La CNIL a validé la conformité en matière de protection des données, du projet d’application mobile de « suivi de contacts » souhaité par le gouvernement pour le déconfinement. Mais elle questionne l’« utilité » de ce dispositif et exige des « garanties ».
La Commission nationale de l’informatique et des libertés (CNIL), après avoir été saisie le 20 avril pour une demande d’avis par le secrétaire d’État chargé du numérique Cédric O, s’est prononcée le 24 avril sur le projet d’application de traçage de contacts StopCovid. À la veille et l’avant-veille des débats à l’Assemblée nationale et au Sénat sur l’éventuel recours par le gouvernement à cette application mobile dans le cadre de la stratégie nationale de déconfinement prévu à partir du 11 mai, le gendarme français des données personnelles avalise globalement l’ébauche du dispositif StopCovid, mais souligne un besoin de garanties et d’informations supplémentaires.
De quoi s’agit-il ?
Dans son rapport, la CNIL explique que l’application StopCovid « permettrait d’informer [ses utilisateurs] du fait qu’ils ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au Covid-19 ». Et de poursuivre : « Il s’agirait d’une application de "suivi de contacts" (ou "contact tracing"), et non de suivi des personnes exposées ou diagnostiquées positives au virus, qui reposerait notamment sur l’utilisation de la technologie de communication de proximité "Bluetooth" pour évaluer la proximité entre deux ordiphones [smartphones], sans recourir à une technologie de géolocalisation. »
Telle qu’imaginée actuellement, l’application mobile « serait utilisée uniquement sur la base du volontariat et ses modalités de mise en œuvre viseraient à minimiser toute identification directe ou indirecte des personnes qui y auraient recours », peut-on encore lire dans le document.
StopCovid conforme au Règlement général sur la protection des données, mais...
La CNIL souligne dans les premières pages de son diagnostic « que ce projet pose des questions inédites en termes de protection de la vie privée ». « Une telle collecte [de données], qui a vocation à s’appliquer à la plus grande partie de la population possible, doit être envisagée avec une grande prudence », préconise l’institution au gouvernement, puisque que ce type de dispositif risque notamment de générer un « phénomène d’accoutumance » aux dispositifs de pistage au sein de la population.
Néanmoins, dans ce contexte de crise sanitaire mondialisée due à la pandémie de Covid-19, « la CNIL estime le dispositif [StopCovid] conforme au Règlement général sur la protection des données (RGPD) si certaines conditions sont respectées », souligne la Commission nationale, qui « relève qu’un certain nombre de garanties [ont été] apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes ». Ainsi, pour l’autorité indépendante, « les protections prises apportent un haut degré de garantie pour minimiser le risque de réidentification des personnes ».
Mais la CNIL demeure tout de même perplexe quant à l’arsenal législatif relativement fragile qui encadre l’application StopCovid. En conséquence, le gendarme français des données personnelles exige des « garanties supplémentaires » au gouvernement, qui ne sont donc pas présentes actuellement, à commencer par la temporalité du dispositif et la durée de conservation des données, « qu’il conviendrait de prévoir » avant toute entrée en vigueur.
« Le présent avis de la Commission vise à apporter ces éléments de réponse et à éclairer le gouvernement sur l’analyse d’une telle application du point de vue du droit de la protection des données à caractère personnel, étant précisé que le déploiement de cette application comme ses modalités exactes de mise en œuvre, sur les plans juridique, technique et pratique, ne sont pas encore arrêtés à ce stade », explique la CNIL. Et de continuer : « La Commission demande, après la tenue du débat au Parlement et s’il était décidé de recourir à un tel instrument, qu’elle soit à nouveau saisie pour se prononcer sur les modalités définitives de mise en œuvre du dispositif. »
L’« utilité » de StopCovid est-elle « avérée » ?
Pour autant, l’application StopCovid « ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale », précise l’autorité indépendante, qui préconise par ailleurs un examen régulier de son efficacité qui « permettra aux pouvoirs publics de décider de manière éclairée son maintien ou non ».
Au-delà de la stratégie sanitaire globale, la mise en œuvre d’une telle application doit être nécessaire à la mission d’intérêt public concernée, ici la gestion de la crise sanitaire. « Autrement dit, l’application StopCovid ne peut être légale que si elle est… nécessaire », analyse l’avocat Jean-Baptiste Soufron sur son blog.
Or, pour l’heure, la CNIL doute que les autorités nationales disposent d’« éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise » contrairement aux tests, masques et médicaments. Ce n’est pourtant qu’avec ces garanties « que l’atteinte portée à la vie privée ne sera en l’espèce admissible », reconnaissant que la situation actuelle, avec le confinement, constitue « une atteinte très forte à la liberté d’aller et venir ».
Volontariat... Quelles conséquences pour les non-volontaires ?
La CNIL considère néanmoins que la démarche volontaire, pour les utilisateurs, « est un élément déterminant pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population ». Et de poursuivre : « Elle considère à ce titre que le caractère volontaire de l’usage, conjugué à une transparence renforcée quant au mode de fonctionnement et aux finalités de traitement, est un élément déterminant pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population. »
Toutefois, la Commission nationale apporte quelques nuances. Outre la nécessaire possibilité de pouvoir désinstaller l’application à tout moment, « le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application », tel que « l’accès aux tests et aux soins ».
« L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun », souligne également la CNIL. Et de poursuivre : « Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination. »
Cependant, si l’application repose sur le principe du volontariat, aussi déterminant soit-il pour la confiance de ses potentiels utilisateurs, comment, dès lors, envisager que StopCovid soit nécessaire ? La question se posera à n’en pas douter dans les jours à venir... et elle devrait intéresser la CNIL.