L’application StopCovid et la protection des données personnelles Alerte n° 1
La CNIL a été saisie par le Gouvernement sur le projet d’application StopCovid et a rendu son avis le 24 avril dernier.
Cette décision est très dense, nous avons donc pris le parti de rédiger 3 newsletters distinctes : La 1ère porte sur le fonctionnement de l’application StopCovid et les premiers constats de la CNIL, la 2ème porte sur l’application StopCovid et les grands principes du RGPD, et la 3ème sur les aspects pratiques liés à la conformité du projet.
Cette première newsletter sur la délibération de la CNIL* présente donc le projet de l’application StopCovid sur la base de laquelle s’est prononcée la Commission, ainsi que sur les premiers constats de la CNIL :
Sur quoi portait la saisine de la CNIL
Le Gouvernement envisage de proposer une application permettant d’informer les personnes si elles ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au COVID-19 et disposant de la même application, la proximité induisant un risque de transmission du virus.
Ce projet est une application de « suivi de contacts » (ou « contact tracing »), et non de suivi des personnes exposées ou diagnostiquées positives au virus.
La technologie utilisée serait le « Bluetooth » pour évaluer la proximité entre deux smartphones, et non pas la géolocalisation.
Quelle est la finalité du traitement envisagé ?
La finalité du projet présenté à la CNIL est limitée à l’alerte de personnes exposées au risque de contamination.
Or le RGPD pose le principe de limitation des finalités (article 5(1) (b) selon lequel les données doivent impérativement être utilisées pour un objectif précis et déterminé à l’avance. Toute autre utilisation des données est en principe interdite.
En conséquence, la CNIL précise que si l’objectif de l’application est le « suivi de contacts », celle-ci ne pourra pas être utilisée pour surveiller le respect des mesures de confinement ou d’autres obligations sanitaires.
La CNIL prend acte du fait que le traitement décrit n’a pas pour objet :
– d’organiser une prise de contact avec la personne alertée,
– de réaliser un suivi du nombre de personnes infectées ou
– d’identifier les zones dans lesquelles ces personnes se sont déplacées.
Si le Gouvernement et/ou le Parlement souhaitaient rajouter des finalités à l’application, ceci nécessiterait de prendre en compte « le juste équilibre entre ces nouveaux objectifs et la protection de la vie privée ».
La CNIL confirme qu’il s’agit d’un traitement de données personnelles au sens du RGPD
Pour pouvoir remonter aux utilisateurs ayant croisée un autre utilisateur reconnu comme positif, l’application ne peut pas fonctionner sur la base de données totalement anonymisées, de ce fait la CNIL considère, tout à fait logiquement, que le dispositif traitera des données à caractère personnel au sens du RGPD.
La CNIL souhaite être consultée de nouveau après le débat devant le Parlement
Le Gouvernement a consulté la CNIL alors même qu’il n’a pas encore été statué sur les modalités exactes de mise en œuvre de l’application, sur les plans juridique, technique et pratique.
La CNIL demande donc à être de nouveau saisie pour se prononcer sur les modalités définitives de l’application, après la tenue du débat au Parlement.
Comment devrait fonctionner le dispositif ?
Le dispositif envisagé se compose :
– d’une application mobile fonctionnant sous Android et iOS ; et
– d’un serveur central destiné à assurer le stockage et la transmission d’un certain nombre de données nécessaires au fonctionnement global du dispositif.
L’application serait associée à un identifiant aléatoire permanent (le pseudonyme permanent) permettant de créer, par la suite, plusieurs identifiants aléatoires temporaires (les pseudonymes temporaires).
Les premiers constats de la CNIL :
Avant d’analyser la conformité du projet aux grands principes des règles de protection des données, la CNIL :
- reconnait que les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification des personnes physiques associées aux données stockées, pour une durée nécessairement limitée, par le serveur central
- souligne que le procédé utilisé minimise le risque de réidentification de la personne infectée à l’origine d’une alerte, ce qui est tout à fait conforme avec les principes de protection des données personnelles
- observe que des données concernant la santé seront traitées par le dispositif.
Sur ce dernier point, la CNIL rappelle qu’il convient donc de respecter les règles du RGPD et de la loi Informatique et libertés applicables au traitement de données de santé. Mais, en fonction des usages prévus, le projet devra également être conforme aux dispositions du code de la santé publique relatives notamment au partage et à l’hébergement des données.
Ce qui signifie par exemple que si les données de santé sont confiées à un hébergeur, celui-ci devra être certifié.
Maintenant penchons-nous sur les aspects de la délibération de la CNIL quant au respect des grands principes du RGPD …. (à suivre)