Comme annoncé sur son site, la CNIL s’est prononcée le 25 mai 2020 sur un projet de décret relatif à « StopCovid », une application mobile mise à disposition des utilisateurs d’ordiphones (smartphones) par le Gouvernement afin de les alerter d’un risque de contamination au virus. Après son avis du 24 avril 2020 sur le principe de l’utilisation d’une telle application, elle a examiné les conditions concrètes de sa mise en œuvre.
Dans le cadre de la stratégie globale de « déconfinement progressif », le Gouvernement a prévu la mise en œuvre de plusieurs dispositifs numériques. En particulier, la CNIL s’est prononcée le 8 mai dernier sur deux fichiers nationaux, « Contact Covid » et « SI-DEP », autorisés par la loi de prorogation de l’état d’urgence sanitaire et un décret en date du 12 mai 2020. Ces fichiers visent à assurer le dépistage, la conduite des enquêtes sanitaires et la prise en charge sanitaire des personnes atteintes du virus ou susceptibles de l’être.
En complément, le Gouvernement a souhaité mettre à disposition de la population une application mobile, disponible sur ordiphones (smartphones) et dénommée « StopCovid ». Son objectif est d’informer les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué positif au COVID-19. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth.
La CNIL s’était prononcée le 24 avril 2020 sur le principe de la mise en œuvre d’une telle application et avait formulé un certain nombre de préconisations.
L’avis de la CNIL sur les conditions de mise en œuvre de « StopCovid »
La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions. Par ailleurs, des données à caractère personnel concernant la santé seront traitées. Elle constate que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.
Les principales recommandations de la CNIL, formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment la responsabilité du traitement confiée au ministère en charge de la politique sanitaire, l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application, ou encore la mise en œuvre de certaines mesures techniques de sécurité.
La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus.
Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière.
Les autres observations de la CNIL
Compte tenu de la sensibilité de l’application, la CNIL a formulé dans ce nouvel avis plusieurs recommandations complémentaires parmi lesquelles :
- L’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles.
- La nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs.
- La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.
- Le libre accès à l’intégralité du code source de l’application mobile et du serveur.
Pour prendre connaissance de la délibération de la CNIL, cliquez ICI
Publié le 26 mai 2020