Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »

I. - Il est créé un traitement de données dénommé « StopCovid », dont le responsable est le ministre chargé de la santé (direction générale de la santé).

Ce traitement de données à caractère personnel, qui repose sur une application mobile et un serveur central, est mis en œuvre dans le cadre d'une mission d'intérêt public conformément au e du paragraphe 1 de l'article 6 du règlement (UE) du 27 avril 2016 susvisé, et pour les motifs d'intérêt public mentionnés au i du paragraphe 2 de l'article 9 de ce même règlement.

II. - Ce traitement a pour finalités :

1° D'informer les personnes utilisatrices de l'application qu'il existe un risque qu'elles aient été contaminées par le virus du covid-19 en raison du fait qu'elles se sont trouvées à proximité d'un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie. Les personnes exposées à ce risque sont désignées ci-après comme « contacts à risque de contamination » ;

2° De sensibiliser les personnes utilisatrices de l'application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation ;

3° De recommander aux contacts à risque de contamination de s'orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ;

4° D'adapter, le cas échéant, la définition des paramètres de l'application permettant d'identifier les contacts à risque de contamination grâce à l'utilisation de données statistiques anonymes au niveau national.

III. - L'application StopCovid est installée librement et gratuitement par les utilisateurs. Ceux-ci ont la faculté d'activer ou non la fonctionnalité de l'application permettant de constituer l'historique de proximité mentionné au 5° du I de l'article 2. En cas de diagnostic clinique positif au virus du covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l'application sont libres de notifier ou non ce résultat dans l'application et de transmettre au serveur l'historique de proximité mentionné au 6° du I de l'article 2. L'application peut être désinstallée à tout moment.

IV. - Le code source mis en œuvre dans le cadre de StopCovid est rendu public et est accessible à partir des sites internet du ministre des solidarités et de la santé et du ministre de l'économie et des finances ainsi que du site internet www.stopcovid.gouv.fr.

I. - Pour la mise en œuvre du traitement mentionné à l'article 1er, sont traitées les données suivantes :

1° Une clé d'authentification partagée entre l'application et le serveur central, générée par ce serveur lors du téléchargement de l'application, qui sert à authentifier les messages de l'application ;

2° Un identifiant unique associé à chaque application téléchargée par un utilisateur, qui est généré de façon aléatoire par le serveur central et n'est connu que de ce serveur, où il est stocké ;

3° Les codes pays, générés par le serveur central ;

4° Des pseudonymes aléatoires et temporaires, qui sont transmis chaque jour par le serveur central à l'application lorsqu'elle se connecte à ce dernier ;

5° L'historique de proximité d'un utilisateur, constitué des pseudonymes aléatoires et temporaires émis via la technologie « Bluetooth » par les applications installées sur des téléphones mobiles d'autres utilisateurs qui se trouvent, pendant une durée déterminée, à une distance de son téléphone mobile telle qu'il existe un risque suffisamment significatif qu'un utilisateur qui serait positif au virus du covid-19 contamine l'autre.

Les pseudonymes aléatoires et temporaires sont collectés et enregistrés par l'application sur le téléphone mobile de l'utilisateur.

Un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l'un de l'autre ;

6° L'historique de proximité des contacts à risque de contamination par le virus du covid-19, correspondant aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l'historique de proximité.

Ces données sont transmises par les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent au serveur central. Elles sont alors stockées sur ce serveur et sont notifiées aux applications des personnes identifiées comme contacts à risque de contamination à l'occasion de leur connexion quotidienne au serveur.

Ces personnes identifiées comme contacts à risque de contamination reçoivent alors, par l'intermédiaire de l'application, la seule information selon laquelle elles ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours ;

7° Les périodes d'exposition des utilisateurs à des personnes diagnostiquées ou dépistées positives au virus du covid-19, stockées sur le serveur central. Ces données sont collectées et enregistrées par l'application sur le téléphone mobile de l'utilisateur et stockées sur le serveur central en cas de partage par l'utilisateur de l'historique de proximité des contacts à risque de contamination par le virus du covid-19 ;

8° Les données renseignées dans l'application par les personnes diagnostiquées ou dépistées positives au virus du covid-19 qui décident d'envoyer au serveur l'historique de proximité de leurs contacts à risque :

a) La date de début des symptômes si l'utilisateur est en mesure de donner cette information ;

b) Le code aléatoire à usage unique donné par un médecin traitant à son patient suite à un diagnostic clinique positif au virus du covid-19 ou un code aléatoire à usage unique sous forme de QR-code émis par le traitement mentionné à l'article 8 du décret n° 2020-551 du 12 mai 2020 susvisé en cas d'examen de dépistage positif au virus du covid-19, en application de l'article 9 de ce même décret, afin que l'utilisateur de l'application soit autorisé par le serveur à partager son historique de proximité ;

9° Le statut « contacts à risque de contamination » de l'identifiant de l'application, qui est retenu dès lors qu'un utilisateur de l'application a été, conformément aux critères définis par l'arrêté mentionné au 5°, à proximité d'un autre utilisateur, ultérieurement dépisté ou diagnostiqué positif au virus du covid-19. Cette donnée est stockée par le serveur central, lorsqu'elle lui a été communiquée par l'utilisateur qui accepte de lui transmettre son historique de proximité des contacts à risque de contamination par le virus du covid-19 ;

10° La date des dernières interrogations du serveur central.

II. - Les données permettant l'identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement.

III. - Les sous-traitants auxquels le responsable du traitement peut recourir dans les conditions prévues à l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont accédants ou destinataires des données du traitement strictement nécessaires à l'exercice de leurs missions.

Le traitement est mis en œuvre pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire déclaré par l'article 4 de la loi n° 2020-290 du 23 mars 2020 susvisée.

La clé d'authentification partagée et l'identifiant aléatoire permanent sont conservés jusqu'à ce que l'utilisateur désinstalle l'application StopCovid, et au plus tard pour la durée mentionnée au premier alinéa.

Les données de l'historique de proximité enregistrées par l'application sur le téléphone mobile sont conservées quinze jours à compter de leur enregistrement par cette application.

Lorsqu'elles ont été partagées sur le serveur central, les données de l'historique de proximité des contacts à risque de contamination sont conservées sur ce serveur quinze jours à compter de leur enregistrement par l'application du téléphone mobile de la personne dépistée ou diagnostiquée positive au virus du covid-19.

Les données mentionnées au 8° du I de l'article 2 ne sont pas conservées. Elles ne sont traitées qu'une seule fois afin que l'utilisateur de l'application soit autorisé par le serveur à partager son historique de proximité.

Les actions réalisées par les administrateurs dans le traitement font l'objet d'un enregistrement, qui est conservé pendant une durée maximale de six mois à compter de la fin de l'état d'urgence sanitaire. Cet enregistrement comporte l'identification de l'administrateur, les données de traçabilité, notamment la date, l'heure et la nature de l'intervention dans le traitement.

En application de l'article 11 et du i du paragraphe 1 de l'article 23 du règlement (UE) du 27 avril 2016 susvisé, les droits d'accès, de rectification ainsi que le droit à la limitation prévus aux articles 15, 16 et 18 de ce même règlement ne peuvent s'exercer auprès du responsable de traitement.

Les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits, conformément aux dispositions des articles 13 et 14 du règlement (UE) du 27 avril 2016 susvisé, au moment de l'installation de l'application StopCovid. Elles sont en outre prévenues qu'en cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu'elles auront été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours et informées de la possibilité limitée d'identification indirecte, susceptible d'en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période.

Des mentions d'informations sont également publiées sur le site internet www.stopcovid.gouv.fr.

Le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l'application, et au plus tard le 30 janvier 2021.

L'article 9 du décret du 12 mai 2020 susvisé est complété par un alinéa ainsi rédigé :

« Un QR-code ne comportant aucune information permettant d'identifier la personne concernée est généré aléatoirement puis apposé sur le résultat d'un examen de dépistage au virus du covi -19 et envoyé à la personne ayant effectué le test de dépistage, en cas de résultat positif. »

Le ministre des solidarités et de la santé, le ministre de l'économie et des finances ainsi que le secrétaire d'Etat chargé du numérique sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.