STOPCOVID : L’avis partagé de la CNIL

Le Secrétaire d’Etat chargé du numérique a saisi la CNIL le 20 avril dernier d’une demande d’avis concernant l’application de « contact tracing » StopCovid, souhaitant qu’elle se prononce sur le respect de cette application au Règlement général de la protection des données (RGPD), dans la mesure où un traitement de données strictement personnelles est susceptible d’être exercé dans le cadre de son déploiement.

La CNIL a alors reçu divers documents censés permettre l’analyse de l’architecture fonctionnelle et technique de l’application, et ce alors même qu’elle est toujours en phase de développement.

STOPCOVID : Qu’est-ce que c’est ?

L’objectif du dispositif est le suivant : alerter les personnes qui ont installé l’application StopCovid sur leur smartphone qu’elles ont été en contact avec une autre personne (dotée de cette même application) qui a été diagnostiquée positive au Covid-19. Il est précisé cette application reposerait sur l’utilisation de la technologie Bluetooth pour ce traçage, sans recours aux données de géolocalisation plus intrusif.

Que pense la CNIL de STOP COVID ?

Traiter les données oui, mais avec respect et utilité

La CNIL prend soin de souligner qu’elle a « pleinement conscience de la gravité de la situation » et que l’application s’inscrit dans une démarche de stratégie sanitaire globale pour endiguer la pandémie et gérer la période de déconfinement à venir. Même si les finalités des traitements de données qu’impliquent l’application sont louables, il n’en reste pas moins que la protection de la vie privée et des libertés individuelles des personnes reste un enjeu fondamental dont l’application StopCovid doit garantir le respect.

L’autorité de contrôle confirme l’applicabilité des dispositions du RGPD en ce que l’application consiste bien en un traitement des données personnelles, des données de localisation étant collectées & traitées. Elle relève en outre qu’une concordance existe entre les pseudonymes attribués aux utilisateurs et l’application, qui est téléchargée sur un terminal qui renvoie à des personnes physiques identifiées.

Dès lors, il y a bien traitement de données personnelles (même s’il ne s’agit pas de données particulièrement sensibles ex. :  transferts) et le RGPD est bien applicable. Le dispositif doit donc présenter des garanties suffisantes et adaptées de protection de la vie privée et la protection des données à caractère personnel de ses futurs utilisateurs, qui doivent pouvoir garder un droit de regard sur leurs données.

De plus, les droits des personnes concernées (effacement, information, rectification …) par ces traitements, et prévus par le RGPD, doivent être pris en compte et eux aussi strictement respectés.

Précision sur STOP COVID

La CNIL précise certains point techniques, juridiques, et organisationnels concernant l’implantation de STOP COVID

  • La finalité du traitement est d’alerter les personnes potentiellement contaminées et non de surveiller le respect du confinement comme cela a pu être observé dans d’autres pays, est limitée et précise.
  • L’utilisation de l’application s’inscrit uniquement dans une démarche volontaire de ses utilisateurs, duquel découle un consentement libre et éclairé, aucune conséquence négative ne pouvant être mise en œuvre quel que soit leur choix. Ainsi, l’accès aux transports ou la possibilité de sortir sans son téléphone mobile ne doivent pas être conditionnés par l’installation de l’application.
  • La collecte et la conservation des données doivent être limitées à ce qui est strictement nécessaire, ce qui implique une durée limitée du dispositif et une suppression des données dès lors qu’il n’a plus d’utilité au regard de l’objectif poursuivi, de la part du responsable du traitement.
  • Le gouvernement doit disposer d’éléments lui permettant d’estimer que l’application est utile à la gestion de la crise et à la sortie du confinement

STOP COVID : Quelle base Légale ?

Elle retient enfin que la base légale la plus appropriée serait celle de la mission d’intérêt public, en accord avec l’avis n°04/2020 du 21 avril 2020 du Comité européen de la protection des données.

Dans son rôle de conseil, la CNIL décrit ses attentes, dans l’hypothèse où cette application viendrait à être mise en œuvre :

  • Elle souhaite qu’une étude d’impact du dispositif soit menée afin d’évaluer son efficacité, et que des précautions techniques soient mises en œuvre afin de minimiser l’identification des personnes infectées par les personnes côtoyées ayant reçu l’alerte.
  • Elle demande expressément à être saisie de nouveau à l’issue du débat parlementaire dans le cas où il serait décidé de recourir à ce dispositif, pour qu’elle soit en mesure de statuer sur les modalités de sa mise en œuvre effective.

Pour finir, des éclaircissements sont apportés au gouvernement par le biais de cet avis, tenant par exemple à la désignation d’un responsable de traitement dont le niveau d’expertise permettrait la gestion de ces données sensibles ; ou à la sécurisation des données qui doit faire l’objet de mesures techniques et organisationnelles « de très haut niveau ».

C’est notamment par le respect de l’ensemble de ces conditions que l’application StopCovid pourrait être respectueuse de la protection des données personnelles.

StopCovid après son lancement, les pour et les contre

StopCovid en France et à l’étranger : Pour ou contre ?

STOP COVID : Les limites du projet

La CNIL soulève des limites importantes et intrinsèques au dispositif tenant à divers points parmi lesquels :

  • La nécessité d’installation de l’application par une proportion suffisante de personnes, alors même qu’une partie de la population subit une fracture numérique, laquelle est, s’agissant essentiellement des personnes âgées, particulièrement concernée par la propagation de la maladie.
  • La concurrence actuelle des applications de suivi de contacts qui peuvent, du fait de leur existence, nuire au caractère utile et efficace du dispositif du gouvernement.
  • L’architecture même de l’application participe à la minimisation du risque d’identification de la personne infectée à l’origine de l’alerte par la personne alertée, ce qui respecte les principes du RGPD.