La CNIL rend son avis sur le projet gouvernemental d’application StopCovid

Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »

L’utilisation des technologies comme moyen de lutte contre la propagation du Covid-19 a rapidement été envisagée. Il fut d’abord question d’utiliser les données de localisation des téléphones portables, à un niveau agrégé, afin d’étudier les mouvements de population et, partant, la propagation du virus. L’idée d’une application mobile dite de « suivi des contacts » (contact tracing), qui permettrait d’alerter les personnes s’étant trouvée à proximité d’un individu infecté par le Covid-19, fait aujourd’hui l’objet d’un chantier à part entière dans le cadre du plan gouvernemental de « déconfinement » de la population.

C’est dans ce contexte que la CNIL a été saisie par le Secrétaire d’Etat chargé du numérique afin de rendre son avis sur le projet d’application.

Plus précisément, le gouvernement a interrogé la CNIL sur trois points :

  • L’existence ou non d’un traitement de données à caractère personnel dans le cadre de la mise en œuvre de l’application StopCovid ;

Le cas échéant :

  • La conformité du dispositif envisagé aux dispositions du RGPD et de la loi informatique et liberté ; et
  • Les garanties complémentaires qu’il conviendrait de prévoir.

La CNIL s’est prononcée sur chacun de ces points sur la base des éléments descriptifs du projet StopCovid transmis en l’état par le gouvernement. Les modalités de mise en œuvre de l’application sur les plans juridiques, techniques et pratique n’ayant cependant pas encore été arrêtées, l’autorité prévient qu’elle devra être à nouveau saisie lorsque le projet sera plus avancé.

Avant de répondre à chacune des questions posées par le gouvernement, la CNIL précise que le déploiement d’une telle application pose des questions inédites en matière de protection des données personnelles. Elle considère également que le fait de collecter la liste des personnes que les individus ont fréquentées porte une atteinte forte à la vie privée, qui ne pourrait être justifiée que par la nécessité de répondre à un autre principe constitutionnel, tel que la protection de la santé.

La première question posée par le gouvernement est évacuée sans difficulté par la CNIL. En effet, le fonctionnement de l’application StopCovid est basé sur la collecte et le traitement, en partie au sein d’un serveur centralisé, d’identifiants pseudonymes permanents et temporaires. Ces pseudonymes pouvant être reliés entre eux et à l’application, elle-même installée sur un terminal utilisé par une personne physique, la CNIL conclut sans surprise que le dispositif traitera bien des données personnelles.

Elle ajoute que ces données comprennent nécessairement des données concernant la santé, puisque le déclenchement d’une alerte est directement lié à l’état de santé des personnes qui se sont croisées (l’une étant infectée, et l’autre étant par conséquent susceptible de l’être aussi ou de le devenir).

La CNIL prend enfin note des mesures de sécurité prévues à ce stade pour prévenir les risques de réidentification des personnes, mais prévient que ces risques restent présents.

Les deuxièmes et troisièmes questions sont traitées ensemble par la CNIL au sein de ses développements portant sur les thèmes suivants :

  • Le volontariat: Selon la CNIL, proposer l’utilisation de l’application StopCovid sur la base du volontariat est un élément important pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population. L’autorité considère également que l’absence de volontariat porterait une atteinte bien plus considérable à la protection des données personnelles et au respect de la vie privée.

Elle estime cependant que ce principe devrait être inscrit expressément dans la loi et prévient que le volontariat signifie qu’aucune conséquence négative ne devrait être associée au fait de ne pas utiliser l’application, notamment concernant l’accès aux soins ou la possibilité de se déplacer.

  • La base légale du traitement : Le gouvernement s’interrogeait sur la possibilité de fonder les traitements effectués via StopCovid sur le consentement ou, à défaut, sur une mission d’intérêt public. La CNIL tranche pour la seconde solution, notant que la lutte contre l’épidémie de Covid-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques.

Pour conforter le recours à cette base légale, l’autorité recommande que l’adoption de l’application StopCovid dispose d’un fondement juridique explicite et précis dans la loi, et invite le gouvernement à la saisir du projet de norme correspondant.

  • L’admissibilité des atteintes à la vie privée par une dispositif de suivi des contacts : Selon la CNIL, l’atteinte portée à la vie privée ne pourra être admissible que si, en l’état des informations dont il dispose pour affronter l’épidémie, le gouvernement peut s’appuyer sur des éléments suffisants pour disposer d’une assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population qui porte par lui-même une atteinte très forte à la liberté d’aller et venir.

Or, la CNIL observe que des limites intrinsèques inhérentes au projet d’application du gouvernement pourraient venir réduire l’utilité du dispositif en pratique, dont notamment :

  • L’application devra être compatible avec tous les modèles de téléphones et ne pas être concurrencée par une autre application ;
  • L’adoption de l’application sera nécessairement plus limitée chez les personnes âgées, alors qu’il s’agit des personnes les plus vulnérables face au virus ;
  • De nombreuses personnes sont porteuses du Covid-19 sans avoir de symptômes. Ces personnes seront donc susceptibles de faire circuler le virus sans que l’application n’alerte les individus avec lesquels elles rentrent en contact ;
  • La CNIL met également en garde le gouvernement contre la tentation du « solutionnisme technologique » et rappelle que le déploiement de l’application au sein de la population ne peut être qu’une mesure complémentaire dans le cadre d’une réponse sanitaire globale.

Enfin, la CNIL formule des recommandations relatives à la configuration de l’application. Elle estime notamment que le responsable du traitement devrait être le Ministère de la santé et qu’une analyse d’impact préalable devra être réalisée et publiée.

L’autorité indique également au gouvernement qu’il ne lui sera pas possible d’intégrer des « faux positifs » au sein de l’application pour détecter de potentielles cyberattaques, car cela serait contraire à l’obligation d’exactitude des données personnelles traitées. Elle insiste cependant sur les mesures de sécurité qui devront être prises.

La CNIL rappelle également au gouvernement l’importance de rendre le code source de l’application libre, par soucis de transparence mais également de sécurité afin de permettre à toute personne de l’auditer et de proposer des améliorations.

Si dans cet avis la CNIL n’invalide pas le projet d’application StopCovid, elle pose toute de même de nombreuses conditions qui devront être respectées par les développeurs de l’application et le gouvernement, au rang desquelles l’obligation de la saisir à nouveau pour avis lorsque le projet sera plus avancé.

A ce jour, le gouvernement envisage de mettre à disposition l’application au début du mois de juin après examen du projet par le Parlement.