Publication de l’avis de la CNIL sur le projet d’application mobile « StopCovid »

26 avril 2020

Dans le cadre de l’état d’urgence sanitaire lié à l’épidémie de COVID-19, et plus particulièrement de la stratégie globale de « déconfinement », la CNIL a été saisie d’une demande d’avis par le secrétaire d’État chargé du numérique. Celle-ci concerne l’éventuelle mise en œuvre de « StopCovid » : une application de suivi de contacts dont le téléchargement et l’utilisation reposeraient sur une démarche volontaire. Les membres du collège de la CNIL se sont prononcés le 24 avril 2020.

Dans le contexte exceptionnel de gestion de crise, la CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) si certaines conditions sont respectées. Elle relève qu’un certain nombre de garanties sont apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes.

La CNIL appelle cependant à la vigilance et souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale. Elle demande certaines garanties supplémentaires. Elle insiste sur la nécessaire sécurité du dispositif, et fait des préconisations techniques.

Elle demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Un dispositif d’alerte fondé sur le volontariat

Conçue dans des circonstances exceptionnelles, l’application StopCovid a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur un usage volontaire, et permet la « recherche de contacts » (« contact tracing »), grâce à l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus. Il s’agit donc d’alerter les personnes, utilisant l’application et exposées au risque de contamination.

L’avis de la CNIL

L’usage de l'application envisagée par le gouvernement est volontaire. La CNIL précise que cela implique qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. En outre, la CNIL reconnaît qu’elle respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

L’analyse du protocole technique par la Commission confirme cependant que l’application traitera bien des données personnelles et sera soumise au RGPD. Elle attire l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée.

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées. En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL rappelle que l'utilisation d'applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ». Elle souligne que son efficacité dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

Enfin, la Commission estime opportun que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite dans le droit national. Elle demande au gouvernement de la saisir à nouveau du projet d’application et du projet de norme l’encadrant lorsque la décision aura été prise et le projet précisé.

La CNIL restera particulièrement attentive aux suites de ce projet ainsi qu’aux conditions de mise en œuvre effectives du dispositif.