La CNIL rend son avis sur la conformité du projet d’application mobile « StopCovid » aux règles sur la protection des données à caractère personnel

Saisie par le Secrétaire d’État chargé du numérique d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application mobile « StopCovid », la Commission nationale de l’informatique et des libertés (CNIL) a émis son avis le 24 avril 2020 (1)(2).

Développé par l’administration, le projet d’application doit permettre d’informer les utilisateurs exposés au risque de contamination, lorsqu’ils se sont trouvés à proximité de personnes diagnostiquées positives au covid-19 et disposant également de l’application. Afin de déterminer les contacts entre deux utilisateurs, l’application emploierait le Bluetooth et non la géolocalisation.

La CNIL a examiné si le recours à l’application était conforme aux règles françaises et européennes de protection des données personnelles, et en particulier s’il existait un traitement de données à caractère personnel au sens du règlement général sur la protection des données (RGPD) (3) et de la loi du 6 janvier 1978 « Informatique et Libertés » (4).

Il est rappelé par la CNIL que le téléchargement et l’utilisation de l’application ne requièrent pas la fourniture de données directement identifiantes, telles que le nom, le numéro de téléphone, ou encore l’adresse électronique de l’utilisateur. Toutefois, la CNIL considère qu’un lien demeure entre le pseudonyme de l’utilisateur et l’application qui est installée sur un appareil correspondant généralement à une personne physique déterminée. Par conséquent, la CNIL estime que le dispositif projeté est soumis aux règles de protection des données à caractère personnel.

De plus, la Commission relève que le dispositif doit traiter des données concernant la santé des utilisateurs, qu’il s’agisse de ceux diagnostiqués positifs ou de ceux présentant un risque élevé d’avoir contracté la maladie alertés par l’application. Ces données bénéficient d’un régime de protection spécifique, notamment en application du RGPD et de la loi « Informatique et Libertés ».

La CNIL souligne que l’application comporte des protections diminuant les risques de réidentification des personnes physiques l’ayant téléchargée, en accord avec les principes de protection des données personnelles.

En outre, en accord avec le principe consacré par le RGPD limitant un dispositif de traitement de données personnelles aux seules finalités pour lesquelles il est prévu, l’application se limite à l’alerte de personnes exposées au risque de contamination.

Le téléchargement et l’utilisation de l’application sont basés sur le volontariat. Cela implique pour la CNIL qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier concernant l’accès aux tests et aux soins, la possibilité de se déplacer ou encore l’accès aux transports en commun.

La CNIL demande par ailleurs des garanties supplémentaires. Elle recommande notamment que le recours à ce dispositif volontaire de suivi dispose d’un fondement juridique explicite et précis dans le droit national.

De plus, l’application StopCovid ne pourra être mise en service que si les données sont collectées et conservées pour une durée limitée à celle du dispositif, et si l’utilité du dispositif est avérée dans la gestion de la crise. Ce dispositif de suivi des contacts devra s’insérer dans une politique sanitaire globale, et il est recommandé que son impact sur la stratégie de gestion de crise soit étudié et documenté de manière régulière.

L’efficacité de l’application reposera sur sa disponibilité ainsi que sur son adoption large par le public, que doivent permettre ces précautions. La CNIL note ainsi que « la conception de l’application StopCovid témoigne du souci de protéger la vie privée des personnes. » Toutefois, la CNIL observe qu’une « telle collecte, qui a vocation à s’appliquer à la plus grande partie de la population possible, doit être envisagée avec une grande prudence. »
 
Notes
puce note (1) CNIL, Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »
puce note (2) Voir également l’avis du Conseil national du numérique sur le projet d’application « StopCovid »
puce note (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
puce note (4) Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés
 
 
Informations légales | Données personnelles