Newsletter

Vie des affaires

Covid-19

La CNIL plutôt favorable à la mise en oeuvre de l'application « StopCovid »

La CNIL a été saisie par le gouvernement au sujet de l'application « StopCovid ». Tout en se montrant favorable à sa mise en oeuvre, elle recommande toutefois au gouvernement de mettre en place des garanties suffisantes pour protéger les données personnelles des futurs usagers.

L'application « StopCovid » au coeur de la stratégie de déconfinement

Développement du dispositif « StopCovid » par le gouvernement:

Dans le contexte actuel de la crise sanitaire et plus particulièrement dans une stratégie globale de « déconfinement », le gouvernement envisage de développer l'application « StopCovid ».

Ce dispositif numérique serait disponible sur smartphones et permettrait aux personnes l'ayant téléchargé d'être informées de leur proximité avec des personnes positives au Covid-19 et du risque de transmission du virus.

Cette application serait mise en oeuvre sur la base du volontariat. Autrement dit, seules les données des personnes ayant, de leur plein gré, téléchargé l'application pourraient être utilisées à cette fin.

Saisie de la CNIL sur la conformité du dispositif « StopCovid » au RGPD

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie par le gouvernement le 20 avril 2020 sur les conditions et les modalités de mise en oeuvre de l'application « StopCovid », dans l'hypothèse de son vote et de sa future mise en oeuvre, au regard du règlement UE 2016/679 du 27 avril 2016 (RGPD) et de la loi 78-17 du 6 janvier 1978, dite « Informatique et Libertés ». Lui a notamment été posée la question de la conformité d’un tel dispositif aux règles de protection des données personnelles et, le cas échéant, des garanties supplémentaires qu’il conviendrait de prévoir.

La CNIL a rendu son avis le 24 avril 2020.

La conformité de l'application « StopCovid » au RGPD

la CNIL se montre favorable ...

La CNIL relève tout d'abord que le développement de cette application repose sur un objectif précis : celui de la stratégie sanitaire globale du déconfinement.

De plus, cette application traiterait, certes, de données liées à la santé, considérées comme des données « sensibles » (RGPD, art. 9, 1). Le traitement de ces données serait toutefois justifié par des motifs d'intérêt public dans le domaine de la santé publique et basé sur le droit de l'Union européenne, lequel prévoit que ces données peuvent être traitées dès lors que les mesures sont appropriées à la sauvegarde des droits et libertés des personnes concernées (RGPD, art. 9, 2, i).

Par ailleurs, un certain nombre de garanties semblent être apportées dans le dispositif envisagé par le gouvernement, notamment celle de l'anonymat des usagers à travers l'utilisation de pseudonymes. En effet, l'application « StopCovid » respecterait le concept de « protection des données dès leur conception » car elle utiliserait des pseudonymes et ne permettrait, ainsi, de ne pas révéler l'identité des personnes contaminées.

Selon la CNIL, le gouvernement a donc veillé, dans son projet, à ce que l'atteinte portée à la vie privée des individus utilisant l'application demeure proportionnée à l'objectif poursuivi.

En principe, rien ne fait donc obstacle à la mise en oeuvre du dispositif.

... tout en émettant certaines réserves

La CNIL émet toutefois un certain nombre de recommandations :

- l'application « StopCovid » devra avant tout garantir le respect du principe de proportionnalité ; le fonctionnement de l'application devra se traduire notamment par une collecte et une conservation des données limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte portée à la vie privée des personnes ;

- l'application ne devra, en aucun cas, avoir pour effet de surveiller le respect des mesures de déconfinement. Ce dispositif devra être mis en place comme simple mesure complémentaire intégrée dans un plan d'ensemble de lutte contre l'épidémie ;

- étant donné que l'efficacité d'une telle application est proportionnée au nombre de personnes qui l'utilisent, l'application devra être facilement accessible dans les points d'accès en ligne (« appelstore », « google play store »,...). À ce sujet, la CNIL précise que la concurrence de plusieurs applications pourrait nuire à la finalité souhaitée. Ainsi, elle préconise une seule application en France, sous l’autorité du ministère de la Santé ;

- dans la mesure où ce dispositif sera basé sur le volontariat, aucune sanction ne devra être attachée à l’absence de téléchargement et d’utilisation de l’application ;

- l'application devra respecter les droits des personnes concernées, notamment la maîtrise de leurs données personnelles (RGPD, art. 12 à 14).

CNIL, délibération 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »