La CNIL rend son avis sur les conditions de mise en œuvre de l’application « StopCovid »

26 mai 2020

La CNIL s’est prononcée le 25 mai 2020 sur un projet de décret relatif à « StopCovid », une application mobile mise à disposition des utilisateurs d’ordiphones (smartphones) par le Gouvernement afin de les alerter d’un risque de contamination au virus. Après son avis du 24 avril 2020 sur le principe de l’utilisation d’une telle application, elle a examiné les conditions concrètes de sa mise en œuvre. 

L’essentiel

  • La CNIL s’est prononcée lundi 25 mai 2020, en urgence, sur un projet de décret relatif à l’application mobile « StopCovid ». Cette application vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et utilisant la même application, cette proximité induisant un risque de contamination.
  • Cette saisine fait suite à l’avis rendu par la CNIL le 24 avril 2020 sur le principe même du déploiement d’une telle application. Compte tenu du contexte exceptionnel de gestion de la crise sanitaire, la CNIL avait considéré possible la mise en œuvre de « StopCovid », sous réserve qu’elle soit utile à la stratégie de déconfinement et qu’elle soit conçue de façon à protéger la vie privée des utilisateurs.
  • L’application utilisera des données pseudonymisées, sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées. La CNIL constate que ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre.
  • Afin d’assurer la pleine conformité du traitement au règlement général sur la protection des données (RGPD), elle a néanmoins émis plusieurs observations sur le projet de décret qui lui a été soumis et sur les conditions opérationnelles de déploiement de l’application.  

 

Le contexte

Dans le cadre de la stratégie globale de « déconfinement progressif », le Gouvernement a prévu la mise en œuvre de plusieurs dispositifs numériques. En particulier, la CNIL s’est prononcée le 8 mai dernier sur deux fichiers nationaux, « Contact Covid » et « SI-DEP », autorisés par la loi de prorogation de l’état d’urgence sanitaire et un décret en date du 12 mai 2020. Ces fichiers visent à assurer le dépistage, la conduite des enquêtes sanitaires et la prise en charge sanitaire des personnes atteintes du virus ou susceptibles de l’être.

En complément, le Gouvernement a souhaité mettre à disposition de la population une application mobile, disponible sur ordiphones (smartphones) et dénommée « StopCovid ». Son objectif est d’informer les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué positif au COVID-19. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth.

La CNIL s’était prononcée le 24 avril 2020 sur le principe de la mise en œuvre d’une telle application et avait formulé un certain nombre de préconisations.

L’avis de la CNIL sur les conditions de mise en œuvre de « StopCovid »

La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions.  Par ailleurs, des données à caractère personnel concernant la santé seront traitées.

Elle constate que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.

Les principales recommandations de la CNIL, formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment la responsabilité du traitement confiée au ministère en charge de la politique sanitaire, l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application, ou encore la mise en œuvre de certaines mesures techniques de sécurité.

La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus.

Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière.  

Les autres observations de la CNIL

Compte tenu de la sensibilité de l’application, la CNIL a formulé dans ce nouvel avis plusieurs recommandations complémentaires parmi lesquelles :

  • L’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles.  
  • La nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs.
  • La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.
  • Le libre accès à l’intégralité du code source de l’application mobile et du serveur.