCovid. Elles sont en outre prévenues qu'en cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu'elles auront été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours et informées de la possibilité limitée d'identification indirecte, susceptible d'en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période.
Des mentions d'informations sont également publiées sur le site internet www.stopcovid.gouv.fr.
Article 5
Le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l'application, et au plus tard le 30 janvier 2021.
Article 6
L'article 9 du décret du 12 mai 2020 susvisé est complété par un alinéa ainsi rédigé :
« Un QR-code ne comportant aucune information permettant d'identifier la personne concernée est généré aléatoirement puis apposé sur le résultat d'un examen de dépistage au virus du covi -19 et envoyé à la personne ayant effectué le test de dépistage, en cas de résultat positif. »
Article 7
Le ministre des solidarités et de la santé, le ministre de l'économie et des finances ainsi que le secrétaire d'Etat chargé du numérique sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 29 mai 2020.
Edouard Philippe
Par le Premier ministre :
Le ministre des solidarités et de la santé,
Olivier Véran
Le ministre de l'économie et des finances,
Bruno Le Maire
Le secrétaire d'Etat auprès du ministre de l'économie et des finances, chargé du numérique,
Cédric O