La CNIL s’est prononcée, lundi 25 mai 2020, sur un projet de décret relatif à l’application mobile « StopCovid », une application permettant d’informer ses utilisateurs d’un risque de contamination si elles ont été a proximité d’un autre utilisateur diagnostiqué positif au COVID-19.
Ce dispositif entre dans le cadre de la stratégie globale du Gouvernement de déconfinement progressif. Dans ce cadre, la CNIL avait déjà rendu un avis le 24 avril 2020 sur le principe du déploiement de l’application et s’était prononcée, le 8 mai 2020, sur deux fichiers nationaux, « Contact Covid » et « SI-DEP », autorisés par la loi de prorogation de l’état d’urgence sanitaire, partiellement censurée par le Conseil Constitutionnel, et un décret en date du 12 mai 2020.
La CNIL avait alors considéré possible la mise en œuvre de « StopCovid » sous réserves notamment de sa réelle utilité dans la stratégie de confinement si elle n’était pas largement accessible et utilisée.
Dans son nouvel avis, la CNIL considère que ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif peut légalement être mis en œuvre. En effet, le dispositif de suivi de contact (« contact tracing ») est temporaire et basé sur le volontariat, n’utilise que des données pseudonymisées sans recours à la géolocalisation, et ne contribuera pas à créer un fichier des personnes contaminées.
La CNIL a toutefois émis plusieurs observations sur le projet de décret qui lui a été soumis concernant notamment l’information des mineurs, le droit des utilisateurs de s’opposer et d’effacer les données ainsi que le suivi régulier de l’utilité de cette application dans la stratégie globale de confinement.
La CNIL valide le déploiement de « StopCovid »
La CNIL estime que l’application peut être légalement notamment pour les raisons suivantes:
- il s’agit d’un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et elle permet des alertes plus rapides en cas de contact avec une personne contaminée ;
- l’application respecte le concept de protection des données dès la conception du fait qu’ elle n’a pas pour objectif de créer une liste de personnes contaminées mais une liste de contacts dont les données sont pseudonymisées ;
- les principales recommandations de la CNIL, formulées dans son avis du 24 avril, ont été suivies (ex: la responsabilité du traitement a été confiée au ministère en charge de la politique sanitaire, aucune conséquence juridique négative n’est prévue en cas de refus d’utiliser l’application et certaines mesures techniques de sécurité seront mises en place).
La CNIL émet quelques observations
La CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement et sa durée de mise en œuvre du dispositif conditionnée aux résultats de cette évaluation régulière.
Par ailleurs, la Commission a formulé des recommandations complémentaires dont notamment :
- L’amélioration de l’information fournie aux utilisateurs (ex : conditions d’utilisation de l’application et des modalités d’effacement des données personnelles) ;
- L’ information spécifique des mineurs et leurs répresentants légaux ;
- La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.