La CNIL a publié le 24 avril 2020 son avis sur le projet porté par le gouvernement d’une application de contact tracing dénommée « StopCovid ».
Cette application basée sur la technologie Bluetooth afin d’avertir les personnes ayant été en contact avec une personne testée positivement au Covid-19 pourrait être mise en place en complément des autres mesures de déconfinement envisagées à partir du 11 mai.
Le 20 avril, le Secrétaire d’Etat chargé du numérique, Cédric O, avait saisi la CNIL d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de StopCovid au regard du droit de la protection des données.
Le gouvernement a interrogé la CNIL sur trois points principaux :
- La mise en place de l’application constitue-t-elle un traitement de données personnelles au sens du RGPD et de la loi Informatique et Libertés ?
- Dans cette hypothèse, quelle base légale serait appropriée afin de fonder le traitement ?
- Et enfin, ce dispositif est-il conforme à la législation en matière de protection des données ? Quelles garanties faudrait-il prévoir pour protéger les droits et libertés des personnes ?
L’existence de traitements de données personnelles
Afin de répondre à la première question, la CNIL relève que le dispositif gouvernemental serait composé d’une application mobile mise à disposition sur les téléphones et tablettes des personnes, et d’un serveur central assurant le stockage et la transmission de données nécessaires à son fonctionnement, notamment les pseudonymes utilisés pour identifier les personnes entrées en contact.
Selon la CNIL, le fait d’informer une personne qu’elle a été exposée au Covid-19 nécessite de faire un lien entre les pseudonymes créés par le serveur et les applications installées sur chaque terminal de communication correspondant chacun à une personne physique déterminée.
Par conséquent, les données traitées par StopCovid sont bien des données personnelles au sens du RGPD, même si la CNIL reconnaît que le risque de réidentification est en partie réduit par les mesures de pseudonymisation envisagées.
Par ailleurs, les données traitées sont pour certaines des données concernant la santé, étant donné que l’alerte effectuée par une personne testée positive au moyen de l’application concerne son état de santé. Plus encore, l’information établissant qu’une personne risque d’avoir été infectée, matérialisée par les notifications que pourraient recevoir les utilisateurs de StopCovid, constitue également une donnée de santé selon la CNIL.
La base légale de StopCovid : l’exécution d’une mission d’intérêt public
En se basant sur les réflexions issues de l’avis n°04/2020 du 21 avril 2020 du Comité européen de la protection des données (CEPD), la CNIL considère que la base légale adéquate pour les traitements de données envisagés dans le cadre de StopCovid est la mission d’intérêt public.
Sans surprise, la lutte contre la propagation du Covid-19 est une mission d’intérêt général incombant aux autorités publiques française qui prévoient de mettre en œuvre StopCovid.
La mission d’intérêt public sied également en tant que fondement dans le cadre des traitements de données de santé, car ce fondement apparaît à l’article 9 du RGPD, notamment lorsque le traitement est opéré pour des motifs d’intérêt public dans le domaine de la santé.
Il faut toutefois que les finalités des traitements opérés soient nécessaires afin de lutter contre l’épidémie, et que l’application ait un fondement juridique suffisant en droit national. La CNIL demande donc d’être à nouveau entendue dans le cadre de l’adoption d’une norme nationale à cette fin.
Un dispositif nécessairement encadré
La CNIL reconnaît donc l’admissibilité du dispositif StopCovid, mais souligne que celui-ci devra être strictement encadré.
Tout d’abord, en reprenant les principales critiques à cet égard, elle rappelle que l’efficacité du dispositif est incertaine en raison des multiples facteurs qui la conditionnent :
- La possibilité pour une proportion suffisante de la population d’accéder à l’application et de l’utiliser dans de bonnes conditions ;
- La nécessité d’une adoption large de l’application par la population française, alors que les personnes pouvant jouer un rôle important dans la propagation du virus, comme les enfants, ou les personnes à risque, comme les personnes âgées, ne disposent pas nécessairement d’un appareil permettant d’utiliser StopCovid ;
- L’impératif technique de calibrage des algorithmes permettant d’identifier les interactions portant un risque de contamination, afin de pallier au risque d’apparition de faux positifs ;
- La nécessité de la mise en œuvre d’une stratégie globale de mesures sanitaires dans le cadre du déconfinement, telles que le dépistage et la fourniture de masques en grande quantité par exemple, ce qui est le cas en l’espèce selon les informations reçues par la CNIL de la part de Cédric O.
La CNIL recommande alors au gouvernement de réaliser une évaluation régulière et documentée du dispositif dans le cadre de la stratégie globale de lutte contre l’épidémie, afin de respecter les principes de proportionnalité et de nécessité pour les traitements opérés à l’occasion de la mise en œuvre de StopCovid.
Les garanties à prévoir pour la mise en œuvre du dispositif
Pour mettre en œuvre StopCovid, le gouvernement devra, selon la CNIL, s’assurer que le dispositif contient de nombreuses garanties en matière de protection des données.
Il conviendra tout d’abord que le responsable de traitement soit le ministère chargé de la santé ou bien tout autre autorité sanitaire impliquée dans la lutte contre le Covid-19 au moyen de l’application.
De plus, au regard des traitements envisagés, la CNIL considère qu’une anaylse d’impact sur la protection des données devra être réalisée avant la mise en œuvre de StopCovid, et que cette analyse devra être communiquée au public dans un souci de transparence.
La CNIL estime également que concernant StopCovid, le principe d’exactitude des données constitue une obligation légale impérieuse. Elle s’oppose ainsi à l’introduction de faux positifs envisagée dans le protocole transmis par le gouvernement.
A la suite de cette affirmation, la CNIL s’intéresse particulièrement à la sécurité des données. Elle considère sur ce point que le dispositif doit être paramétré et organisé de manière à :
- Eviter tout détournement de finalités des données au niveau du serveur chargé de centraliser les identifiants des personnes ;
- Minimiser le risque de réidentification en faisant un lien entre les pseudonymes et les informations du terminal des personnes ;
- Assurer l’intégrité et la confidentialité des transmissions de données grâce à des algorithmes cryptographiques à l’état de l’art ;
- Être protégé contre le risque d’attaque résultant de l’absence de mécanisme d’enrôlement des personnes lors de l’utilisation de l’application.
A des fins de transparence à propos des mesures de sécurité mises en œuvre, la publicité des protocoles techniques utilisés et du code source de l’application est une mesure que le gouvernement est appelé à poursuivre, le protocole ayant été déjà mis en ligne sur la plateforme Github.
Enfin, la CNIL rappelle que le gouvernement sera tenu de délivrer une information claire, simple et facilement compréhensible par les utilisateurs de l’application quant au sort de leurs données. Ainsi, la crise sanitaire ne prive pas les utilisateurs de l’application des droits énoncés par les articles 12 à 22 du RGPD.
La CNIL a rappelé à de nombreuses reprises que cet avis avait une portée limitée au projet qui lui a été soumis par le Secrétaire d’Etat chargé du numérique. Ainsi, elle demande à être consultée lorsque le projet final de l’application StopCovid et ses modalités d’exécution seront définitivement arrêtées par l’équipe-projet chargée de son développement.
Il convient de noter que le 28 avril, le Premier ministre a pris l’engagement devant l’Assemblée Nationale d’organiser un débat spécifique suivi d’un vote spécifique portant sur l’application StopCovid, car il subsiste à cette date des incertitudes à propos de celle-ci.
Raphaël Rault, avocat associé & Raphaël Ekwalla-Mathieu, élève-avocat