I. - Pour la mise en œuvre du traitement mentionné à l'article 1er, sont traitées les données suivantes :
1° Une clé d'authentification partagée entre l'application et le serveur central, générée par ce serveur lors du téléchargement de l'application, qui sert à authentifier les messages de l'application ;
2° Un identifiant unique associé à chaque application téléchargée par un utilisateur, qui est généré de façon aléatoire par le serveur central et n'est connu que de ce serveur, où il est stocké ;
3° Les codes pays, générés par le serveur central ;
4° Des pseudonymes aléatoires et temporaires, qui sont transmis chaque jour par le serveur central à l'application lorsqu'elle se connecte à ce dernier ;
5° L'historique de proximité d'un utilisateur, constitué des pseudonymes aléatoires et temporaires émis via la technologie « Bluetooth » par les applications installées sur des téléphones mobiles d'autres utilisateurs qui se trouvent, pendant une durée déterminée, à une distance de son téléphone mobile telle qu'il existe un risque suffisamment significatif qu'un utilisateur qui serait positif au virus du covid-19 contamine l'autre.
Les pseudonymes aléatoires et temporaires sont collectés et enregistrés par l'application sur le téléphone mobile de l'utilisateur.
Un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l'un de l'autre ;
6° L'historique de proximité des contacts à risque de contamination par le virus du covid-19, correspondant aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne dépistée positive, pendant les quinze jours qui précèdent le transfert de l'historique de proximité.
Ces données sont transmises par les utilisateurs diagnostiqués ou dépistés positifs au virus du covid-19 qui le souhaitent au serveur central. Elles sont alors stockées sur ce serveur et sont notifiées aux applications des personnes identifiées comme contacts à risque de contamination à l'occasion de leur connexion quotidienne au serveur.
Ces personnes identifiées comme contacts à risque de contamination reçoivent alors, par l'intermédiaire de l'application, la seule information selon laquelle elles ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 au cours des quinze derniers jours ;
7° Les périodes d'exposition des utilisateurs à des personnes diagnostiquées ou dépistées positives au virus du covid-19, stockées sur le serveur central. Ces données sont collectées et enregistrées par l'application sur le téléphone mobile de l'utilisateur et stockées sur le serveur central en cas de partage par l'utilisateur de l'historique de proximité des contacts à risque de contamination par le virus du covid-19 ;
8° Les données renseignées dans l'application par les personnes diagnostiquées ou dépistées positives au virus du covid-19 qui décident d'envoyer au serveur l'historique de proximité de leurs contacts à risque :
a) La date de début des symptômes si l'utilisateur est en mesure de donner cette information ;
b) Le code aléatoire à usage unique donné par un médecin traitant à son patient suite à un diagnostic clinique positif au virus du covid-19 ou un code aléatoire à usage unique sous forme de QR-code émis par le traitement mentionné à l'article 8 du décret n° 2020-551 du 12 mai 2020 susvisé en cas d'examen de dépistage positif au virus du covid-19, en application de l'article 9 de ce même décret, afin que l'utilisateur de l'application soit autorisé par le serveur à partager son historique de proximité ;
9° Le statut « contacts à risque de contamination » de l'identifiant de l'application, qui est retenu dès lors qu'un utilisateur de l'application a été, conformément aux critères définis par l'arrêté mentionné au 5°, à proximité d'un autre utilisateur, ultérieurement dépisté ou diagnostiqué positif au virus du covid-19. Cette donnée est stockée par le serveur central, lorsqu'elle lui a été communiquée par l'utilisateur qui accepte de lui transmettre son historique de proximité des contacts à risque de contamination par le virus du covid-19 ;
10° La date des dernières interrogations du serveur central.
II. - Les données permettant l'identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement.
III. - Les sous-traitants auxquels le responsable du traitement peut recourir dans les conditions prévues à l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont accédants ou destinataires des données du traitement strictement nécessaires à l'exercice de leurs missions.