Dans le cadre de l’état d’urgence sanitaire lié à l’épidémie de COVID-19, et plus particulièrement de la stratégie globale de « déconfinement », la CNIL a été saisie d’une demande d’avis par le secrétaire d’État chargé du numérique. Celle-ci concerne l’éventuelle mise en œuvre de « StopCovid » : une application de suivi de contacts dont le téléchargement et l’utilisation reposeraient sur une démarche volontaire. Les membres du collège de la CNIL se sont prononcés le 24 avril 2020.
L’usage de l’application envisagée par le gouvernement est volontaire. La CNIL précise que cela implique qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. En outre, la CNIL reconnaît qu’elle respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.
L’analyse du protocole technique par la Commission confirme cependant que l’application traitera bien des données personnelles et sera soumise au RGPD. Elle attire l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée.
La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées. En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.
Dans son avis, la CNIL rappelle que l’utilisation d’applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ». Elle souligne que son efficacité dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public et d’un paramétrage adéquat.
Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.
Enfin, la Commission estime opportun que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite dans le droit national. Elle demande au gouvernement de la saisir à nouveau du projet d’application et du projet de norme l’encadrant lorsque la décision aura été prise et le projet précisé.
La CNIL restera particulièrement attentive aux suites de ce projet ainsi qu’aux conditions de mise en œuvre effectives du dispositif.
Plus de détails via l’avis complet en pièce-jointe.