STOP COVID : L’avis partagé de la CNIL

Le Secrétaire d’Etat chargé du numérique a saisi la CNIL le 20 avril dernier d’une demande d’avis concernant l’application de « contact tracing » StopCovid, souhaitant qu’elle se prononce sur le respect de cette application au Règlement général de la protection des données (RGPD), dans la mesure où un traitement de données strictement personnelles est susceptible d’être exercé dans le cadre de son déploiement.

La CNIL a alors reçu divers documents censés permettre l’analyse de l’architecture fonctionnelle et technique de l’application, et ce alors même qu’elle est toujours en phase de développement.

L’objectif du dispositif est le suivant : alerter les personnes qui ont installé l’application StopCovid sur leur smartphone qu’elles ont été en contact avec une autre personne (dotée de cette même application) qui a été diagnostiquée positive au Covid-19. Il est précisé cette application reposerait sur l’utilisation de la technologie Bluetooth pour ce traçage, sans recours aux données de géolocalisation plus intrusif.

La CNIL prend soin de souligner qu’elle a « pleinement conscience de la gravité de la situation » et que l’application s’inscrit dans une démarche de stratégie sanitaire globale pour endiguer la pandémie et gérer la période de déconfinement à venir. Il n’en reste pas moins que la protection de la vie privée des personnes reste un enjeu fondamental dont l’application StopCovid doit garantir le respect.

L’autorité de contrôle confirme en premier lieu l’applicabilité des dispositions du RGPD en ce que l’application traite bien des données personnelles. Elle relève en outre qu’une concordance existe entre les pseudonymes attribués aux utilisateurs et l’application, qui est téléchargée sur un terminal qui renvoie à une personne physique identifiée.

Dès lors, il y a bien traitement de données personnelles et le RGPD est bien applicable. Le dispositif doit donc présenter des garanties suffisantes et adaptées de protection de la vie privée de ses futurs utilisateurs.

La CNIL s’est ensuite penchée sur les divers points englobés par la demande d’avis qui lui a été soumise :

  • D’une part, elle relève que la finalité du traitement qui est d’alerter les personnes potentiellement contaminées et non de surveiller le respect du confinement comme cela a pu être observé dans d’autres pays, est limitée et précise.
  • D’autre part, l’utilisation de l’application s’inscrit uniquement dans une démarche volontaire de ses utilisateurs, duquel découle un consentement libre et éclairé, aucune conséquence négative ne pouvant être mise en œuvre quel que soit leur choix. Ainsi, l’accès aux transports ou la possibilité de sortir sans son téléphone mobile ne doivent pas être conditionnés par l’installation de l’application.

Par ailleurs, la CNIL se prononce sur le respect du principe de proportionnalité en deux temps :

  • En premier lieu, la collecte et la conservation des données doivent être limitées à ce qui est strictement nécessaire, ce qui implique une durée limitée du dispositif et une suppression des données dès lors qu’il n’a plus d’utilité au regard de l’objectif poursuivi.
  • En second lieu, le gouvernement doit disposer d’éléments lui permettant d’estimer que l’application est utile à la gestion de la crise et à la sortie du confinement.

Sur ce point, la CNIL soulève des limites importantes et intrinsèques au dispositif tenant à divers points parmi lesquels :

  • La nécessité d’installation de l’application par une proportion suffisante de personnes, alors même qu’une partie de la population subit une fracture numérique, laquelle est, s’agissant essentiellement des personnes âgées, particulièrement concernée par la propagation de la maladie.
  • La concurrence actuelle des applications de suivi de contacts qui peuvent, du fait de leur existence, nuire au caractère utile et efficace du dispositif du gouvernement.
  • L’architecture même de l’application participe à la minimisation du risque d’identification de la personne infectée à l’origine de l’alerte par la personne alertée, ce qui respecte les principes du RGPD.

Elle retient enfin que la base légale la plus appropriée serait celle de la mission d’intérêt public, en accord avec l’avis n°04/2020 du 21 avril 2020 du Comité européen de la protection des données.

Dans son rôle de conseil, la CNIL décrit ses attentes, dans l’hypothèse où cette application viendrait à être mise en œuvre :

  • Elle souhaite qu’une étude d’impact du dispositif soit menée afin d’évaluer son efficacité, et que des précautions techniques soient mises en œuvre afin de minimiser l’identification des personnes infectées par les personnes côtoyées ayant reçu l’alerte.
  • Elle demande expressément à être saisie de nouveau à l’issue du débat parlementaire dans le cas où il serait décidé de recourir à ce dispositif, pour qu’elle soit en mesure de statuer sur les modalités de sa mise en œuvre effective.

Pour finir, des éclaircissements sont apportés au gouvernement par le biais de cet avis, tenant par exemple à la désignation d’un responsable de traitement dont le niveau d’expertise permettrait la gestion de ces données sensibles ; ou à la sécurisation des données qui doit faire l’objet de mesures techniques et organisationnelles « de très haut niveau ».

C’est notamment par le respect de l’ensemble de ces conditions que l’application StopCovid pourrait être respectueuse de la protection des données personnelles.