« StopCovid » devient « TousAntiCovid » : un nouveau départ ?
Corinne Thiérache et Alice Marie
C’est peu dire que le déploiement de la première application « StopCovid » n’a pas eu l’efficacité escomptée, en raison notamment des nombreuses réserves formulées lors de sa mise en œuvre et justifiées par les risques relatifs à la protection de la vie privée des utilisateurs.
Pour pallier ce constat, le Gouvernement a annoncé, jeudi 22 octobre 2020, le déploiement d’une nouvelle version de son application de traçage des cas contacts dans le cadre de la lutte contre la propagation de la Covid-19, renommée « TousAntiCovid ».
• « TousAntiCovid » : des éléments substantiels inchangés sur lesquels la CNIL s’était déjà prononcée
Les éléments substantiels et structurants de l’application restent inchangés :
– « TousAntiCovid » repose sur une démarche volontaire des personnes et permet la recherche de contacts (« contact tracing »), grâce à la technologie Bluetooth, sans recourir à la géolocalisation ;
– le protocole « ROBERT » (pour « ROBust and privacy-presERving proximity Tracing »), créant des pseudonymes et conçu dans une logique de minimisation des données et de protection dès la conception (« privacy by design ») reste utilisé pour cette nouvelle application.
Par décret n° 2020-650 en date du 29 mai 2020, les finalités de ce traitement de données personnelles ont été expressément limitées : information des cas contacts, sensibilisation des utilisateurs au risque de contamination, utilisation de données statistiques anonymes au niveau national.
Après avoir constaté des manquements aux dispositions du RGPD et de la Loi Informatique et Libertés dans la mise en œuvre du traitement « StopCovid », la CNIL avait mis en demeure le ministère des Solidarités et de la Santé le 15 juillet 2020 de mettre l’application « StopCovid » en conformité sur les points suivants :
– veiller à ce que la version de l’application qui permet de n’envoyer que l’historique de proximité soit généralisée ;
– compléter l’information fournie aux utilisateurs sur les destinataires de ces données, sur les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via la technologie reCaptcha) et le droit de refuser ces opérations de lecture ;
– compléter le contrat de sous-traitance conclu entre le ministère et Inria conformément aux exigences du RGPD ;
– compléter l’analyse d’impact relative à la protection des données (AIPD) sur des traitements de données réalisés à des fins de sécurité.
Les réponses apportées par le ministère ont permis de démontrer la cessation des manquements, entraînant la clôture de cette mise en demeure le 3 septembre 2020. En effet, l’intégralité de l’historique des contacts de l’utilisateur ne peut plus remonter vers le serveur central, sans préfiltrage au niveau du téléphone. De plus, le ministère n’a plus recours au système de «reCaptcha», service proposé par Google. Par ailleurs, le ministère a complété les mentions d’information fournies aux utilisateurs en mentionnant Inria en qualité de destinataire des données personnelles, et a également complété les clauses de son contrat de sous-traitance avec Inria. Enfin, l’AIPD de l’application StopCovid a été complétée s’agissant des mesures de sécurité.
A la suite d’un premier avis favorable rendu le 24 avril 2020 sur l’application « StopCovid », d’un second avis du 25 mai 2020 sur le projet de décret portant sur cette même application mobile, complété par l’avis trimestriel du 10 septembre 2020, la CNIL a donc pu considérer, dans un communiqué publié le 23 octobre dernier, que le déploiement de « TousAntiCovid » ne nécessitait pas sa saisine obligatoire, « dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre ». Les personnes ayant déjà téléchargé « StopCovid » auront d’ailleurs simplement à la mettre à jour pour la transformer automatiquement en « TousAntiCovid ».
La CNIL a néanmoins annoncé qu’elle resterait mobilisée afin de s’assurer du respect de la vie privée des utilisateurs de l’application. Des contrôles seront réalisés par ses services, afin de vérifier notamment la durée de conservation des données, leur suppression et/ou leur anonymisation éventuelle.
• Quelques nouveautés au sujet desquelles la CNIL restera « particulièrement vigilante »
Les nouvelles fonctionnalités telles que des informations actualisées sur la circulation du virus et des liens vers d’autres outils numériques, afin d’inciter les Français à télécharger « TousAntiCovid », ne remettent pas en cause la position de la CNIL.
Cette dernière prévient cependant qu’en raison des évolutions régulières dont l’application « TousAntiCovid » fera l’objet, elle pourra diligenter des contrôles supplémentaires et se prononcera de nouveau si le traitement de données fait l’objet de modifications substantielles. Un nouvel avis est attendu avant la fin de l’année dans le cadre de la veille trimestrielle de la CNIL.
Enfin, une évaluation de l’efficacité de cette application et de son acceptabilité doit être mise en place de façon concomitante à sa mise en œuvre, conformément au principe de proportionnalité rappelé par la CNIL. Le déploiement de ce nouvel outil devra surtout être soutenu par une infrastructure informatique adaptée car son démarrage a été quelque peu chaotique et de nombreux « bugs » ont été constatés : erreurs à l’installation, impossibilité d’accéder aux fonctionnalités…
Sous réserve de l’absence de modifications substantielles mettant en péril la protection des données personnelles des utilisateurs, le téléchargement de la nouvelle application « TousAntiCovid » devrait donc désormais pouvoir s’inscrire dans la panoplie des gestes barrières visant à lutter contre la propagation de l’épidémie.
Gageons que des lanceurs d’alerte, et plus généralement les citoyens français, seront particulièrement attentifs quant à l’impact de cette nouvelle application sur la protection de leurs données personnelles. Son succès dépendra alors, avant tout, de la confiance qui ne se décrète pas…
Corinne Thiérache, Associée et Alice Marie, Juriste du Département Droit des technologies et du numérique.