Dans la lutte contre le Covid-19, les pouvoirs publics du monde entier s’empressent d’adopter des mesures visant à contenir la propagation et l’évolution de la pandémie. Ces mesures peuvent être d’ordre législatif, sanitaire ou encore d’ordre technologique. Parmi les moyens technologiques déployés par certains gouvernements, l’on peut citer celui inhérent à la géolocalisation des citoyens par le biais d’applications mobiles développées dans le but de suivre la progression de l’épidémie par le traçage des déplacements - procédé qui nécessitera le traitement des données relatives à la localisation.

Le traitement des données relatives à la localisation s’avère être extrêmement révélateur étant donné que la surveillance des déplacements des personnes via des applications mobiles permettra d’identifier le lieu d’habitation, le lieu de travail, les itinéraires empruntés quotidiennement, les habitudes comportementales ainsi que les différentes interactions sociales des titulaires de données. La mise en place d’un système de géolocalisation requerra une extrême vigilance de la part des pouvoirs publics qui, sans l’installation de garde-fous nécessaires, aboutira à une surveillance de masse démesurée de la population.

La loi 09-08 ne détermine pas la nature des données relatives à la localisation - selon que celles-ci relèvent du régime des données sensibles ou pas. L’article 4 du RGPD, pour sa part, fait mention des données de localisation dans son article 4.1 qui définit la notion de données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable … qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom ... des données de localisation … ». Sous le cadre du RGPD, les données de localisation ne relèveraient pas de la nature des catégories particulières de données - dites données sensibles sous la loi 09-08. Aussi, la loi 09-08 ne fait pas mention à travers la définition fournie par son article premier à la notion de données sensibles aux données relatives à la localisation - ces dernières ne relèveraient donc pas du régime de la protection renforcée instauré par la loi 09-08 en faveur des données sensibles.

Le traitement des données de localisation se ferait, dès lors, dans le cadre de l’article 4 de la loi 09-08. Les pouvoirs publics pourront, de ce fait, invoquer comme motif l’exécution d’une mission d’intérêt public pour justifier le traitement de ce type de données, traitement qui n’exigera pas - théoriquement - l’obtention du consentement du titulaire de données.

Bien que les données de localisation ne relèvent pas du régime des données sensibles et ne bénéficient, donc, pas d’une protection renforcée, le RGPD établit une procédure visant à étudier les incidences inhérentes au traitement des données impliquant un risque élevé pour les droits et libertés des personnes physiques - que ces données revêtent ou pas un caractère particulier. À cet effet, l’article 35.1 du RGPD commande aux responsables de traitement de réaliser une analyse d’impact (DPIA) qui a pour but d’évaluer la nécessité du traitement, les risques pour les droits et libertés des personnes physiques et de mettre en place les mesures appropriées pour faire face à ces risques, notamment lorsque le traitement implique^[1] :

1. Le recours à de nouvelles technologies ;

2. Une surveillance systématique à grande échelle des personnes physiques ;

3. Un volume considérable de données à caractère personnel au niveau régional national ou supranational qui peuvent affecter un nombre important de personnes concernées^[2]

La loi 09-08 ne prévoit pas la conduite d’une analyse d’impact ce qui augmenterait significativement le risque lié au traitement des données de localisation - via des applications mobiles - dont la portée s’étend sur l’intégralité du Royaume.

En effet, les risques liés au traitement des données de localisation à grande échelle ne sont pas minimes. À titre d’illustration et afin d’enrayer la pandémie, le gouvernement sud-coréen a procédé au traçage des données de localisation des cas confirmés d’infection au Covid-19 et a posté en ligne - en accès ouvert - des données de localisation de ces cas, ce qui permit a un bon nombre d’internautes malveillants d’identifier l’identité des personnes infectées au Covid-19 et de conduire une vague de cyberharcèlement à leur encontre^[3]. En ce sens, le Comité Européen de la Protection des Données - dans sa déclaration du 19 mars 2020^[4] - préconise le traitement des données de localisation de manière anonyme de façon à rendre impossible l’identification des utilisateurs de l’application de géolocalisation - notamment lorsque le traitement est effectué par les pouvoirs publics dans la lutte contre la propagation du Covid-19. Toutefois, une étude menée par le MIT (Massachusetts Institute of Technology) et l’Université Catholique de Louvain en Belgique en 2013 a démontré la possibilité d’identifier, à l’aide de quatre points de données de localisation, l’identité d’utilisateurs de smartphones, alors même que les données collectées aient été anonymisées^[5].

À cet effet, la CNDP avait exprimé, à travers un communiqué de presse du 16 avril^[6], sa position sur le sujet en mettant en relief « les risques de déploiement d’un État de surveillance dans le cas où les usages permis par cette application n’étaient pas respectueux des droits humains et encadrés juridiquement ». L’autorité marocaine pour la protection des données personnelles avait également recommandé que « l’usage de ce type d’application soit déployé sur la base d’une confiance volontariste et non sur la base d’une obligation difficile à mettre en œuvre ».

La CNDP préconisait, de ce fait, de laisser l’utilisation de ladite application à la discrétion des citoyens, à l’instar du gouvernement français qui a également déployé une application aux mêmes fins sur la base d’une confiance volontariste, mais aussi de recourir au « contact tracing » qui repose sur l’usage de la technologie Bluetooth et qui ne nécessite pas le traitement des données de localisation des utilisateurs. Cette autorité avait aussi émis toute une liste de recommandations adressées aux pouvoirs publics et destinées à assurer la confiance numérique dans le procédé de traitement et d’utilisation données à caractère personnel.

Dans le souci de développer une application informatique respectueuse de la vie privée et tenant compte des recommandations de la CNDP, les pouvoirs publics marocains ont, dans l’effort de poursuivre le combat contre la propagation du virus, déployé une application mobile de « contact tracing » - dénommée Wiqaytna - dont l’installation se fait sur la base du volontariat et dont l’usage repose sur la technologie Bluetooth en enregistrant - de manière chiffrée - les contacts entre les utilisateurs de l’application sur certaines distances et pendant une durée déterminée, ne procédant pas ainsi au traitement des données relatives à la géolocalisation qui comportent un risque élevé pour la vie privée des titulaires de données. Cette application permet de notifier les utilisateurs d’une exposition prolongée à un risque d’infection au Covid-19 dans la mesure où ces derniers se trouveraient à proximité d’un cas avéré d’infection au virus. Une fois notifié, l’utilisateur de l’application pourra prendre les mesures quarantenaires et sanitaires nécessaires et propres à briser les chaînes de transmission du virus.

Pour éviter que des personnes malintentionnées ne signalent des cas mensongers d’infection au Covid-19 à risque de rendre l’application inopérante, seuls des professionnels de santé, ayant réalisé des tests de dépistage du virus sur la personne concernée confirmant que cette dernière en est effectivement porteuse, détiendront un code à usage unique qui permettra de déclencher le signalement et de notifier les personnes ayant été en contact avec la personne en question.

Afin de s’inscrire sur l’application, l’utilisateur devra saisir son numéro de téléphone mobile et optionnellement - pour des raisons statistiques et d’étude d’analyse de la pandémie - indiquer sa tranche d’âge, son genre et la ville de sa résidence. Après s’être inscrit, un identifiant d’utilisateur aléatoire sera associé au numéro de téléphone mobile et seul cet identifiant sera pris en compte lors des opérations de traitement.

Dans le but d’assurer l’intégrité et la confidentialité des données et afin d’éviter que l’identifiant d’utilisateur ne permette de remonter à l’identité du titulaire de données, l’application générera, lors d’un contact avec un autre utilisateur de l’application, des identifiants temporaires générés aléatoirement par cryptage des identifiants des utilisateurs. De surcroît, ces mêmes identifiants temporaires seront régulièrement actualisés  pour rendre impossible l’identification de l’identité des titulaires de données.

À première vue, l’utilisation de l’application « Wiqaytna » ne susciterait aucun problème au niveau de la protection des données à caractère personnel de ses utilisateurs au vu des mesures techniques mises en place à cet effet. Toutefois, loin de l’idée de dissuader les citoyennes et citoyens d’utiliser l’application développée par les pouvoirs publics, il serait possible de soulever quelques brèches à son sujet :

1. Les données personnelles traitées par l’application mobile - à savoir le numéro de téléphone et l’identifiant d’utilisateur y étant associé - ne sont pas anonymisées mais pseudonymisées de manière à permettre la ré-identification de l’utilisateur de l’application par la combinaison d’un certain nombre d’informations supplémentaires contenues dans la base centrale de données - bien que les données soient protégées par des mécanismes crytpographiques^[7]. En ce sens, accéder aux numéros de téléphone des utilisateurs permettra de retrouver leurs identités. Aussi, associer le code d’identification généré par l’application au numéro de téléphone de son titulaire ou encore aux identifiants des personnes ayant été en contact avec la personne contaminée pourra révéler l’identité de l’utilisateur de l’application.

2. Retrouver l’identité du titulaire de données, par la combinaison de données pseudonymisées contenues dans la base de données, conduira non seulement à connaître leur identité réelle - noms & prénoms - mais également à révéler les données de santé de la personne concernée dans le cas où celle-ci serait atteinte du Covid-19.

3. Au-delà des risques de ré-identification liés au procédé de pseudonymisation, il sera toujours possible de connaître l’identité des personnes atteintes du Covid-19 par l’usage de manœuvres indépendantes du programme de sécurité de l’application. En effet, dissimuler un téléphone contenant l’application de « contact tracing » à l’entrée d’un immeuble, par exemple, permettra de savoir, une fois une notification reçue, si l’un de ses habitants est contaminé.

4. La technologie Bluetooth utilisée par l’application de « contact tracing » est également vulnérable face aux fausses alertes pouvant être déclenchées par l’un des utilisateurs de l’application. Il est possible de citer l’exemple où une personne présentant des symptômes du virus prête son téléphone portable à l’un de ses amis travaillant dans une banque et dans un service à effectif élevé. Le lendemain, le propriétaire du téléphone sera testé positif au Covid-19, résultat qui enclenchera automatiquement l’envoi de notifications en masse aux téléphones des salariés de la banque - ce qui entraînera fort probablement la fermeture temporaire de l’établissement en question.

5. À priori, l’application ne traiterait pas seulement les données liées au numéro de téléphone de l’utilisateur ou à l’identifiant y étant associé. Les conditions générales d’utilisationde l’application feraient également allusion au traitement des données liées à la date et au lieu de la contamination puisque ces mêmes conditions énoncent -  au niveau de la finalité pour laquelle l’application est déployée - que « En aucun cas, le nom de la personne, le numéro de téléphone, la date ou le lieu de contamination ne sont communiqués aux contacts ». Le traitement des données se rapportant à la date et au lieu de la contamination constituerait un risque supplémentaire pour la vie privée des utilisateurs dans la mesure où lesdites données pourront concourir à la ré-identification des personnes atteintes du Covid-19.

6. Les données collectées ne seraient pas les mêmes en fonction du système d’exploitation du téléphone mobile. Sur les téléphones utilisant des systèmes d’exploitation iOS, l’application ne nécessiterait, pour son bon fonctionnement, que l’activation du Bluetooth. Sur le système Android, en revanche, l’application demanderait l’accès aux données de localisation - pour permettre aux téléphones ‘android’ de communiquer via Bluetooth. Un tel accès reviendrait à déduire que l’application traiterait également les données de localisation des utilisateurs des téléphones dotés d’un système d’exploitation android. Seulement, accéder aux données de localisation n’insinue pas forcément l’accès aux données se rapportant à la « géolocalisation ». 

À l’instar de l’application « Wiqaytna », l’application « StopCovid » développée par les pouvoirs publics français demanderait une autorisation similaire et cela peut s’expliquer par la raison suivante : Pour mettre l’application à disposition des citoyens, les pouvoirs publics doivent se conformer aux systèmes d’exploitation sur lesquels celle-ci sera lancée. Ayant une maîtrise complète de son système d’exploitation, Google - ayant développé le système android - n’autoriserait l’accès au module Bluetooth que sur une base individuelle obligeant ainsi les pouvoirs publics à recourir à l’obtention d’une autorisation plus générale qui comprend tous les services de localisation. Google associerait, de ce fait, la technologie Bluetooth à de la localisation, ce qui justifie la demande d’accès aux données de localisation affichée sur l’application lancée sur le système d’exploitation android^[8].

Il est clair que le recours au « contact tracing », qui repose sur le recours à la technologie Bluetooth, présente de sérieuses garanties à la protection des données à caractère personnel des utilisateurs de l’application « Wiqaytna », par opposition au « contact tracking » faisant usage notamment de la technologie de géolocalisation par GPS qui implique un risque relativement plus élevé pour la vie privée des personnes concernées et qui peut aboutir - si manipulée inconcieusement - à l’instauration d’un état de surveillance de masse démesurée.

Aussi, l’observation par les pouvoirs publics des principes gouvernant la protection des données personnelles - tels qu’instaurés par l’article 3 de la loi 09-08 - constitue une solide garantie au respect du droit à la vie privée des utilisateurs de l’application et il appartiendra à la CNDP d’épingler les différents dépassements susceptibles d’avoir lieu lors du traitement des données personnelles des utilisateurs.

L’effort déployé par les pouvoirs publics ainsi que par les différentes entités privées impliquées dans le développement de l’application est salutaire compte tenu du temps record dans lequel ladite application fût développée et des mesures techniques mises en œuvre à même de garantir la protection des données personnelles des citoyennes et citoyens participant au combat national contre la propagation de la pandémie.

Toutefois, les plus grandes préoccupations soulevées par l’utilisation d’une telle application résideraient dans la nature de la technologie utilisée, qui est celle du Bluetooth.
Si les pouvoirs publics, en leur qualité de responsable de traitement, ont effectivement installé les garde-fous propres à garantir une sécurité et une protection maximales des données personnelles traitées, il n’en demeure pas moins que plusieurs facteurs risquent d’intervenir pour détourner l’utilisation de l’application, facteurs qui ne relèveront le plus souvent pas des détails techniques employés et dont la survenance pourrait conduire à l’altération de l’efficacité et du plein potentiel de l’application.

Lire l’intégral de l’analyse de Me Anas Segame 

[1]Notons que l’article 35.10 du RGPD édicte que la conduite d’une analyse d’impact n’est pas obligatoire « lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public dans la mesure où ledit traitement a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable de traitement est soumis … et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question ».

Toutefois, l’article 36.5 dispose que « le droit des États membres peut exiger que les responsables de traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable de traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris dans le cadre de la protection sociale et de la santé publique ».

[2]À cet effet, la raison 91 du RGPD énonce que la conduite d’une analyse d’impact s’applique « … aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits … ».

[3] The New York Times. As Coronavirus Surveillance Escalates, Personal Privacy Plummets , 2020.

À consulter sur le site Web : https://www.nytimes.com/2020/03/23/technology/coronavirus-surveillance-tracking-privacy.html .

[4] À consulter en téléchargement sur le lien Web suivant : https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

[5] Wired. Anonymized Phone Location Data Not So Anonymous, Researchers Find , 2013.

À consulter sur le site Web : https://www.wired.com/2013/03/anonymous-phone-location-data/

[6] La Commission Nationale de Contrôle de la Protection des Données à caractère Personnel, La CNDP à la disposition du gouvernement pour renforcer, en termes de respect de la vie privée, ses politiques proactives, 16 avril 2020. À consulter sur le site web : https://www.cndp.ma/fr/actualite/665-act-16-04-2020.html 

[7] En cybersécurité, le risque zéro n’existe pas.

[8] Julien Lausson, « StopCovid demande l’accès à la géolocalisation sur Android, mais s’engage à ne pas l’utiliser », numerama, 2020. À consulter sur le lien suivant : https://www.numerama.com/tech/627965-stopcovid-demande-lacces-a-la-geolocalisation-sur-android-mais-sengage-a-ne-pas-lutiliser.html