Projet d’application StopCovid : la CNIL rend public un premier avis en attendant un « fondement juridique explicite »

Sollicitée par le gouvernement, le 20 avril, la CNIL a rendu public son avis sur le projet d’application mobile StopCovid. Cette application de "suivi de contacts", reposant sur une technologie Bluetooth, permettrait d’informer les personnes l’ayant téléchargée du fait qu’elles ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au Covid-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus. Aux termes d’une analyse approfondie du projet, au regard du RGPD et de la loi Informatique et libertés, la CNIL relève que l’usage de l’application ne pourrait reposer que sur une démarche volontaire des personnes, sans impact possible en cas de refus. Elle ne devrait traiter que des données « pseudonymisées » avec des mesures protectrices contre les risques de ré-identification. Son usage ne saurait être que temporaire, pour la durée nécessaire au traitement de la crise sanitaire et les données strictement détruites après usage. La Commission relève par ailleurs que la lutte contre l’épidémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques. En conséquence, et conformément à l’avis n° 04/2020 du 21 avril 2020 du Comité européen de la protection des données, elle estime que « la mission d’intérêt public », au sens des articles 6.1.e) du RGPD et 5.5° de la loi Informatique et libertés, constitue la base légale la plus appropriée pour le développement par les pouvoirs publics de l’application StopCovid.

La Commission attire l’attention du gouvernement sur le fait que, comme tout traitement susceptible de présenter des risques élevés, une analyse d’impact sur la protection des données (AIPD) soit réalisée.

Elle estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées. En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien. En outre, la Commission rappelle que l'utilisation d'applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ». Elle souligne que son efficacité dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public et d’un paramétrage adéquat.

Estimant opportun que le recours à un tel dispositif volontaire de suivi de contact pour gérer la crise sanitaire dispose « d’un fondement juridique explicite dans le droit national », la CNIL demande, s’il était décidé de recourir à un tel instrument, qu’elle soit à nouveau saisie pour se prononcer sur les modalités définitives de mise en œuvre du dispositif.

Par ailleurs, la Commission nationale consultative des droits de l’homme (CNCDH) a fait part de ses préoccupations, dans un avis publié le 28 avril, sur les dangers de toute application de suivi de personnes, en particulier sur le droit à la vie privée et la protection des données personnelles. La Commission rappelle que les données concernant la santé sont des données sensibles, dont le traitement est en principe interdit par l’article 9 du RGPD La mise en place d’une application de suivi de contacts pourrait cependant se fonder sur plusieurs exceptions, notamment le consentement des personnes concernées, ou bien des «  motifs d’intérêt public  ». Mais la CNCDH s’interroge, comme la CNIL, sur l’authenticité d’un consentement libre dans le contexte actuel. De plus, la Commission note que si l’anonymat, suggéré par le gouvernement, peut représenter une garantie pour la protection des données personnelles, celui-ci offre rarement une garantie effective contre les possibilités de ré-identification des personnes. La CNCDH déplore enfin qu’il n’existe à l’heure actuelle aucune précision sur la durée de la mise en place de l’application. À plus long terme, cette première utilisation pourrait ouvrir la voie à d’autres types d’utilisations d’outils numériques de suivi (contact tracing), susceptibles d’engendrer des conséquences plus graves pour les droits et libertés fondamentaux.