Application StopCovid : Go ou no Go ?

11 mai 2020

C’est le question brûlante du moment : faut-il autoriser l’application de tracking StopCovid du gouvernement français pour circonscrire la pandémie de Covid-19 ? Dans le cadre de l’état d’urgence sanitaire, le secrétaire d’État chargé du numérique a demandé son avis à la CNIL sur cette application de suivi de contacts dont le téléchargement et l’utilisation reposeraient sur une démarche volontaire.

Dans le contexte exceptionnel, l’autorité de régulation a estimé le 24 avril dernier que le dispositif est conforme au RGPD mais conditionne sa mise œuvre au respect de certaines garanties.

 

Les membres du collège de la CNIL se sont prononcés le 24 avril 2020.

Dans le contexte exceptionnel de gestion de crise, la CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) si certaines conditions sont respectées. Elle assure qu’un certain nombre de garanties sont apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes. La Commission rappelle que la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en œuvre du dispositif mais pose des questions inédites sur la protection de la vie privée.

 

Comment est conçu le dispositif ?

Le dispositif envisagé, StopCovid, à ce jour se compose, d’une part, d’une application mobile qui sera mise à disposition sur les équipements mobiles (notamment smartphones et tablettes) fonctionnant sous les systèmes d’exploitation Android et iOS et, d’autre part, d’un serveur central qui assurera le stockage et la transmission d’un certain nombre de données nécessaires au fonctionnement global du dispositif.

Le protocole reposerait ainsi sur un système associant à chaque application téléchargée un identifiant aléatoire permanent (pseudonyme permanent) permettant ensuite de créer plusieurs identifiants aléatoires temporaires (pseudonymes temporaires).

Le dispositif n’a pas pour objet de tracer les individus de façon continue. Néanmoins, il s’agit d’établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l’application. Une telle collecte, qui a vocation à s’appliquer à la plus grande partie de la population possible, doit être envisagée avec une grande prudence, rappelle la CNIL.

De son côté, le gouvernement s’interroge sur l’existence de données à caractère personnel traitées dans le cadre du dispositif dès lors, d’une part, que le téléchargement et l’utilisation de l’application ne requerraient pas la fourniture de données directement identifiantes (telles que nom, numéro de téléphone, adresse électronique, etc.) et, d’autre part, que l’application téléchargée, et donc son utilisateur, ne serait identifiée par le serveur central que par un pseudonyme, c’est-à-dire une donnée non identifiante par elle-même.

 

« La protection de la vie privée est garantie par la Constitution et d’autres sources de droit. Le fait de collecter les listes de personnes que les individus ont fréquentées y porte une atteinte forte, qui ne peut, le cas échéant, être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé, qui découle du onzième alinéa du préambule de la Constitution de 1946. »

Extrait délibération n°2020-046 du 24 avril 2020

 

C’est pourquoi l’autorité de régulation impose de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives, garanties au titre desquelles l’atténuation des possibilités de ré- identification constitue une mesure essentielle.

La CNIL appelle cependant à la vigilance et souligne que l’application StopCovid ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale. Elle demande certaines garanties supplémentaires. Elle insiste sur la nécessaire sécurité du dispositif, et fait des préconisations techniques.

Elle demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

 

Quel est l’avis de la CNIL

Puisque le dispositif repose sur un acte volontaire, la cnil demande qu’il n’y ait pas pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun.

La CNIL reconnaît qu’elle respecte le concept de protection des données dès la conception (privacy by design) :  l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

Après examen du protocole technique elle confirme que l’application traitera bien des données personnelles et sera soumise au RGPD.

La CNIL attire donc l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée.

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées. En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée.

La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

 

La tentation du « solutionnisme technologique »

Dans son avis, la CNIL rappelle que l’utilisation d’applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ».

Elle souligne que son efficacité dépendra :

  • de sa disponibilité dans les magasins d’application (appstore, playstore…),
  • d’une large adoption par le public
  • et d’un paramétrage adéquat

 

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement ?

la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application qui constituent un facteur déterminant de sa réussite et de son utilité et souligne que l’ensemble de précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif.

Enfin, la Commission estime opportun que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite dans le droit national.

Elle demande au gouvernement de la saisir à nouveau du projet d’application et du projet de norme l’encadrant lorsque la décision aura été prise et le projet précisé.

La CNIL restera particulièrement attentive aux suites de ce projet ainsi qu’aux conditions de mise en œuvre effectives du dispositif.

 

(source CNIL)

Dominique Cozzi, Journaliste Consultante