Alors que nous fêtons les 2 ans du RGPD aujourd’hui, une promesse d’application a le vent en poupe en ces périodes sanitaires troublées de Covid-19 : StopCovid. Pilotée par l’INRIA, développée par de grandes ESN comme Cap Gemini, des questions seront bientôt soulevées au cœur de vos organisations, comme :

  • Dans les zones des entreprises fortement fréquentées, quelle sera la politique pour assurer la sécurité des salariés et du public accueilli, et la traçabilité des cas contact ?
  • Pour nos salariés disposant de terminaux numériques, devons-nous imposer, laisser faire ou refuser l’application StopCovid ?
  • Et s’il s’agit de terminaux mobiles professionnels qui sont utilisés, ne s’agit-il pas d’un nouveau traitement de données de santé ?
  • Que faire avec le secret professionnel dans ce cas ?

N’entrons pas dans le débat données de santé = données hautement personnelles, impliquant l’impossibilité pour un employeur ou pour un organisme accueillant du public d’imposer la communication potentielle à des tiers de données de santé permettant une traçabilité des contacts. Pour cette question de la traçabilité des contacts, concentrez-vous sur les dispositifs de sûreté de vos locaux, qui doivent servir à cela : vous avez peut-être un registre des visiteurs ou cahier de rappel, et cela doit s’arrêter là. Pour plus de détails, nous vous renvoyons sur les questions de ce que doit être un consentement (libre, éclairé, univoque, explicite, RGPD art.7).

Par contre la question se posera pour des salariés disposant de terminaux mobiles :

Doit-on imposer l’installation de l’application StopCovid au titre de l’obligation de protéger la santé des salariés ?

La réponse est claire : non… et ce pour plusieurs raisons, qui sont les mêmes que pour la politique relative aux lieux hautement fréquentés : l’utilisation de StopCovid se veut basée sur le consentement. Et qui dit consentement dit absence de pression ou de contre-partie (sinon il s’agit de harcèlement ou d’un contrat par exemple).

Protéger la santé des salariés (articles L. 4121-1 et R. 4422-1 du code du travail) est un impératif, mais si les obligations sont grandes et nombreuses, cela n’autorise pas l’employeur à rentrer dans la sphère privée de la santé des salariés. C’est alors la compétence de la médecine du travail tout au plus, et sur la base du consentement là aussi.

Ainsi, vos obligations portent sur les règles et moyens de la distanciation physique des personnes concernées dans les établissements et les activités sous votre responsabilité, pas sur l’utilisation d’une application mobile non circonscrite à l’espace-temps du travail, touchant à des données de santé personnelles, etc. Cela rejoint le cas d’école de la prise de température des salariés/visiteurs et l’inscription du résultat dans un registre (papier ou numérique) : c’est interdit.

Peut-on laisser faire des salariés qui souhaiteraient installer l’application StopCovid ?

Oui, il est possible de les laisser faire, y compris sur les terminaux professionnels. Cependant, cela va poser de nombreuses questions de sécurité, d’encadrement juridique (est-ce un nouveau traitement de données de santé, quelle est sa base de licéité ?), de maintenance et autres sur votre système d’information, qu’il faudra résoudre avant de dire « oui ».

En premier lieu, les professions soumises au secret, comme les avocats, les professions de santé, les journalistes mais également tous les métiers de la sécurité de l’information, d’audit de conformité, etc. Dans le cas d’une profession soumise au secret (professionnel, médical ou autre), tracer les contacts revient à dévoiler une partie du secret, le violant par là même. Ainsi pour ces professions, activer StopCovid au moment où l’on est soumis au secret n’est pas possible (attention c’est également le cas pour les applications mobiles de type Facebook en temps normal).

A-t-on le droit de refuser l’application StopCovid sur la flotte de terminaux numériques de l’organisation ?

Il s’agit d’un nouveau traitement de données de santé, interdit par défaut

Installer une telle application sur un terminal professionnel pourrait, en fonction des organisations et de ses manières de réguler leur fonctionnement, constituer un nouveau traitement de données à caractère personnel pouvant être qualifiées au titre du RGPD art.9 comme des données de santé. Pour rappeler le texte et l’esprit du texte, aucun traitement de donnée de santé n’est permis, sauf certaines exceptions.

En somme, nous conseillons d’éviter de rentrer dans un tel engrenage de complexité, pour un intérêt très probablement difficile à démontrer… et allant à l’encontre des recommandations de la CNIL en matière de gestion de l’épidémie de Covid-19 en entreprise.

Cas d’une whitelist des applications autorisées

Si votre Politique de Sécurité des Systèmes d’Information (PSSI) indique une liste d’applications autorisées, il faudrait l’élargir à StopCovid sur des bases éclairées et objectives (appréciation des risques, etc.). En attendant StopCovid reste interdite.

Ne pas oublier, avant toute intégration à la Whitelist que l’usage de Stop Covid implique l’activation du Bluetooth, disposition allant à l’encontre du principe de Security by Design-Default. Pour plus de détails, voir plus loin.

Cas d’une exigence d’auditabilité des logiciels

Si votre PSSI exige le contrôle des flux réseau ou l’auditabilité des applications installées, StopCovid est exclu d’office : son code source n’est pas publié entièrement (contrairement à ce qui avait été annoncé par le Gouvernement Français, « La publication du code est considérée comme une condition nécessaire pour établir que l’application ne peut être détournée à des fins de surveillance de la population et d’ingérence dans sa vie privée. » selon Europe 1, et contrairement aux promesses initiales du consortium), la partie serveur reste totalement opaque. De plus, impossible de reconstruire l’application à 100% sans disposer de la totalité du code source, donc il est impossible de savoir si le code audité est celui présent dans l’application.

De fait le code source est non auditable, ouvrant de possibles brèches de sécurité dans le SI des Organisations, ce qui est motif légitime (selon les critères de chaque PSSI) d’interdiction de l’application sur les terminaux mobiles.

Cas de la minimisation des services actifs

Utiliser l’application StopCovid implique de laisser son service Bluetooth actif et « découvrable » sans interruption. Pour autant, ce service est-il considérable comme « essentiel » aux opérations de l’Organisation ? A priori non.

Hors il est de connaissance commune qu’un service sans utilité opérationnelle actif augment la surface de contact au risque sans intérêt, et ce alors qu’il est aussi de notoriété commune que le Bluetooth constitue un service à la sécurité fragile, dont la désactivation systématique (et en particulier du mode « découverte » nécessaire à StopCovid) est recommandée par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

Conclusion

Si obliger l’usage de l’application StopCovid au sein d’une organisation n’est pas légal, l’interdire est pour sa part totalement possible, voire à envisager.

Reste le sujet de l’utilité réelle d’une telle application. Les retours d’expériences de Singapour, d’Australie et d’ailleurs permettent là aussi de raccourcir le débat : la protection de la santé du public et des salariés passe avant tout par la mise en place de dispositions sanitaires physique de bon sens : il s’agit bien d’un virus biologique, et il serait dommage qu’il crée des avatars informatiques.

Et pour ceux que les questions de droit sur les logiciels intéressent, nous trouvons dans StopCovid de belles pépites.

EDIT du 26/05/2020: La CNIL a rendu un avis positif concernant la légalité de StopCovid tout en indiquant certaines recommandations dont la modification du décret afin d’officialiser le libre accès à l’intégralité du code source de l’application mobile et du serveur (point 71 de sa délibération), comme mesure pour la sécurité du système.

EDIT du 30/10/2020: « Stop Covid » a été renommé « Tous Anti Covid », ce qui ne change absolument rien au fond du sujet.