le 14/05/2020

La CNIL rend un avis attendu sur le projet d’application mobile « StopCovid »

Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919)

La conciliation entre les applications de « contact tracing » et les libertés publiques a été étudiée dans la LAJ du mois d’avril à la suite de l’audition de Marie-Laure Denis, présidente de la CNIL, le mercredi 8 avril 2020 devant la Commission des lois de l’Assemblée Nationale. La présidente a relevé notamment que, dans le cadre de la mise en place de ce type d’applications de suivi, celui-ci devait reposer sur le volontariat et qu’il était nécessaire que le dispositif veille à garantir la protection des données. 

En période de crise sanitaire et dans la perspective proche d’un déconfinement, le Gouvernement souhaite développer une application dénommée « StopCovid » disponible sur smartphones et autres équipements mobiles. Cette application viserait à informer les personnes l’ayant téléchargée du fait qu’elles ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au Covid 19 si celles-ci ont, elles-mêmes, téléchargé et renseigné l’application. 

C’est dans ce contexte que la CNIL a rendu son avis sur la mise en œuvre de l’application mobile StopCovid sur demande d’avis du Secrétaire d’Etat chargé du Numérique. Il s’agissait pour les membres du Collège de la CNIL de se questionner sur la potentielle mise en œuvre d’une application de suivi de contact, dont le téléchargement et l’utilisation reposerait sur une démarche volontaire. L’avis a été rendu le 24 avril et publié le 26 avril 2020. 

La Commission estime que « l’application peut être déployée, conformément au Règlement général de la protection des données (RGPD), si son utilité pour la gestion de crise est suffisamment avérée et si certaines garanties sont apportées ». 

La CNIL semble accorder un oui de principe à la mise en œuvre de l’application sanitaire globale. Elle soulève cependant certaines difficultés et demande des garanties plus précises et notamment pouvoir se prononcer à nouveau après la tenue du débat au Parlement afin d’examiner les modalités définitives de mise en œuvre du dispositif avant de décider d’y recourir. La formulation de son avis montre bien, d’une part, qu’il lui est impossible de se prononcer fermement en l’absence d’un dispositif technique précis et, d’autre part, qu’elle identifie immédiatement la question de l’efficacité de ce type d’application pour prévenir la diffusion du virus. 

Suivant en cela un raisonnement classique, la CNIL s’est dans un premier temps attachée à définir si les données collectées avaient un caractère personnel.  

Deux mécanismes interviennent au sein de ce dispositif : une application mobile et un serveur central qui assure le stockage et la transmission d’un certain nombre de données. La Commission retient qu’il s’agirait de données à caractère personnel dans la mesure où le serveur central doit vérifier la concordance entre les pseudonymes attribués lors de l’installation et ceux transmis au serveur central par l’application d’une autre personne reconnue comme positive. Or, il est indéniable qu’il existe un lien entre les pseudonymes et les applications téléchargées. La Commission relève également que la collecte des pseudonymes temporaires des personnes avec lesquelles l’utilisateur a été en contact pourrait permettre de reconstituer l’ensemble des relations qu’il a eues avec les autres utilisateurs de l’application. Ce dispositif doit par conséquent être soumis aux règles de protection des données à caractère personnel.  

En présence de traitement de données à caractère personnel, la question du choix de la base légale a été étudiée par la CNIL dans un deuxième temps.  

L’article 6 du RGPD et l’article 5 de la loi Informatique et Libertés prévoient que le traitement de données à caractère personnel n’est possible que dans certaines hypothèses et pour certains motifs limitativement énumérés, qui constituent les bases légales possibles du traitement. En l’occurrence, le Gouvernement envisage deux bases légales : le consentement de ces utilisateurs, ou, à défaut, l’existence d’une mission d’intérêt public de lutte contre l’épidémie de Covid 19. La Commission rappelle qu’aucune hiérarchie n’est établie entre les différentes bases légales et que, dans le cas où il en existe plusieurs, le responsable de traitement ne doit en retenir qu’une seule. En l’espèce, la Commission privilégie la mission d’intérêt public au sens de l’article 6. 1. e) du RGPD et 5.5° de la loi Informatique et Libertés. Concernant l’accès à des informations stockées et l’inscription d’informations dans un équipement terminal de communication électronique des personnes concernées, la Commission les considère licites, car strictement nécessaires à la fourniture du service de communication en ligne. 

Dans un troisième temps, la CNIL réaffirme la nécessité d’une démarche volontaire.  

En effet, la Commission relève que le projet, notamment le téléchargement et l’utilisation, repose sur une démarche volontaire. Elle relève que le caractère volontaire de l’usage et une transparence renforcée quant au mode de fonctionnement et aux finalités de traitement est un élément déterminant pour assurer la confiance dans le dispositif et favoriser son adoption par la population. La Commission soulève que le volontariat doit être plus large que le simple choix pour l’utilisateur de télécharger, puis mettre en œuvre l’application ou la faculté de la désinstaller. Il est nécessaire de relever que le volontariat ne peut avoir aucune conséquence négative si un individu ne souhaite pas télécharger ou utiliser l’application. En pratique, il ne devrait pas être limité dans ses déplacements, notamment dans l’accès à certains services et un individu ne peut voir sa liberté d’aller et venir limitée par la possession d’un équipement mobile. Les Institutions et les employeurs ne peuvent intervenir pour imposer l’utilisation de cette application, au risque d’être qualifié de discrimination. 

Dans un quatrième temps, la CNIL a souhaité mettre en balance le risque d’atteinte à la vie privée et le dispositif envisagé par l’application de suivi de contacts.  

La vie privée est protégée constitutionnellement par l’article 2 de la Déclaration des droits de l’Homme et des citoyens, des protections conventionnelles ainsi que des protections plus spécifiques telles que le RGPD. Il s’avère qu’aux vues du contexte actuel, le gouvernement doit veiller à ce que l’atteinte portée à la vie privée par la collecte de données demeure proportionnée à l’objectif poursuivi. A cette fin, la Commission encourage une conservation limitée des données au regard des finalités exposées. Elle insiste également sur la nécessité de supprimer ces données une fois que l’utilité de l’application n’est plus avérée. De plus, la Commission retient que ce type de dispositif peut potentiellement aider les autorités publiques à surveiller et contenir une pandémie, cependant certaines limites sont relevées.  

L’efficacité d’un tel dispositif dépend du nombre d’utilisateurs et que cette application soit disponible avec l’ensemble des équipements téléphoniques. De plus, cette effectivité repose également sur une adoption conséquente par la population du dispositif et la confiance de celle-ci. Or, il est à noter que les personnes les plus vulnérables, ainsi que les jeunes n’ont pas nécessairement le matériel adapté. Enfin, certains utilisateurs peuvent avoir téléchargé l’application mais ne déclarent pas être malades en l’absence de manifestation des symptômes (ou inversement, certains ont vite tendance à considérer qu’ils sont atteints dès que des symptômes, réels ou ressentis, apparaissent). Or, les doutes qu’on peut légitimement émettre sur l’efficacité du dispositif sont un point de fragilité incontournable dans la mesure où la collecte de données personnelles, d’autant plus lorsqu’il s’agit d’informations sensibles comme l’état de santé où la géolocalisation, n’est permise que pour autant que la finalité ait quelque chance d’être atteinte. 

Concernant la mise en place d’un dispositif de suivi individualisé, la Commission considère qu’elle ne peut intervenir qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale. Ce type de dispositif ne doit pas mener au « solutionnisme technologique ». Il s’agit d’inscrire ce dispositif dans un plan d’ensemble. L’impact du dispositif doit être régulièrement étudié et documenté. 

Dans un cinquième temps, la Commission, qui ne dispose pas encore de tous les éléments quant à la mise en œuvre de l’application, se questionne sur sa conformité au RGPD. 

La Commission rappelle qu’il est nécessaire d’identifier le responsable de traitement qui sera responsable du respect des règles en matière de protection des données à caractère personnel et considère qu’une autorité sanitaire impliquée dans la gestion de la crise et assure la responsabilité. La Commission considère qu’au vu des données collectées, une analyse d’impact sur la protection des données doit être effectuée. La Commission considère que dans les lieux à forte concentration de personnes, des « faux positifs » peuvent être générés, ce qui peut conduire à assimiler proximité et contagion et induire les personnes en erreur. Il faut donc veiller à ce que ces faux positifs ne puissent pas être pris en compte. L’exactitude des données doit être maintenue, sous peine de remise en cause de la conformité du traitement. 

Dans un sixième temps, la CNIL opère un contrôle sur la sécurité des données collectées. 

La sécurité des données constitue une pierre angulaire de la mise en œuvre du dispositif. Cette garantie de sécurité doit être permanente et s’exercer tout au long de la mise en œuvre de l’application. La Commission relève quatre points qui tendent à être explicités par le responsable du traitement lors de la présentation et de la mise en œuvre de l’application. La première remarque porte sur la mise en œuvre d’un serveur chargé de la centralisation des identifiants des personnes exposées. Des mesures de sécurité techniques et organisationnelles doivent tendre à éviter tout détournement de la finalité souhaité. Les clés de chiffrement permettant l’accès aux identifiants des personnes concernée doivent être protégées par des modules de sécurité matériels, ainsi que des tiers de confiance indépendants. La deuxième remarque impose que des mesures doivent être prises à la fois dans le serveur central et dans l’application. Cette mesure tend à éviter qu’un lien soit créé ente les pseudonymes temporaires et les informations spécifiques au terminal lié à la technologie Bluetooth permettant d’identifier les utilisateurs. La troisième remarque porte sur la nécessité d’adopter des algorithmes cryptographiques visant à assurer l’intégrité et la confidentialité des échanges. Enfin, la Commission relève que le dispositif ne permet pas de limiter la collecte des données personnelles, en ce qu’aucun mécanisme d’encadrement n’est prévu. Cependant, il appartiendra au Ministre de la Santé de mettre en place un mécanisme visant à lutter contre un risque d’attaque.  

En dernier lieu, la Commission insiste sur le nécessaire respect des droits des personnes dans la protection de leurs données à caractère personnel. La Commission insiste sur le fait qu’une information adaptée doit être mise en œuvre (articles 12 et 14 du RGPD). La population doit être en mesure d’accéder à certaines informations et avoir une confiance certaine dans cette application pour que le nombre d’utilisateurs soit le plus élevé possible. De plus, la Commission relève que malgré la situation exceptionnelle, les individus peuvent exercer les droits qui leurs sont consacrés aux titres des articles 12 à 22 du RGPD.  

La présence de données à caractère personnel ne fait pas obstacle, par principe à la mise en œuvre du dispositif. Il sera cependant nécessaire de prévoir des garanties adaptées d’autant plus fortes, ce qui n’a pas été précisé à l’Assemblée nationale le mardi 28 avril 2020 lors de la présentation du plan de déconfinement.