FF 2020 Volume 25 P. 4361

20.040 Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité) du 20 mai 2020

Madame la Présidente, Monsieur le Président, Mesdames, Messieurs, Par le présent message, nous vous soumettons le projet d'une modification urgente de la loi sur les épidémies en lien avec le coronavirus (système de traçage de proximité), en vous proposant de l'accepter.

Nous vous proposons simultanément de classer les interventions parlementaires suivantes: 2020

M 20.3144

Bases juridiques nécessaires à l'introduction des applications d'alerte Corona (application Corona Proximity Tracing) (N 5.5.20, CIP-N)

2020

M 20.3168

Bases juridiques nécessaires à l'introduction des applications d'alerte Corona (application Corona Proximity Tracing) (E 4.5.20, CIP-E)

Nous vous prions d'agréer, Madame la Présidente, Monsieur le Président, Mesdames, Messieurs, l'assurance de notre haute considération.

20 mai 2020

Au nom du Conseil fédéral suisse: La présidente de la Confédération, Simonetta Sommaruga Le chancelier de la Confédération, Walter Thurnherr

2020-1438

4361

Condensé La présente modification de la loi sur les épidémies vise à créer la base légale pour compléter le traçage des contacts effectué par les services des médecins cantonaux en mettant en place un système de traçage de proximité et lutter ainsi efficacement contre l'épidémie de coronavirus (SARS-CoV-2).

Le projet prévoit de compléter la loi sur les épidémies à ce sujet, créant ainsi une base légale spécifique pour la mise en service et l'exploitation du système de traçage de proximité (système TP), en accord avec les deux motions CIP-E (20.3168) et CIP-N (20.3144): Bases juridiques nécessaires à l'introduction des applications d'alerte Corona (application Corona Proximity Tracing).

Suite au recul continu du nombre de nouvelles infections au coronavirus, la Suisse se trouve depuis le 11 mai 2020 dans la phase dite d'endiguement. Il s'agit dès lors, à l'aide du traçage ciblé et systématique des contacts effectué par les services des médecins cantonaux, de retracer de manière cohérente les chaînes de transmission, d'isoler les personnes infectées et de placer leurs contacts étroits en quarantaine.

Ainsi, un contrôle à long terme de l'épidémie deviendra possible.

Les systèmes TP peuvent être utilisés comme outils de soutien. Ils sont particulièrement efficaces quand ils sont utilisés par des personnes à forte mobilité et qui se trouvent régulièrement dans des endroits fréquentés par de nombreuses personnes qui leur sont inconnues.

La nouvelle base légale prévoit que le système TP est conçu et mis en service comme suit: Le système TP, qui fonctionne avec la technologie Bluetooth, enregistre de manière décentralisée les «rapprochements» pertinents du point de vue épidémiologique entre deux téléphones portables équipés de l'application correspondante. Si une personne utilisant cette application est testée positive au coronavirus SARS-CoV-2, elle peut, en entrant un code d'autorisation transmis par le service du médecin cantonal, envoyer une alerte aux autres utilisateurs de l'application avec lesquels elle a été en contact pendant la période où elle était potentiellement contagieuse.

On recommande par la suite à la personne informée de demander conseil à l'infoline tenue par l'Office fédéral de la santé publique, d'éviter les contacts physiques pendant les dix jours qui suivent la rencontre
(quarantaine volontaire) et, si des symptômes typiques du COVID-19 surviennent, de contacter son médecin traitant et de se faire tester. La participation au système TP au même titre que la mise en application des recommandations sont volontaires.

4362

Au niveau technique, le système TP se fonde sur le principe «privacy by design». Il vise, à l'aide de méthodes cryptographiques innovantes et d'un traitement décentralisé des données, à éviter, dans toute la mesure du possible, la présence de données sur des personnes identifiées ou identifiables (données personnelles). Il ne saisit aucune donnée de géolocalisation, mais uniquement des données concernant les rapprochements entre les téléphones mobiles des participants au système, cryptées et bien protégées contre les abus.

4363

FF 2020

Message 1

Contexte

1.1

Nécessité d'agir et objectifs visés

Mesures d'endiguement visant à lutter contre l'épidémie de COVID-19 Depuis début avril, le nombre de nouvelles infections au nouveau coronavirus (SARS-CoV-2) est en baisse constante, si bien que la Suisse est entrée le 11 mai 2020 dans la phase dite d'endiguement. Durant la phase d'endiguement, les personnes infectées et exposées doivent être rapidement détectées, traitées et placées en isolement ou en quarantaine. Il est ainsi possible de déterminer les chaînes de transmission et d'empêcher de nouvelles contaminations ou, du moins, de les réduire. Les mesures prises dans ce cadre visent à empêcher toute nouvelle propagation et toute hausse significative du nombre de nouvelles contaminations durant une longue période (jusqu'à ce qu'un vaccin soit disponible, c.-à-d. durant 6 à 18 mois probablement). Un endiguement complet comprend les éléments suivants:

l'enregistrement rapide et, si possible, complet des nouvelles infections;

le traçage des contacts par les autorités compétentes (art 31, al. 1, ou 41, al. 3, et 33, de la loi du 28 septembre 2012 sur les épidémies[LEp]1);

l'isolement systématique, par les autorités compétentes, des personnes malades ou infectées (art. 31, al. 1, ou 41, al. 3 et 35, al. 1, let. b, LEp);

la mise en quarantaine systématique, par les autorités compétentes, des personnes présumées malades ou présumées infectées (art. 31, al. 1, et 35, al. 1, let. a, LEp);

des mesures prises aux frontières par l'Office fédéral de la santé publique (OFSP) pour identifier les personnes exposées ou malades (art. 41, al. 2, LEp).

Fonctionnement et utilité du système de traçage de proximité Les systèmes de traçage de proximité numériques (systèmes TP), qui utilisent la téléphonie mobile, ne peuvent pas remplacer le traçage classique des contacts par les autorités cantonales compétentes. Ils sont toutefois considérés comme des outils d'aide utiles. Ces systèmes doivent donc toujours faire partie intégrante d'une stratégie globale de lutte et être coordonnés avec d'autres mesures comme les tests, les règles de conduite en auto-quarantaine, etc.

Le système TP prévu pour lutter contre le coronavirus, qui fonctionne avec la technologie Bluetooth, enregistre de manière décentralisée les rapprochements entre deux téléphones portables équipés de l'application SwissCovid correspondante (application SwissCovid). Ces rapprochements correspondent aux «rencontres» pertinentes du point de vue épidémiologique. Les critères selon lesquels un contact 1

RS 818.101

4364

FF 2020

est considéré comme une rencontre pertinente du point de vue épidémiologique dépendent des voies de transmission de l'agent pathogène. Dans le cas du coronavirus, ce contact a été défini comme un contact d'au moins quinze minutes au total à une distance de deux mètres au plus.

Si un participant au système TP ressent des symptômes typiques du COVID-19, il peut se faire tester. Si le résultat est positif, le service du médecin cantonal le contacte et lui demande s'il utilise l'application. Si c'est le cas, il génère le code d'autorisation correspondant. L'utilisateur de l'application peut ensuite envoyer l'information de manière anonyme, en utilisant ce code. Cette étape est également volontaire. Les participants au système sont informés qu'ils ont été en contact avec elle durant la période où elle était contagieuse. Ils ne reçoivent toutefois aucun détail quant à l'identité de la personne qui a envoyé l'information. Elles sont cependant informées du jour mais pas de l'heure et du lieu où l'infection a pu avoir lieu.

Ensuite, la personne informée par l'application SwissCovid reçoit les recommandations suivantes: éviter si possible tout contact physique avec d'autres personnes au cours des dix prochains jours, appeler une infoline coronavirus et, dès l'apparition des premiers symptômes, même légers, consulter un médecin et se faire tester. Si la personne informée est active professionnellement, elle peut volontairement transmettre à son employeur les avertissements qu'elle a reçus, afin que, si nécessaire, des mesures puissent être prises pour protéger les autres collaborateurs (télétravail ou mesures de protection sur place, tel que port d'un masque d'hygiène ou poste de travail isolé). Si la personne se place volontairement en quarantaine sur la seule base de l'information, elle n'a pas droit au maintien de son salaire, conformément à l'art. 324a du code des obligations (CO)2. Une quarantaine volontaire ou le respect des mesures de protection permettent d'interrompre la chaîne de transmission.

Contrairement au traçage classique des contacts effectué par les services des médecins cantonaux, l'application SwissCovid permet d'informer des personnes qui ont eu un contact pertinent du point de vue épidémiologique avec quelqu'un qu'elles ne connaissent pas. Il peut s'agir, par exemple, d'une personne
qui était assise près d'elles dans les transports publics ou de voisins de table dans un restaurant. Cependant, l'application SwissCovid ne fait que mesurer les distances. Partant, elle enregistre également les contacts qui ne présentent aucun risque d'infection ou un risque mineur, par exemple parce que les personnes portaient un masque ou parce qu'elles sont séparées par un écran de protection.

L'application SwissCovid peut en particulier soutenir le traçage des contacts des autorités cantonales compétentes si elle est utilisée par des personnes qui se déplacent beaucoup et qui prennent part à des rassemblements avec des personnes qu'elles ne connaissent pas. Jusqu'ici, aucune donnée scientifique n'indique le nombre minimal de participants requis pour une implémentation efficace du système TP. Cependant, selon un modèle scientifique, l'épidémie peut être gardée sous contrôle lorsque deux tiers de la population respectent les mesures de quarantaine ordonnées ou recommandées.

2

RS 220

4365

FF 2020

Il est essentiel que l'application SwissCovid soit largement acceptée et utilisée pour que le système de traçage de proximité atteigne le but souhaité dans la lutte contre l'épidémie de COVID-19. C'est pourquoi son introduction doit être accompagnée de bonnes mesures communicationnelles (cf. ch. 3.2). La loi interdit de favoriser ou de désavantager les personnes participant ou ne participant pas au système TP. Cette disposition garantit qu'aucun élément externe ne vienne influencer la décision d'installer et d'utiliser l'application SwissCovid et que le droit de la population à l'autodétermination en matière d'information est assuré.

Contrairement au traçage classique des contacts, le système TP ne permet pas d'identifier les foyers infectieux, en raison des anonymisations souhaitées par la politique. Il n'est donc pas possible de tirer des conclusions sur les foyers ou les chaînes concrètes d'infection ni sur les lieux de contamination.

Expériences internationales Des solutions numériques comme les systèmes TP ou différentes formes d'applications pour téléphones portables sont des mesures importantes dans la lutte de plusieurs États contre l'épidémie de COVID-19. Les pays asiatiques en particulier misent fortement sur les solutions numériques. Cependant, celles-ci dépassent souvent les systèmes TP en ce qu'elles utilisent également des données de géolocalisation ou de carte de crédit pour surveiller les personnes infectées.

En Europe, le respect des prescriptions strictes en matière de protection et de sécurité des données est une condition cruciale pour l'implémentation de solutions numériques. Fin avril, d'importants membres du Conseil de l'Europe ont ainsi exigé des mesures de protection adaptées pour les applications SwissCovid, afin de prévenir les risques relatifs aux données personnelles et à la sphère privée. À la mi-avril, les États-membres de l'Union européenne ont unanimement décidé le document «Mobile applications to support contact tracing in the EU's fight against COVID-19».

Cette «boite à outils» est un guide pratique spécifiant les conditions techniques et abordant les aspects liés à la protection de la sphère privée.

Bien que les principes concernant les modalités pour l'introduction d'une application SwissCovid fassent l'unanimité, les mises en oeuvre techniques continuent
à se baser sur des approches parfois divergentes, en particulier en ce qui concerne le stockage décentralisé des données. En effet, les systèmes TP sont généralement développés au niveau national, et reflètent donc les priorités du pays. La reprise de la mobilité internationale devrait mettre en relief ces différences et inciter à davantage d'interopérabilité.

Mandat parlementaire Lors de la session extraordinaire qui s'est déroulée du 4 au 7 mai 2020, le Parlement a accepté les deux motions CPI-E (20.3168) et CPI-N (20.3144): Bases juridiques nécessaires à l'introduction des applications d'alerte Corona (application Corona Proximity Tracing). Les deux motions chargent le Conseil fédéral de présenter au Parlement la base légale nécessaire à l'introduction d'applications d'alerte concernant le coronavirus. À cet effet, seules des solutions techniques qui ne stockent pas de données personnelles de manière centralisée doivent être utilisées. En outre, l'emploi de ces applications doit être volontaire. Dans leur développement, les deux 4366

FF 2020

commissions ont souligné qu'en raison du risque considérable d'atteinte aux droits fondamentaux, il y a lieu de présenter au Parlement une base légale parlementaire et non d'adopter une ordonnance de nécessité du Conseil fédéral.

Le présent message présente la base légale formelle pour l'utilisation au niveau national du système TP.

Essai pilote Le 13 mai 2020, le Conseil fédéral a décidé de mener un essai pilote parallèlement à l'élaboration et à l'adoption de la base légale formelle demandée par le Parlement pour le système TP. Par conséquent, il a adopté l'ordonnance COVID-19 du 13 mai 2020 essai pilote traçage de proximité3 sur la base de l'art. 17a de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)4.

L'essai pilote vise à acquérir des connaissances importantes en vue de l'introduction définitive du système TP prévue pour le milieu ou la fin du mois de juin 2020. Cela concerne, par exemple, l'exploitation du système avec sa structure décentralisée et sa technique de protection des données, nouvelles pour le système étatique de traitement des données. Cette technique de protection des données repose principalement sur le fait que les données, bien que devant être utilisables pour informer les personnes potentiellement infectées, sont majoritairement anonymisées. Seront également évaluées l'efficacité des mesures de sécurité dans la pratique et l'utilisation de l'application par les participants et les professionnels au bénéfice des droits d'accès. Des activités annexes en font également partie, comme le type d'information, la documentation remise aux participants et la clarté des conditions d'utilisation. Pendant l'essai pilote, les tests seront étendus à la convivialité du système pour des groupes particuliers comme les personnes âgées, moins familières du numérique, et les personnes handicapées (malvoyants, malentendants, etc.). Dès que les résultats seront disponibles, ils seront intégrés aux délibérations parlementaires concernant le projet de loi et à l'élaboration des ordonnances d'exécution réglant l'exploitation du système TP.

Durant la phase pilote, l'application SwissCovid sera utilisée par un nombre limité de personnes: membres de l'armée, personnel des hôpitaux, des hautes écoles, de l'administration fédérale et des administrations cantonales ainsi que membres
d'associations voulant contribuer à l'amélioration du système. La population suisse ne pourra donc utiliser l'application SwissCovid qu'après l'adoption de la base légale par le Parlement et de l'ordonnance d'exécution correspondanteen juin 2020.

La durée de validité de l'ordonnance COVID-19 essai pilote traçage de proximité est limitée au 30 juin 2020.

3 4

RS 818.101.25 RS 235.1

4367

FF 2020

1.2

Solutions étudiées et solution retenue

L'introduction rapide du système TP par la Confédération nécessite la création d'une base légale formelle soit via la législation d'urgence (art. 165 de la Constitution, [Cst.]5), soit via le droit de nécessité (art. 173, al. 1, let. c, Cst. ou LEp). Conformément auxs motions 20.3168 et 20.3144 adoptées par le Parlement, la base légale est créée en se fondant sur le droit d'urgence.

1.3

Relation avec le programme de la législature et avec le plan financier, ainsi qu'avec les stratégies du Conseil fédéral

Le projet n'est pas annoncé dans le message du 29 janvier 2020 sur le programme de la législature 2019 à 20236 et ne s'intègre pas dans aucune stratégie du Conseil fédéral.

1.4

Classement d'interventions parlementaires

Les deux motions de même teneur (CIP-E 20.3168 et CIP-N 20.3144 «Bases juridiques nécessaires à l'introduction des applications d'alerte Corona (application Corona Proximity Tracing») chargent le Conseil fédéral de présenter au Parlement la base légale nécessaire à l'introduction d'applications d'alerte sur le coronavirus. À cet égard, seules les solutions techniques qui ne stockent pas les données personnelles de manière centralisée doivent être utilisées. En outre, l'emploi de ces applications doit être facultatif. Le Conseil des États a adopté la motion CPI-E le 4 mai 2020, et le Conseil national la motion CIP-N le 5 mai 2020. Le présent message propose de classer les deux motions.

2

Procédure de consultation

En approuvant les motions CIP CE 20.3168 et CIP N (20.3144) «Bases juridiques nécessaires à l'introduction des applications d'alerte Corona (application Corona Proximity Tracing)», les Chambres fédérales ont chargé le Conseil fédéral de créer la base légale nécessaire pour mettre en service d'une application d'alerte au coronavirus et non d'édicter une ordonnance en vertu de l'art. 185, al. 3, Cst. Ainsi, une procédure de consultation est rendue impossible de facto parce que l'application doit être mise en service dans les plus brefs délais pour atteindre son but (cf. ch. 1.1 cidessus).

5 6

RS 101 FF 2020 709

4368

FF 2020

3

Présentation du projet

3.1

Réglementation proposée

Le Conseil fédéral partage l'avis de la Swiss National COVID-19 Science Task Force, selon lequel un système TP peut soutenir le traçage classique des contacts par les autorités cantonales compétentes. En application de l'art. 31, al. 2, LEp et en exécution des mandats parlementaires (cf. ch. 1.1), ce système doit être mis en service dans le cadre d'une solution nationale réglée au niveau de la loi. Cela garantit une structure et une exploitation transparentes du système et une attribution claire des responsabilités. Une réglementation nationale permet également de régler de manière contraignante des aspects importants comme le caractère volontaire de la participation, l'interdiction de favoriser ou de désavantager et l'interdiction d'utiliser les données à d'autres fins. Par ailleurs, tous ces éléments représentent des conditions importantes pour que le système TP soit accepté et utilisé par une grande partie de la population, contribuant ainsi efficacement à la lutte contre l'épidémie de COVID-19.

Mise en oeuvre technique D'un point de vue technique, le système TP actuellement prévu se base sur le projet DP3T de l'École polytechnique fédérale de Lausanne (Decentralized Privacy Preserving Proximity Tracing) et, partant, sur le principe de la protection de la vie privée dès la conception. Grâce à des méthodes cryptographiques innovantes et à son traitement décentralisé des données, il ne contient pratiquement aucune donnée permettant d'identifier des personnes (données personnelles). Le système n'enregistre aucune donnée de géolocalisation, mais uniquement des données protégées des abus et cryptées concernant les rapprochements entre les téléphones mobiles des participants au système.

Quiconque utilise en Suisse un téléphone portable doté du système d'exploitation iOS ou Android peut télécharger gratuitement et utiliser l'application SwissCovid, indépendamment de son opérateur téléphonique. Pour son exploitation, aucune donnée personnelle comme le numéro de téléphone, le nom ou l'adresse électronique n'est nécessaire. Le fonctionnement de l'application nécessite uniquement l'activation de Bluetooth et la possibilité d'y recourir, qui augmente légèrement la consommation de la batterie (entre 6 et 8 %).

Pour l'expliquer sommairement, le système TP se base sur l'échange de codes d'identification
anonymes que des téléphones portables envoient et reçoivent par Bluetooth. Les codes d'identification sont générés par un procédé cryptographique à partir d'une clé privée de l'application SwissCovid. La sphère privée reste protégée: les codes d'identification ne contiennent aucune information sur la personne, sur la localisation ou sur l'appareil utilisé. L'application n'utilise pas la géolocalisation.

Tant que le participant au système ne signale aucune infection, aucune donnée n'est enregistrée de manière centralisée dans le système TP.

Le système doit être conçu de sorte à éviter efficacement que les données soient traitées à d'autres fins, par exemple, pour surveiller le respect des mesures de quarantaine.

4369

FF 2020

3.2

Mise en oeuvre

Le logiciel de l'application pour le téléphone portable est développé par une entreprise privée. Dans le cadre d'un contrat de gré à gré, celle-ci a été chargée par l'OFSP de développer le prototype existant du logiciel de l'application afin qu'il soit prêt à l'emploi et, si nécessaire, de continuer à le perfectionner pendant la durée de l'épidémie de COVID-19. Sur mandat de l'OFSP, les back-ends (serveurs) nécessaires au fonctionnement de l'application sont développés et exploités par l'Office fédéral de l'informatique et de la télécommunication. Il s'agit concrètement de la banque de données servant à sauvegarder et à communiquer les clés privées de l'application SwissCovid des personnes infectées (back-end GR; GR étant la gestion des situations de rapprochement) et du système de gestion des codes d'autorisation que les personnes infectées peuvent entrer dans l'application pour déclencher la notification (système de gestion des codes).

L'infoline coronavirus, déjà opérationnelle sur mandat de l'OFSP, peut être utilisée comme hotline nationale pour les utilisateurs de l'application SwissCovid.

Grandes lignes du droit d'exécution Les nouvelles dispositions constituent la base légale de l'ordonnance d'exécution afférente. Celle-ci définira en détail dans quelles conditions-cadres l'OFSP peut exploiter le système TP. Les points suivants doivent notamment être réglés dans le droit d'exécution:

Structure et fonctionnement du système TP: l'ordonnance doit régler les détails du fonctionnement décentralisé et en particulier les données traitées dans les différents composants du système TP.

Contenu de l'information: le fonctionnement de l'information envoyée aux personnes qui ont potentiellement été exposées au virus doit être défini, tout comme le contenu de l'information. Il doit être défini que le système TP ne donne pas d'instructions aux participants.

Protection et sécurité des données: les composants centraux et décentralisés du système doivent être conçus de manière à ce que les exigences légales en matière de proportionnalité du traitement des données soient respectées et que le traitement des données ne permette pas, dans toute la mesure du possible, d'établir de lien avec des personnes. Néanmoins, une référence personnelle aux participants est probable à au moins un moment décisif du traitement des données, à savoir lorsque contact est pris avec la personne potentiellement contaminée, qui pourrait, par exemple, tirer des conclusions sur la personne infectée en se souvenant des contacts sociaux des jours passés mais cela peut également arriver lors du traçage classique des contacts.

Cette possibilité de traçage implique le traitement de données relatives à la santé, qualifiées de données sensibles au sens de l'art. 3, let. c, ch. 2, LPD.

L'ordonnance définira donc les principes juridiques et les fondements techniques et organisationnels des mesures de protection et de sécurité des données conformément à la législation sur la protection des données.

4370

FF 2020

Autorisations d'accès au système de gestion des codes: le droit d'exécution doit régler la désignation des groupes de personnes autorisées à accéder au système.

Destruction des données: les prescriptions pour la destruction des données sauvegardées dans les composants décentralisés concernent en particulier la destruction des données dans les composants individuels dès que la disponibilité des données aux fins d'une éventuelle information n'est plus nécessaire.

Dans le cadre de la mise en oeuvre, les conditions d'utilisation et la déclaration de confidentialité remises aux participants doivent en outre être établies.

Système TP comme dispositif médical Par la mise en oeuvre technique décrite ci-dessus, notamment par la recommandation de comportements sanitaires, il faut partir du principe que l'application SwissCovid remplit aussi certaines fonctions d'un dispositif médical au sens de l'art. 4, al. 1, let. b, de la loi du 15 décembre 2000 sur les produits thérapeutiques7. Les exigences réglementaires applicables en vertu de la législation sur les produits thérapeutiques sont respectées.

Mesures d'accompagnement communicationnelles Une communication adéquate est nécessaire, car la Swiss National COVID-19 Science Task Force estime elle aussi que, pour apporter une vraie valeur ajoutée au traçage des contacts, un système TP doit jouir d'un haut niveau d'acceptation; par conséquent, l'application SwissCovid doit être largement diffusée au sein de la population.

Outre le travail médiatique, cela nécessite une campagne de communication qui touche la population suisse à grande échelle par le biais de différents canaux. De cette manière, l'application SwissCovid peut capter l'attention du public, et les connaissances peuvent être communiquées activement. Il s'agit d'une contribution essentielle afin de permettre aux personnes en Suisse de décider de manière autonome d'utiliser l'application.

Utilisation transfrontalière L'introduction de systèmes TP est discutée dans de nombreux autres États. Afin de contrer les risques épidémiologiques liés à la mobilité internationale, l'OFSP, en collaboration avec le Département fédéral des affaires étrangères (Direction des affaires européennes / Direction du droit international public), l'Office fédéral de la communication et d'autres services fédéraux compétents, veillera à ce que les systèmes TP soient coordonnés au niveau international. Les lignes directrices suivantes doivent être suivies:

7

En raison du niveau élevé du trafic entrant et sortant dans les zones frontalières, une coopération active doit être recherchée, en particulier avec les pays voisins, afin d'assurer l'interopérabilité du système TP.

RS 812.21

4371

FF 2020

Des restrictions appropriées doivent être apportées au système pour les pays qui ne peuvent pas garantir les principes de base du système TP et les droits constitutionnels et internationaux applicables en Suisse. Il conviendra d'examiner si, en dépit de ces limites, une interopérabilité suffisante peut être atteinte ou admise et si oui, quelle en sera l'étendue, en particulier lorsque des personnes ayant des applications de tels pays séjournent en Suisse.

Pour les autorisations, il faudra exiger des États auxquels des données personnelles sont transmises qu'ils garantissent un niveau de protection des données approprié au sens des art. 6, al. 1, LPD et 62 LEp.

Dans les forums internationaux compétents, la Suisse préconise l'introduction de directives internationales selon lesquelles l'échange entre États de données permettant potentiellement de remonter à une personne doit se faire exclusivement sous une forme anonymisée et servir uniquement à informer les personnes éventuellement infectées. L'objectif est que les principes juridiques de base concernant l'utilisation abusive des données soient également respectés dans le contexte international.

L'interopérabilité avec les applications d'autres pays ne peut être garantie que si tous utilisent les mêmes mécanismes techniques, tels que la décentralisation, et les mêmes mises en oeuvre techniques des clés cryptographiques et des codes d'identification techniques générés. Les systèmes TP des autres États doivent être examinés du point de vue technique et testés au cas par cas.

4 Art. 60a

Commentaires des dispositions Système de traçage de proximité pour le coronavirus

La LEp doit être complétée par un nouvel art. 60a. Divisé en sept alinéas, il contient le mandat d'exploitation d'un système TP (al. 1), le but du système TP et la finalité des données traitées (al. 2), les principes du volontariat et de la protection contre tout désavantage en cas de participation ou non-participation (al. 3), les principes essentiels de la structure du système (al. 4), l'applicabilité de la législation sur la protection des données ainsi qu'une norme de délégation (al. 6). Enfin le Conseil fédéral prévoit l'arrêt du système dès qu'il n'est plus requis pour lutter contre l'épidémie de coronavirus (al. 7).

L'al. 1, charge l'OFSP d'exploiter un système TP informant les personnes potentiellement exposées au coronavirus. La disposition précise en outre que le système implique l'utilisation des téléphones portables des participants. Ainsi, le système TP se distingue également du système d'information visé à l'art. 60 LEp, géré de manière centralisée et qui sert à l'OFSP, aux organes d'exécution cantonaux et au Service sanitaire coordonné à remplir leurs tâches.

L'al. 2 prévoit que le système TP que les données qu'il collecte et les données traitées par ailleurs servent, en premier lieu, aux fins visées à l'al. 1 et, par conséquent, à informer les participants de tout rapprochement pertinent du point de vue épidémiologique avec une personne infectée. En deuxième lieu, le système sert également à établir des statistiques sur le système TP (en particulier, le nombre de codes d'autorisation générés par les professionnels autorisés et le nombre de codes 4372

FF 2020

d'autorisation entrés dans les téléphones portables par les utilisateurs). Cette affectation strictement limitée à la lutte contre le coronavirus via le système TP exclut que le système ou les données puissent être utilisés à d'autres fins ou dans d'autres systèmes: explicitement et de manière non exhaustive, l'utilisation par la police et les autorités de poursuite pénale est interdite, ce qui exclut la mise sous séquestre à des fins de preuve en l'application de l'art. 263, let. a, du code de procédure pénale8.

En outre, l'utilisation des informations à des fins de renseignement en vertu de la loi fédérale du 25 septembre 2015 sur le renseignement9 n'est pas autorisée. Est aussi explicitement mentionnée l'interdiction d'utiliser le système pour ordonner et surveiller des mesures en vertu des art. 33 à 38 LEp. Le but est de garantir que le système TP n'est pas utilisé, en particulier, pour contrôler le respect d'une quarantaine ordonnée. Cette interdiction ne signifie aucunement que les participants ne peuvent pas s'adresser à titre volontaire aux autorités cantonales compétentes lorsqu'elles reçoivent l'information par l'application. La finalité exclut également d'autres utilisations, notamment à des fins commerciales ou dans d'autres procédures administratives ou judiciaires que dans celles mentionnées. Enfin, il est interdit d'intégrer ou de connecter le système TP ou les données qui y sont traitées au système d'information visé à l'art. 60 LEp, qui est utilisé, entre autres, pour le traçage classique des contacts par les autorités cantonales.

En vertu de l'al. 3, la participation au système TP est volontaire. L'OFSP exploite le système TP selon l'al. 1; ce faisant, il met l'application SwissCovid à disposition dans les différentes boutiques d'applications (app stores), ce qui permet à chaque personne de décider librement si elle souhaite ou non se tourner vers le système TP et y participer, c'est-à-dire installer l'application SwissCovid sur son téléphone portable et l'utiliser. Cela se justifie notamment par le fait que le système n'a qu'une fonction de soutien par rapport au traçage classique des contacts par les autorités cantonales compétentes. La question du caractère constitutionnel d'une éventuelle participation obligatoire est sans objet ici, dans la mesure où les motions à l'origine
du projet exigent un système facultatif et que le Conseil fédéral estime, lui aussi, qu'une participation volontaire est plus à même de gagner la confiance de la population.

Au demeurant, les autorités, les entreprises et les individus ne peuvent favoriser ou désavantager une personne en raison de sa participation ou non au système TP; toute convention dérogeant à ce principe est sans effet. Ainsi, il est exclu que les employeurs puissent exiger des employés qu'ils participent au système TP dans le cadre de leur activité professionnelle. Serait considérée comme un licenciement abusif (cf.

art. 336, al. 1, let. d, CO) toute résiliation de contrat pour un motif contrevenant au principe du volontariat (parce que des employés ne respectent pas une telle instruction contraire à la loi). Il est également que des autorités, des entrprises ou des individus conditionnent la fourniture d'une prestation de services, la remise de produits ou d'autres choses à la participation ou non au système TP. Ainsi, ni la fourniture d'un traitement médical, ni l'utilisation des transports publics, ni les visites de proches dans des EMS, ni la fréquentation de restaurants ou l'exercice d'activités sportives dans des centres fitness ne peuvent dépendre du fait que l'appli8 9

RS 312 RS 121

4373

FF 2020

cation SwissCovid soit ou non installée ou utilisée sur le téléphone portable. Ne sont ni concernés ni remis en question par le principe du volontariat les obligations découlant du droit des contrats d'informer et de déclarer qui ne concernent pas la participation au système TP en tant que tel. De telles obligations peuvent notamment découler du devoir de fidélité inscrit dans le droit du travail, lorsqu'il s'agit de prendre les mesures nécessaires à la suite d'une information, notamment dans le cas de symptômes d'une maladie ou d'une quarantaine (volontaire).

Selon l'al. 4, les éléments essentiels suivants doivent être définis pour la structure du système TP:

D'après le principe de protection des données dès la conception (privacy by design), tous les composants du système et leur organisation doivent être conçus de manière à ce que les données personnelles ne soient traitées que si cela est nécessaire au fonctionnement du système (let. a).

Le système doit, dans la mesure du possible, prévoir un traitement et un stockage décentralisés des données: les données de tiers collectées sur le téléphone portable d'un participant sont traitées et stockées exclusivement sur ce téléphone portable (let. b).

Dans le système TP, les donnée obtenues ou traitées de quelque manière que ce soit servent uniquement à déterminer la distance et le moment des rapprochements ainsi qu'à émettre les informations. L'utilisation des données de géolocalisation n'est pas nécessaire pour le fonctionnement du système et est interdite conformément au principe de proportionnalité (let. c).

Les données sont détruites dès qu'elles ne sont plus nécessaires à la transmission des informations. La conservation de données pendant une longue période à des fins statistiques est interdite (let. d).

Dans un souci de transparence et de confiance, le code source sous-jacent et les spécifications techniques utilisées pour tous les composants sont publics (let. e).

L'al. 5 soumet le système à la législation applicable en matière de protection des données étant donné qu'il ne peut pas fonctionner exclusivement sur la base de données anonymes malgré ces prescriptions légales. Pour une surveillance et une appréhension uniformes de la protection des données de ce système complexe, la législation fédérale sur la protection des données est explicitement applicable. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est déclaré l'autorité de surveillance compétente. Cette délégation n'affecte pas l'autonomie cantonale en ce que l'application du droit fédéral ne vise que l'exploitation et l'utilisation du système TP et non l'exécution des tâches relevant des autorités cantonales en vertu de la législation sur les épidémies. Pour les autorités cantonales, cela ne concerne que l'émission du code d'autorisation.

L'al. 6 oblige le Conseil fédéral à définir la conception technique et organisationnelle du système dans le cadre des prescriptions susmentionnées. Le Conseil fédéral devra également régler le fonctionnement et l'utilisation du système TP ainsi que le traitement des données. Dans ce contexte, il adoptera en particulier des prescriptions d'exécution sur les conditions régissant l'historique des rapprochements et 4374

FF 2020

l'émission d'informations. Il se fondera sur le système qui fait actuellement l'objet d'un essai pilote et tiendra compte des résultats lors de l'adoption du droit d'exécution.

L'al. 7, enfin, prévoit que le Conseil fédéral doit mettre fin à l'exploitation du système TP dès que ce dernier n'est plus requis pour lutter contre l'épidémie de COVID-19 et que la poursuite de son exploitation ne se justifie plus au regard du principe de proportionnalité. Toutefois, une interruption n'empêcherait pas, pendant la durée de validité limitée de cette disposition, de remettre le système en service en cas de nouvelle flambée de l'épidémie de COVID-19.

Art. 62a

Liaison du système TP pour le coronavirus avec des systèmes étrangers

Le système TP devra pouvoir être utilisé aussi bien par les personnes se rendant à l'étranger que par celles rentrant en Suisse (cf. utilisation transfrontalière au ch. 3.2).

Si l'interopérabilité est assurée, il n'est pas exclu que les données personnelles soient également transmises à l'étranger. Selon l'art. 6 LPD les données personnelles peuvent être notamment communiquées à l'étranger si la législation de l'État concerné permet d'assurer un niveau de protection adéquat de la personnalité. En l'absence d'une telle législation, cette protection peut être garantie par une convention avec l'État en question.

Il va de soi que les principes du droit de la protection des données déterminants pour le système TP suisse seront appliqués pour évaluer si la protection de la personnalité est adéquate (cf. art. 60a, al. 4). Ainsi, la technique du système suisse est conçue de manière que les données personnelles ne soient traitées que si cela est nécessaire au fonctionnement du système (privacy by design). En prenant en compte des systèmes qui se plient en particulier à ce principe, la protection de la personnalité peut être garantie également pour les utilisateurs recourant au système TP suisse à l'étranger (en le reliant à un système étranger).

Art. 80, al. 1, let. f Le Conseil fédéral peut conclure des accords internationaux concernant la liaison du système TP avec des systèmes étrangers correspondants. Les prescriptions de l'art. 62a visant la protection adéquate de la personnalité des participants doivent être respectées.

Art. 83, al. 1, let. n Les éléments constitutifs de la contrainte sont déjà définis (art. 181 CP 10) en vue de protéger la liberté de décision et d'action. Cet article permet de sanctionner toute limitation punissable de cette liberté. Aussi une disposition pénale ne s'impose-t-elle pas pour asseoir en tant que tel le principe de participation volontaire (art. 60a, al. 3, 1re phrase).

10

RS 311.0

4375

FF 2020

En vue d'éviter que des personnes soient discriminées ou favorisées en raison de leur participation ou non au système TP (cf. art. 60a, al. 3, 2e phrase), l'art. 83, al. 1, let. n, vise à garantir une protection spécifique contre les désavantages en punissant tout refus d'une prestation destinée à l'usage public.

5

Conséquences

5.1

Conséquences pour la Confédération

Conséquences financières Les coûts de développement du logiciel de l'application pour téléphone portable, du back-end GR et du système de gestion des codes ainsi que les coûts pour la gestion des accès pour les services des médecins cantonaux sont estimés à un montant unique de 1,65 million de francs. Les frais d'exploitation par tranche de 12 mois s'élèvent à environ 1,2 million de francs d'ici à la fin juin 2022. Les coûts des mesures d'accompagnement communicationnelles sont estimés à 1,95 million de francs, dont environ 80 % seront utilisés pour la diffusion et la publication d'annonces, de spots télévisés et des bannières électroniques.

Les coûts de développement du prototype du logiciel de l'application pour le téléphone portable ont été financés sur les budgets de recherche de des Écoles polytechniques fédérales de Lausanne et de Zurich. Aucun coût supplémentaire n'est à attendre pour la Confédération.

Conséquences sur l'état du personnel La Confédération n'aura pas besoin de personnel supplémentaire pour développer le système TP.

5.2

Conséquences pour les cantons et les communes, ainsi que pour les centres urbains, les agglomérations et les régions de montagne

Le système TP complète le traçage classique des contacts des services des médecins cantonaux. En retraçant et en interrompant les chaînes de contamination, il est possible de contrôler l'épidémie sans avoir de nouveau à prendre des mesures de lutte de grande ampleur. Toutes les régions de Suisse bénéficient de cette stratégie. Il faut toutefois s'attendre à ce que l'application SwissCovid soit plus utile dans les régions de grande affluence (par ex., importants flux de pendulaires) que dans les régions excentrées à faible densité de population.

Les tâches d'exécution directement liées au présent projet ne sont pas très nombreuses pour les cantons et les communes. Le système TP engendre un certain travail pour les services des médecins cantonaux pour l'émission du code d'autorisation. Le cas échéant, il faut s'attendre à des questions supplémentaires de la part de la population et des participants informés par l'application SwissCovid.

4376

FF 2020

5.3

Conséquences économiques

Suite aux mesures prises pendant la phase d'atténuation entre fin mars et début mai 2020 pour lutter contre l'épidémie de COVID-19, de nombreuses entreprises ont dû restreindre ou interrompre leurs activités commerciales. Dans le même temps, les entreprises suisses ont été touchées par une forte baisse de la demande étrangère et des perturbations dans les chaînes d'approvisionnement internationales. La perte de création de valeur pendant la phase d'atténuation est estimée à environ 25 % du PIB.

Cela correspond à des coûts économiques d'environ 15 milliards de francs par mois.

Si une deuxième vague devait se produire et entraîner des restrictions similaires de l'activité économique intérieure, les coûts économiques seraient encore plus élevés: le risque d'une forte hausse du chômage et de vagues de faillites d'entreprises augmenterait considérablement, car les réserves de liquidités des entreprises ont déjà été mises à rude épreuve et l'endettement a augmenté. Il est donc crucial que des mesures moins drastiques soient prises pour la suite de la lutte contre l'épidémie de COVID-19. Si la mise en service d'un système TP permet au Conseil fédéral de prendre des mesures moins drastiques en cas d'augmentation massive du nombre de cas, les coûts économiques de l'épidémie pourront être réduits en conséquence.

Dans le même temps, le recours au système TP peut aussi entraîner un coup économique dans la mesure où une information par l'application SwissCovid peut faire augmenter la demande de tests et, en cas de résultat positif, le nombre des mesures d'isolement ordonnées par le médecin cantonal, ce qui aurait des répercussions financières sur les employeurs (obligation de verser le salaire visée à l'art. 324a CO).

5.4

Autres conséquences

L'identification et l'interruption des chaînes d'infection pendant la phase d'endiguement visent à contrôler l'épidémie de COVID-19 afin de prévenir une augmentation massive du nombre de cas et les effets négatifs sur la santé, l'économie et la société qui en découlent. En même temps, cela peut éviter de prendre d'autres mesures de lutte d'envergure pour réduire le nombre d'hospitalisations et maintenir ainsi les capacités sanitaires.

6

Aspects juridiques

6.1

Constitutionnalité

Le projet se fonde sur l'art. 118, al. 2, let. b, Cst. Cette disposition délègue à la Confédération la compétence de légiférer sur la lutte contre les maladies transmissibles, les maladies très répandues et les maladies particulièrement dangereuses de l'être humain et des animaux.

L'art. 165 Cst. habilite le Parlement à déclarer urgentes les lois fédérales dont l'entrée en vigueur ne souffre aucun retard. Conformément à la Constitution en 4377

FF 2020

vigueur, la loi entre dans le domaine de compétence de la Confédération et est sujette au référendum facultatif (a posteriori). Seule la majorité du peuple est requise (art. 165, al. 2, et 141, al. 1, let. b, Cst.).

6.2

Compatibilité avec les obligations internationales de la Suisse

Le présent projet est compatible avec le Règlement sanitaire international et les directives de l'Organisation mondiale de la santé, ratifiés par la Suisse.

Concernant le droit à la sphère privée, le présent projet de loi répond à la Convention du 4 novembre 1950 de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH)11 et au Pacte international du 16 décembre 1966 relatif aux droits civils et politiques12 (cf. ch. 6.4).

6.3

Délégation de compétences législatives

L'art. 60a, al. 6, LEp oblige le Conseil fédéral à édicter des dispositions d'exécution réglant l'organisation et l'exploitation du système TP ainsi que le traitement des données.

6.4

Protection des données

Le système TP évite rigoureusement toute référence à une personne en recourant à des méthodes cryptographiques innovantes et à un traitement décentralisé des données. Cependant, une telle référence reste probable à au moins un point décisif du traitement des données: lors de l'information de la personne potentiellement infectée. Celle-ci pourrait, en se souvenant des contacts sociaux qu'elle a eus pendant les derniers jours, tirer des conclusions quant à l'identité de la personne infectée.

L'utilisation de l'application SwissCovid peut donc entraîner le traitement de données relatives à la santé de personnes identifiables et de données sensibles. Ainsi, la protection des droits fondamentaux et des droits de l'homme garantis par la Constitution et le droit international doit jouer un rôle central dans la conception du système TP. La protection de la sphère privée et de l'autodétermination en matière d'information en vertu des art. 13, al. 2, Cst. et 8 CEDH joue un rôle central. Le système TP et les conditions-cadres juridiques doivent être conçus de manière à éviter toute utilisation abusive de données personnelles et tout «désavantage».

L'interdiction stricte de favoriser ou défavoriser une personne en raison de sa participation ou de sa non-participation au système TP le garantit.

Par ailleurs, le traitement de données personnelles par les organes fédéraux doit reposer sur une base légale et doit être proportionné (art. 4, al. 2, et 17 LPD). La 11 12

RS 0.101 RS 0.103.2

4378

FF 2020

base légale pour la mise en service définitive et l'exploitation du système TP est créée par le présent projet de loi. Le traitement des données est conforme au principe de proportionnalité, puisque les données collectées et les références personnelles sont limitées à ce qui est absolument nécessaire pour que le système TP puisse être utilisé efficacement. Le Conseil fédéral part du principe que le système s'avèrera également proportionné en ce qu'il est propre à contribuer de façon significative au contrôle de l'épidémie actuelle de COVID-19. Le système TP fait partie des mesures d'endiguement globales (cf. ch. 1.1) et fournit un apport important pour avertir à temps les personnes exposées afin qu'elles puissent réagir de manière adéquate. On peut ainsi identifier les chaînes de transmission et bloquer, ou du moins réduire, d'autres transmissions. Sachant, en outre, que l'utilisation du système TP est volontaire et que l'on renonce autant que possible à l'utilisation de données personnelles dans son ensemble, le Conseil fédéral estime que la mesure est raisonnable.

Le PFPDT et la Commission nationale d'éthique (CNE) estiment que les principes de base suivants doivent être garantis lors de l'utilisation du système TP:

volontariat à tous les niveaux (en particulier le téléchargement et l'installation de l'application, la mise en marche de la technologie radio Bluetooth, l'utilisation des fonctions supplémentaires telles que la saisie de la preuve d'un test positif au coronavirus et l'information consécutive d'autres participants);

renonciation étendue au traitement des données d'identification personnelles;

meilleure protection possible contre les abus par des mesures techniques et organisationnelles;

limitation de l'utilisation à la durée de l'épidémie de COVID-19;

limitation de la durée de conservation des données dans la mesure nécessaire.

Les exigences du PFPDT et de la CNE ont été prises en compte dans l'architecture du système TP et dans le présent projet de loi. Le PFPDT en accompagnera et surveillera l'exploitation.

4379

FF 2020

4380