Publication de l’avis de la CNIL le 26 avril 2020 sur le projet d’application mobile « StopCovid » : et si finalement le jeu n’en valait pas la chandelle ?

28 avril 2020
Corinne Thiérache et Alice Gautron

• La portée de l’avis de la CNIL minimisée par l’annonce de l’abandon du débat spécifique prévu sur le traçage numérique

Dans une situation exceptionnelle de crise sanitaire liée à la pandémie du Covid-19, la CNIL vient de rendre publique sa délibération du 24 avril dernier portant avis sur le projet gouvernemental d’application « StopCovid » afin de lutter contre la diffusion du virus. Fruit d’un travail mené par des acteurs du public et du privé dans le cadre du consortium européen inauguré à la fin du mois de mars dernier, l’outil « StopCovid », reposant sur la base du volontariat, permettrait d’identifier et d’isoler les personnes exposées ou diagnostiquées positives au virus et de retracer ainsi tous leurs contacts grâce à la technologie du Bluetooth. L’absence de recours à la géolocalisation permettrait de minimiser toute identification des personnes utilisatrices, contrairement aux outils existants dans certains pays asiatiques notamment.

L’avis de la CNIL fait suite à la saisine du Secrétaire d’Etat chargé du numérique, M. Cédric O, intervenue le 20 avril dernier dans un contexte particulièrement tendu en raison des nombreuses questions que posent ces outils de traçage numérique en matière de protection des données à caractère personnel et de respect à la vie privée.

Avant de présenter les grandes lignes retenues par la CNIL concernant ce dispositif de « tracking » envisagé par le Gouvernement français, il est à noter que le projet « StopCovid » ne fera finalement pas l’objet d’un débat spécifique le 28 avril prochain à l’Assemblée nationale, comme cela était pourtant initialement envisagé. En effet, compte tenu de l’accélération du calendrier pour faire sortir la France du confinement, et de la sensibilité certaine d’un tel sujet dans la sphère publique et médiatique, le Premier Ministre a ainsi annoncé le 25 avril dernier que les députés ne voteront plus qu’une seule fois sur l’ensemble du plan de déconfinement.

Dès lors, l’avis de la CNIL doit être lu en prenant en considération ces récentes annonces gouvernementales qui semblent sonner le glas à tout recours précipité à des applications de « tracking » qui ne seraient peut-être plus si indispensables pour espérer réussir le difficile pari du déconfinement.

• Des recommandations justifiées par une vigilance et une prudence nécessaires au regard des exigences légales

Saisie afin de se prononcer sur la conformité de l’éventuelle application « StopCovid » aux exigences du RGPD et de la loi « Informatique et Libertés » en matière de protection des données à caractère personnel et des garanties supplémentaires qu’il conviendrait de prévoir, la CNIL reconnaît que ce projet « pose des questions inédites en termes de protection de la vie privée » (cf nos observations dans notre News du 26 mars dernier) . Même si l’application repose sur un traitement de données pseudonymes, celle-ci « doit être envisagée avec une grande prudence ».

Ainsi, les arguments soulevés par la CNIL dans sa délibération sont les suivants :

• le dispositif « StopCovid » traitant effectivement des données à caractère personnel, et notamment des données de santé, l’utilisation de pseudonymes constituerait une garantie élevée pour minimiser le risque de ré-identification des personnes physiques associées aux données stockées sur leur smartphone. Des précautions techniques particulièrement fortes sont ainsi à prévoir pour atténuer au maximum ces possibilités de remonter les listes de personnes contaminées ;

• le dispositif, fondé sur le volontariat, doit être limité à la seule alerte des personnes exposées au risque de contamination au Covid-19, et n’a donc pas pour objet de surveiller les mesures de confinement ou toutes autres obligations sanitaires ;

• la base légale la plus appropriée pour ce type d’applications serait la poursuite d’une « mission d’intérêt public » par les autorités publiques, et non le consentement de ses utilisateurs. La CNIL se range ainsi du côté du Comité européen de la protection des données qui s’était prononcé dans ce sens le 21 avril dernier concernant l’utilisation du traçage numérique pour lutter contre la propagation du Covid-19 ;

• une telle application portant atteinte à la vie privée des personnes, il ne peut s’agir que d’une collecte temporaire des données conservées pendant une durée limitée.

Plus généralement, la CNIL met en garde « contre la tentation du « solutionnisme technologique » » qui consisterait à utiliser ces applications de « tracking » uniquement comme une mesure autonome, en dehors de toute stratégie sanitaire globale.

C’est finalement peut-être pour cette raison que le Gouvernement a fait le choix de ne plus soumettre ce dispositif à un vote spécifique à l’Assemblée nationale lors d’un débat prévu le 28 avril prochain. De toute évidence, il était manifestement trop prématuré d’espérer aboutir à l’architecture et à la sécurisation d’une application efficace de traçage numérique dans la perspective d’une sortie du confinement à compter du 11 mai prochain.

En tout état de cause, la CNIL restera particulièrement attentive aux suites éventuelles de ce projet, ainsi qu’à ses conditions de mise en œuvre effectives.

Mais si finalement, le jeu n’en valait plus la chandelle en présence des risques liés à la protection de la vie privée et en l’absence de garantie d’une véritable efficacité d’une telle application ? Le feuilleton relatif au traçage numérique ne fait que commencer…

Corinne Thiérache, Associée et Alice Gautron, Collaboratrice.