Dans un avis publié dimanche 26 avril, la CNIL estime que le projet d’application « Stop Covid » de suivi de contact du gouvernement est, dans un « contexte exceptionnel de gestion de crise », conforme aux exigences européennes sous réserve que certaines conditions et garanties soient respectées1.
L’application Stop Covid a pour objectif d’informer l’utilisateur ayant volontairement téléchargé l’application, lorsqu’il s’est trouvé à proximité d’une personne elle-même équipée de l’application et diagnostiquée positive au Covid-19. Fondée sur la technologie Bluetooth, le service se composerait d’une application mobile à télécharger et d’un serveur central qui stockerait et transmettrait les données nécessaires au fonctionnement de l’application.
Ce dispositif n’a donc pas pour objet de surveiller le respect des mesures de confinement ou de géolocaliser les utilisateurs. Sa finalité étant limitée à la notification des personnes, identifiées uniquement par des pseudonymes, ayant été exposées à un risque de contamination.
La CNIL considère tout d’abord que, même si aucune donnée nominative ou de géolocalisation n’est concernée, il y a bien un traitement de données pseudonymisées à travers les contacts bluetooth, de sorte que le dispositif est bien soumis au RGPD, même s’il estime que « les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification » des personnes utilisant l’application.
Elle confirme également que l’application peut s’inscrire dans le cadre législatif et réglementaire actuel en estimant que la mission d’intérêt public constitue la base légale la plus appropriée sur les six fondements posés par le RGPD2 pour réaliser le traitement.
La CNIL considère en effet que la base légale du consentement des utilisateurs proposée par le gouvernement n’est pas la plus appropriée car la lutte contre l’épidémie de Covid-19 « constitue une mission d’intérêt général ». Or, le RGPD prévoit spécifiquement que des données de santés peuvent faire l’objet d’un traitement pour :
« des motifs d’intérêt public dans le domaine de la santé publique, tels que le protection contre les menaces transfrontalières graves pesant sur la santé (…) sur la base du droit de l’Union ou du droit de l’Etat membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée »3.
Le gendarme français des données personnelles met toutefois en garde le gouvernement.
L’organisme souligne ainsi que le caractère volontaire de l’application signifie « qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application » en particulier pour l’accès aux tests et aux soins et que la collecte et la conservation des données « devra être limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte portée à la vie privée des personnes ».
Un tel dispositif numérique ne doit pas par ailleurs être une « mesure autonome », la CNIL faisant remarquer que l’application doit être mise en place « à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale », incluant des masques, des tests, etc.
De même, la Commission souligne que l’effectivité du dispositif repose notamment sur son adoption large par la population et la possibilité pour celle-ci d’accéder facilement à l’application. Une étude menée par l’université d’Oxford montre en effet qu’une telle application devrait couvrir 60% de la population pour être opérante.
Enfin, dans l’hypothèse où le lancement de l’application du projet serait confirmé suite aux débats des 28 et 29 avril prochains au Parlement, la CNIL attire l’attention du gouvernement sur la nécessité de réaliser et publier une analyse d’impact sur la protection des données et de lui soumettre le projet finalisé pour avis.