le 16/06/2020

La CNIL rend son avis sur les conditions de mise en œuvre de l’application « StopCovid »

Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid »

Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »

 

La CNIL (Commission nationale informatique et liberté) s’est prononcée le 25 mai 2020 sur un projet de décret relatif à l’application mobile « StopCovid », disponible sur smartphones et mise en œuvre par le Gouvernement afin d’alerter les utilisateurs d’un risque de contamination au virus.

Dans un avis du 24 avril 2020 (commenté dans une précédente LAJ), la CNIL s’était prononcée sur le principe de la mise en œuvre d’une telle application et avait formulé certaines recommandations. Dans l’avis du 25 mai, la CNIL se prononce sur des dispositions précisées ou modifiées et sur la concrète mise en œuvre de ce dispositif prévu par le projet de décret, accompagné de l’analyse d’impact sur la protection des données.

Pour rappel, cette application vise à informer les personnes qui ont consenti à son utilisation, qu’elles ont été à proximité de personnes diagnostiquées positives au Covid-19 et utilisant la même application, cette proximité induisant un risque de contamination.

La CNIL a été saisie en urgence le 15 mai 2020 par le ministre des solidarités et de la santé, d’une demande d’avis concernant un projet de décret relatif à l’application « StopCovid » et la conformité du traitement des données au règlement (UE) 2016/679 du 15 avril 2016 (RGPD) et à la loi « Informatique et Libertés ».

Dans un premier temps, la Commission rappelle que le dispositif doit être nécessaire et proportionné et que face à la situation exceptionnelle, cette application tend à répondre aux actions menées par le Gouvernement pour lutter contre l’épidémie. Elle relève également que le fait d’instaurer un tel dispositif, qui enregistre de manière automatique les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible que dans certaines conditions.

La CNIL relève également qu’aucune liste de contacts contaminés ne sera créée, mais simplement une liste de contacts avec des données pseudonymisées. Cette disposition vise à protéger les données dès la conception de l’application et avant toute utilisation.

Concernant les recommandations émises de la part de la CNIL dans son précédent avis, il semblerait que le Gouvernement les ait en partie suivies. La responsabilité du traitement est confiée au Ministre chargé de la politique sanitaire. Aucune sanction ne peut être infligée à une personne qui ne souhaite installer l’application. Enfin, concernant la durée de mise en œuvre du dispositif, celle-ci sera conditionnée par les résultats obtenus lors d’évaluations régulières.

Globalement, la CNIL estime que l’application peut être déployée dans la mesure où elle intervient comme un complément au dispositif d’enquêtes sanitaires manuelles et que les alertes sont émises plus rapidement en cas de contact avec n’importe quelle personne contaminée.

La CNIL relève cependant que l’utilité du dispositif n’est pas réellement démontrée et que celle-ci doit être plus profondément étudiée.

En revanche, la CNIL émet plusieurs recommandations.

Elle relève d’une part, que les utilisateurs ne sont pas suffisamment informés des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles et d’autre part, qu’il est nécessaire de délivrer une information spécifique en fonction des populations, notamment des mineurs et des parents de mineurs.

Concernant le droit d’opposition et d’effacement des données pseudonymisées, le décret devait préciser les modalités d’exercice des droits reconnus par le RGPD.

Enfin, la CNIL semble favorable à ce que l’intégralité du code source de l’application mobile et du serveur soit accessible.

C’est par un décret n° 2020-650 du 29 mai 2020, entré en vigueur le 30 mai 2020, que le gouvernement a décidé de la mise en œuvre de l’application. Ce décret détermine les finalités du traitement de données à caractère personnel mis en œuvre, les catégories de données enregistrées, les destinataires de ces données, la durée de leur conservation, les modalités d’exercice des droits des personnes concernées. Cette application est téléchargeable à compter du 2 juin 2020.