La Cnil a publié dimanche une décision portant avis sur le projet d’application mobile dénommée « StopCovid ».

Pour rappel, l’application concernée doit être développée et mise à dispositions des usagers afin d’alerter ses utilisateurs lorsque ceux-ci ont été à proximité d’une personne diagnostiquée positive au Covid-19. Elle nécessite que la personne diagnostiquée ait elle-même téléchargé l’application et renseigné son diagnostic.

Elle fonctionne par Bluetooth plutôt que par géolocalisation et repose sur une démarche volontaire de la part des utilisateurs.

En raison de la nature des données concernées, la Cnil a été saisie d’une demande d’avis par le secrétaire d’État chargé du numérique concernant :
 L’existence ou non, si l’application devait être déployée, d’un traitement de données à caractère personnel au sens du Règlement général sur la protection des données (RGPD) et de la loi dite « Informatique et Libertés » ;
 L’identification de la base légale d’un tel traitement ;
 La conformité d’un tel dispositif aux règles de protection des données personnelles, en mentionnant le cas échéant des garanties supplémentaires devant être prévues.

Les membres du collège de la Cnil estiment dans leur avis que le dispositif constitue bien un traitement de données.

En l’état des informations à leur disposition et au regard des circonstances, les membres du collège de la Cnil estiment que le dispositif serait conforme au RGPD, à la condition du respect de certaines conditions.

Tout d’abord, la Cnil relève que l’usage de l’application est volontaire et qu’un dispositif de pseudonymisation a été mis en place afin d’apporter des garanties aux personnes concernées.

Notamment, la Cnil considère les personnes qui n’utiliseront pas l’application ne s’exposeraient pas à des conséquences négatives (refus d’accès aux transports en commun par exemple). L’utilisation sur la base du volontariat serait donc garantie en l’absence de conséquences négatives à une non-utilisation.

Elle souligne par ailleurs que les protections prises garantissent la minimisation du risque d’identification des personnes physiques associées aux données stockées (personnes contaminées et personnes à prévenir). Il ne sera ainsi normalement pas possible de créer de listes des personnes contaminées ayant utilisé « StopCovid ».

En complément, la Cnil retient que l’application serait déployée pour répondre à une finalité limitée à : « l’alerte de personnes exposées au risque de contamination ». L’application ne devrait pas être utilisée afin de surveiller les déplacements des personnes, vérifier le respect du confinement ou celui des mesures de distanciation sociale.

Les membres du collège de la Cnil émettent cependant un certain nombre de réserves et de recommandations dont la mise en œuvre serait susceptible d’améliorer le respect des droits et libertés des personnes dans le cadre de ce traitement.

Tout d’abord, la Cnil estime essentiel de définir un fondement légal explicite relatif à l’utilisation et au fonctionnement de l’application, dans le droit national.

En effet, si la Commission considère que la notion de : « mission d’intérêt public », au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés », constitue une base légale acceptable au traitement envisagé, elle rappelle que le RGPD requiert que la mission d’intérêt public visée dispose d’une assise juridique formalisée par une norme du droit national.

La Cnil souligne à cette occasion l’importance de mettre en place dispositif clair et d’un fonctionnement transparent afin de rassurer les utilisateurs éventuels et de conduire à un nombre plus important de téléchargements et d’utilisation, conditions essentielles de son efficacité.

A ce titre, la Cnil relève que l’application ne sera pleinement efficace et que si un nombre suffisant de personnes l’utilise, ce qui conduit à privilégier un nombre limité d’applications similaires.

Elle souligne l’importance de l’adoption du dispositif par un nombre étendu de personnes. En conséquence, elle rappelle que certaines des personnes les plus fragiles et exposées (enfants et personnes âgées) ne disposent pas nécessairement des équipements permettant un usage de l’application.

Par ailleurs, la Cnil recommande que, s’agissant d’une décision automatisée d’information des personnes concernées, celles-ci puissent échanger avec du personnel qualifié en cas de notification de croisement d’une personne contaminée.

Enfin, la Cnil souligne l’importance d’une réponse sanitaire globale dans laquelle l’application constituerait une mesure de complément.

En matière de sécurité, la Cnil recommande que les mesures techniques et organisationnelles du plus haut niveau soient mises en œuvre. Elle attire également l’attention du gouvernement sur la nécessité de respecter les préconisations et recommandations de l’ANSSI, notamment en matière de clé de chiffrement et d’algorithme adaptés

En tout état de cause, la Cnil considère qu’une analyse d’impact doit être réalisée et que les modalités d’exercice des droits des personnes concernées doivent être prévues et intégrées à l’application.

Elle demande également des garanties supplémentaires, notamment au regard des éventuelles conséquences négatives d’une banalisation des applications d’identification et de suivi.

Dans tous les cas, l’avis rendu est provisoire.

La Cnil a en effet demandé à être saisie à nouveau « du projet d’application et du projet de norme l’encadrant lorsque la décision aura été prise ». En cas de vote du déploiement de l’application par le Parlement, la Cnil souhaite pouvoir en évaluer la version définitive.

Source : Délibération n° 2020-046 du 24 avril 2020 portant avis sur un
projet d’application mobile dénommée « StopCovid»