Le 26 avril 2020, la CNIL a rendu un avis sur la mise en oeuvre du projet d’application “STOP Covid” développé par le gouvernement en vue d’enrayer l’épidémie du COVID-19, au regard des règles applicables en matière de protection des données.
Cette application permettrait d’informer ses utilisateurs du fait qu’ils ont été à proximité, dans un passé proche, d’un autre utilisateur diagnostiqué positif au COVID-19.
Le Premier Ministre ayant reporté le débat parlementaire prévu le 28 avril, du fait que l’application n’est pas encore finalisée, l’avis de la CNIL est donc limité aux informations qui lui ont été fournies jusqu’à présent et fera très probablement, l’objet de modification une fois le projet finalisé.
Par ailleurs au vu de certaines réserves de la CNIL au niveau, notamment, des conditions de disponibilité de l’application et de rumeurs que l’on peut lire dans la presse généraliste, le projet d’application pourrait être abandonné. En effet, cette rumeur n’est pas surprenante du fait que l’application ne serait, en réalité, pas disponible pour les Iphone (20% de la population), dû à des difficultés techniques et au fait que le gouvernement n’ait pas souhaité collaborer avec Google et Apple pour des raisons de souverainetés.
Ceci n’étant que des conjectures, nous proposons une résumé de l’avis rendu par la CNIL qui est dans la continuité des autres documents déjà publié par la Commission Européenne et le CEPD sur le sujet avec quelques légères différences d’approche.
Comment l’application fonctionne ?
Il s’agirait d’une application de « suivi de contacts » (ou «contact tracing») reposant sur la technologie « Bluetooth » permettant d’évaluer la proximité entre deux mobiles.
Cette application permettrait, par la collecte de données pseudonymes, d’établir la liste des personnes dont chaque utilisateur a été physiquement proche, pendant une durée définie, sous réserve que ces personnes aient également téléchargé l’application.
Ainsi, si un utilisateur se déclare infecté, il est alors possible de notifier les autres utilisateurs susceptibles d’avoir été infecté.
Le dispositif se compose d’une application mobile fonctionnant sous les systèmes d’exploitation Android et iOS et, d’autre part, d’un serveur central qui assurera le stockage et la transmission d’un certain nombre de données nécessaires au fonctionnement global du dispositif. Il s’agit d’un fonctionnement centralisé.
Des articles dans la presse indiquent, toutefois, que l’application, en l’état, ne fonctionnerait pas sur le système d’exploitation IOS d’Apple.
Par ailleurs, l’application serait mise en oeuvre uniquement sur la base du volontariat et ne fonctionnerait qu’avec des données pseudonymes.
Le RGPD s’applique t il ?
Bien qu’il s’agisse de traitement de données pseudonymes seulement, la CNIL considère que le RGPD s’applique pour les raisons suivantes:
- afin de pouvoir informer un utilisateur d’une exposition possible au virus, une vérification sur les serveurs implique de conserver un lien entre les pseudonymes et les applications téléchargées. Dans la mesure où chaque application sont installées sur un terminal, qui correspond généralement à une personne physique déterminée, il est alors possible d’identifier indirectement la personne.
- la collecte des pseudonymes temporaires des personnes avec lesquelles l’utilisateur a été en contact pourrait permettre de reconstituer l’ensemble des relations qu’il a eues avec d’autres utilisateurs de l’application.
Finalités du dispositif
Le dispositif consiste à pouvoir informer un utilisateur de l’application que son équipement mobile s’est trouvé à proximité, au cours des jours précédents, de celui d’une personne ayant été diagnostiquée positive au COVID-19.
L’application StopCovid n’a pas pour objet de:
- surveiller le respect de mesures de confinement ou d’autres obligations sanitaires ;
- d’organiser une prise de contact avec la personne alertée ;
- de réaliser un suivi du nombre de personnes infectées ; ou
- d’identifier les zones dans lesquelles ces personnes se sont déplacées.
Une application sur la base du volontariat
Comme indiqué ci-après, le volontariat fait partie des garantie permettant d’assurer la proportionnalité de l’intrusion dans la vie privée engendrée avec l’objectif poursuivi par le dispositif.
Toutefois, le volontariat ne doit pas se limiter au choix de télécharger, mettre en œuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au COVID-19 dans l’application) ou la désinstaller. Aucune conséquence négative ne doit être attachée à l’absence de téléchargement ou d’utilisation de l’application.
La base légale du traitement
Comme l’indique le CEPD, le fait que l’application soit mise en oeuvre sur une base volontaire, n’implique pas nécessairement que la base légale soit le consentement, d’autres bases légales pouvant coexister.
Ainsi, la CNIL estime que la mission d’intérêt public au sens de l’article 6.1.e) du RGPD constitue la base légale la plus appropriée pour le développement de l’application.
S’agissant du traitement de données relatives à la santé, le traitement peut être mis en oeuvre sur la base de motifs d’intérêt public «dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » comme prévu à l’article 9 du RGPD.
Comme l’indique le CEPD, le recours à l’intérêt public, implique l’adoption d’un loi précisant l’intérêt public poursuivi et certais détails du traitement. Dans ce cadre, la Commission recommande que le recours à un dispositif volontaire dispose d’un fondement juridique explicite et précis dans le droit national.
En ce qui concerne l’utilisation de cookies ou l’accès à des informations stockées et l’inscription d’informations dans un équipement terminal, la Commission considère que ces opérations sont strictement nécessaires à la fourniture du service de communication en ligne expressément demandé par la personne concernée et qu’elles sont donc licites sans nécessité de consentement supplémentaire.
Admissibilité de l’atteinte à la vie privée
En vertu des textes constitutionnel, du RGPD et la chartes des droits de l’homme, le gouvernement doit veiller à ce que l’atteinte portée à la vie privée demeure proportionnée à l’objectif poursuivi, notamment dans le cas où il mettre en oeuvre une loi fondée sur l’intérêt public pour justifier le traitement.
Le fait de collecter les listes de personnes que les individus ont fréquentées y porte une atteinte forte, qui ne peut, selon la CNIL, n’ être justifiée que par la nécessité de répondre à un autre principe constitutionnel, la protection de la santé.
Cela implique que les conditions suivantes soient respectées :
– la collecte et le traitement de données doivent être temporaires et limités à celle de l’utilité du dispositif.
– les données doivent être supprimées dès le moment où l’utilité de l’application ne sera plus avérée.
– le gouvernement doit pouvoir s’appuyer sur des éléments suffisants pour s’assurer de l’utilité du dispositif dans la gestion de la crise COVID-19 dont notamment les suivants :
- une proportion suffisante de la population doit pouvoir accéder à l’application et de l’utiliser dans de bonnes conditions. Or, la CNIL relève qu’une partie significative de la population ne dispose pas d’équipements mobiles adéquats ou peut éprouver des difficultés pour installer et utiliser l’application ;
- les algorithmes doivent être bien calibrés (afin d’éviter de fausses alertes ou des alertes excessives) ;
- il ne peut s’agir une mesure autonome (éviter le « solutionnisme technologique »). Le dispositif doit s’inscrire dans un dispositif plus global de sortie de crise ;
- l’impact du dispositif sur la stratégie sanitaire globale devrait être étudié et documenté de manière régulière afin de permettre aux pouvoirs publics de décider de manière éclairée son maintien.
Détails/conditions du traitement
La CNIL n’a pas fourni beaucoup de détails à ce stade mais rejoint globalement les positions du CEPD et de la Commission Européenne. Ainsi elle indique que :
– le responsable de traitement peut être le ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire ;
– une analyse d’impact sur la protection des données (AIPD) devra être réalisée et la CNIL recommande sa publication ;
– le niveau de sécurité attendu au niveau des serveurs et de l’application qui se doit d’être élevé, les mesures pour éviter l’identification des personnes via les données du mobiles (adresse MAC etc.), ainsi que des améliorations à apporter, notamment concernant l’utilisation de certaines algorythme de sécurité.
– le responsable de traitement devra fournir une information compréhensible par le plus grand nombre.
– en principe aucune restriction aux droits des personnes concernées ne doit être envisagés et les modalités de l’exercice de ces droits devront être définies.