A lire également : Application StopCovid : clôture de la mise en demeure adressée par la CNIL !
Après la délibération de la CNIL du 24 avril 2020 portant avis sur le projet d’application mobile dénommée « StopCovid », l’Assemblée Nationale et le Sénat ont approuvé le 27 mai 2020, sa mise en place. Un décret d’application reste à intervenir pour l’application du dispositif conformément à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (« Loi Informatique & Libertés »).
La mise en place de cette application mobile intervient dans le contexte de l’état d’urgence sanitaire liée à l’épidémie de COVID-19, et plus particulièrement de la stratégie dite de « déconfinement ».
Cette application permettra aux personnes qui l’auront téléchargée d’être informées du fait qu’elles ont été à proximité de sujets qui ont été diagnostiqués positifs au COVID-19, cette proximité induisant un risque de transmission du virus.
Telle qu’elle a été décrite aussi bien à l’attention de la CNIL que des parlementaires, il s’agit d’une application de « suivi de contacts » (ou « contact tracing »), dont le socle repose sur l’utilisation de la technologie « Bluetooth », visant à déduire la proximité entre deux smartphones. L’utilisation de cette technologie a pour objet d’exclure la localisation des personnes par les données GPS des téléphones portables. En ce sens, l’application n’emporte pas la possibilité de savoir où une personne s’est rendue.
Sur cette base technologique, l’application mobile prend appui sur les principes suivants : le volontariat, la pseudonymisation, la limitation de la durée de conservation des données et la transparence. Nos experts vous en proposent un décryptage :
Volontariat
L’application n’est pas obligatoire. A chaque étape du processus, les utilisateurs ont le choix de l’accepter ou de la refuser. Il leur appartient de choisir d’installer l’application, d’activer le Bluetooth, de partager l’historique de proximité, de déclarer un diagnostic positif ou de désinstaller l’application.
Au regard du RGPD et de la Loi Informatique & Libertés, le volontariat signifie surtout qu’aucune conséquence négative ne doit être attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi, l’accès des personnes aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application. De même, l’utilisation ou non de l’application sur la base du volontariat ne doit pas avoir pour objet ni pour effet de conditionner la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun. Il importe aussi que tous les possesseurs de smartphones ne soient pas contraints de sortir en possession de leurs équipements mobiles, en étant obligés de télécharger cette application.
Pseudonymisation
L’application doit se borner à la collecte de traces pseudonymes. Par ce biais, il est prévu d’établir la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant un instant de raison, parmi tous les porteurs de l’application.
Seuls ces pseudonymes éphémères, sans être associés à l’identification d’une personne, ont vocation à être stockés sur le smartphone, mais aussi et le cas échéant, partagés vers un serveur central. Il s’agit néanmoins là, comme l’a rappelé la CNIL, d’un dispositif destiné à traiter des données à caractère personnel au sens du RGPD et de la Loi Informatique & Libertés.
C’est ici qu’il convient d’éviter que l’État mais aussi n’importe quelle autre personne ou organisme en France ou à l’étranger, n’ait accès à une quelconque liste d’individus diagnostiqués positifs ou à une liste des interactions entre les utilisateurs de l’application.
Conservation limitée des données
StopCovid n’a pas vocation à perdurer après la crise sanitaire. Il s’agit uniquement d’un outil pour limiter la propagation du virus. A cet égard, tous les crypto-identifiants n’ayant plus de pertinence d’un point de vue épidémiologique sont prévus pour être régulièrement supprimés (au bout de 15 jours).
Tant au regard du RGPD que de la Loi Informatique & Libertés, cette garantie apparait fondamentale. Elle implique en l’espèce que la collecte et le traitement de données opérés par l’application revêtent un caractère strictement temporaire, d’une durée limitée à celle de l’utilité du dispositif au regard des finalités précédemment décrites.
Elle implique également que toutes les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée. Dans l’hypothèse où une exploitation statistique ou à des fins de recherche scientifique se révélerait néanmoins nécessaire, la CNIL a très clairement indiqué que celle-ci devra être réalisée en priorité sur des données anonymisées ou, à défaut, dans le strict respect des règles fixées par le RGPD et la Loi Informatique & Libertés s’agissant du traitement d’éventuelles données de santé.
Transparence
Les initiateurs de l’application StopCovid ont souhaité l’inscrire dans une démarche de transparence. C’est pourquoi, il est prévu que les codes sources et la documentation liée aux développements de l’application soient disponibles. Cela tend aussi bien à ce que l’application puisse être améliorée qu’à faciliter la possibilité pour d’autres pays qui n’auraient pas les capacités de développer une telle technologie, de pouvoir développer une solution sur la même base.
La transparence au sens du RGPD et de la Loi Informatique & Libertés consiste d’abord et avant tout à respecter une obligation d’information à l’attention des personnes concernées et des utilisateurs sur le mode de fonctionnement et les finalités de traitement, mais surtout et davantage sur les règles applicables pour assurer le respect de leurs droits personnels.
Sur ce point la CNIL a été très explicite. Une information appropriée devra être fournie aux utilisateurs, dans le respect des articles 12 à 14 du RGPD et article 48 de la Loi Informatique & Libertés dans sa dernière version en vigueur, avec nécessité de délivrer une information compréhensible par le plus grand nombre, dans des termes clairs et simples. Les modalités d’exercice des droits devront être définies afin que les personnes concernées puissent exercer leurs droits sur leurs données personnelles conformément aux dispositions des articles 12 à 22 du RGPD et des articles 47 à 56 de la Loi Informatique & Libertés.
C’est donc à l’épreuve du déploiement et de la publication recommandée par la CNIL de l’analyse d’impact sur la protection des données (AIPD) qu’il conviendra d’apprécier de manière plus précise la conformité de l’application au droit applicable en matière de protection des données personnelles et de respect de la vie privée. L’application StopCovid n’a pas fini de faire parler d’elle !
