STOP-COVID sous les feux des projecteurs
En cette période d’état d’urgence sanitaire lié à l’épidémie du Covid-19, l’objectif des pouvoirs publics est de limiter la propagation du virus.
Le dispositif déployé par le Gouvernement dans cet optique est large, et n’est pas seulement limité à l’application Stop Covid, car elle couvre aussi les fichiers SI-Dep et Contact Covid.
Le fichier SI-DEP nommé « Système d’Informations de DEPistage » est une base de données enregistrant les résultats des laboratoires des tests effectués par les laboratoires ainsi que les établissements hospitaliers.
Le fichier Contact Covid est quant à lui, une aide apportée aux professionnels de santé, les permettant de prendre en charge les cas infectés par le virus.
Ces outils numériques ont donc pour but d’identifier le plus rapidement possible, les personnes contaminées, celles qui sont susceptibles d’avoir contaminé ainsi que les chaînes de contamination.
La star de ce plan de déconfinement reste Stop Covid qui est une application mobile de traçage de contacts de l’utilisateur, ayant pour objectif d’identifier les chaines de contamination et de les avertir lorsqu’ils ont été en contact avec des personnes ayant été testés positif au virus.
Il s’agit d’une application sans tracking qui est basé uniquement sur le volontariat. Ainsi seulement les personnes ayant téléchargé puis activé l’application sont aptes à s’échanger des informations.
Ce dispositif d’alerte utilise la technologie du Bluetooth et n’a donc pas recours à la géolocalisation.
Cependant, contrairement à ce qui est dit par les fervents défenseurs de l’application, les données ne sont pas anonymes.
C’est en effet, ce que la CNIL rappelle dans une FAQ qui vient d’être publiée : les informations traitées ne sont pas « anonymisées» au sens du RGPD.
Il est plus exacte de parler de pseudo : tout au long de l’utilisation de l’application, une liste de pseudonymes temporaires des appareils « croisés » les derniers 14 jours, est stocké dans le smartphone de l’utilisateur. Aucun fichier des contacts personnels, ni de personnes atteintes du virus ne devrait donc être constitué.
L’utilisateur contaminé aura le choix de faire remonter les données pseudonymisées de ses contacts vers un serveur central et sera invité à consulter un médecin.
Ce qu’en pense la CNIL
Saisie en amont de la mise en place, la CNIL a rendu 2 avis favorables les 24 avril 2020 et 25 mai 2020 sur :
la mise en oeuvre de l’application « Stop Covid » ; et
l’encadrement juridique des fichiers SI-Dep et Contact Covid.
Dans ses avis la CNIL, constate que « ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre ».
Quelques réserves sont maintenues par la Commission :
sur la nécessité d’offrir de meilleures garanties aux utilisateurs s’agissant des conditions d’utilisation et des modalités d’effacement des données personnelles ainsi qu’établir un fondement législatif beaucoup plus explicite ;
sur l’importance du suivi des données des personnes vulnérables que sont les mineurs ;
ainsi que de confirmer le droit d’opposition et le droit d’effacement des données pseudonymisées enregistrées, dans le décret à venir.
Enfin, la CNIL souligne que la durée de vie de l’application ne doit pas excéder les 6 mois suivant la date de fin de l’état urgence sanitaire (en principe arrêté au 10 juillet 2020). Elle réclame aussi au Gouvernement, le libre accès et dans son intégralité au code source.
Ce que contrôle la CNIL
Deux jours seulement après la sortie de l’application StopCovid et avec le cap du million d’utilisateurs franchi quelques jours après, l’Autorité administrative se lance dans un contrôle à posteriori afin de vérifier sur le terrain, le bon fonctionnement des dispositifs mis en place.
Le but ? Simple, vérifier que ses recommandations concernant les modalités de recueil du consentement et d’information des personnes ont été respectées.
Le CNIL sera donc très vigilante sur les droits d’accès et d’opposition des personnes, tout comme sur les dispositifs de sécurité mis en place afin de protéger les flux de données.
Ces contrôles débuteront dès le mois de juin et continueront pendant toute la période d’utilisation des fichiers, jusqu’à la fin de leur utilisation et de la suppression des données collectées.
Ils seront effectués sur le terrain, c’est-à-dire dans les locaux de la Caisse Nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé. Mais aussi en ligne pour l’app StopCovid, ainsi que par le biais de questionnaires et de demandes de documents.
La Commission met en garde sur sa volonté le cas échéant d’adopter des mesures correctrices telles que des mises en demeure et/ou des sanctions en cas de non-respect de ces points de façon grave ou répété.
La réalisation de ces contrôles sera utile afin d’alimenter le rapport communiqué par le Gouvernement au Parlement effectué tous les trois mois concernant la mise en œuvre des systèmes d’information développés pour lutter contre la propagation de l’épidémie (article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire).
Il s’agit là du premier chapitre d’une longue saga sur la gestion de crise mêlant à la fois les questions de vie privée et de sécurité.
Sources
CNIL, L’application mobile StopCovid en questions, 5 juin 2020
CNIL, SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles, 4 juin 2020
Le Brief, La CNIL rappelle que StopCovid n'est pas anonyme, Cédric O évoque « 1 million » d'utilisateurs (ou d'activations), 8 Juin 2020, Next Inpact