Déconfinement : le projet d’application Stop Covid vu par la Cnil

Dans le cadre de la poursuite du déconfinement, le Gouvernement travaille au déploiement d’une application mobile, Stop Covid, permettant le suivi de contacts avec des personnes diagnostiquées positives au Covid-19. Saisie par le Gouvernement, la Commission nationale informatique et libertés (Cnil) s’est prononcée, fin avril, sur le dispositif projeté. Décryptage.

(C)AdobeStock
(C)AdobeStock

L’application Stop Covid repose sur une démarche volontaire des utilisateurs et l’utilisation de pseudonymes. Elle permet la recherche de contacts (contact tracing) grâce à l’utilisation de la technologie Bluetooth, sans recourir à la géolocalisation des utilisateurs. Ceux-ci pourront être avertis d’un risque de contamination lié au fait d’avoir croisé des personnes infectées. La Cnil a été saisie par le Gouvernement pour une demande d’avis sur la conformité de ce projet au Règlement général sur la protection des données (RGPD). L’avis a été rendu le 26 avril dernier.

La Commission a tout d’abord insisté sur l’importance du volontariat dans l’usage de l’application, en précisant qu’un tel consentement, pour qu’il soit libre, supposait qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun.

Le recours à la “pseudonymisation” des utilisateurs, qui ne doit pas permettre de remontée de listes de personnes contaminées, est également un aspect positif important du projet, souligné par la Cnil.

Utilisation temporaire et conservation des données limitée

Pour la Cnil, l’application peut être déployée, conformément au RGPD, « si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées. En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée ». L’autorité indépendante recommande donc que « l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien ».

Elle prend également la peine de préciser, dans son avis, qu’une telle application ne saurait être considérée comme une fin en soi et que son développement et son utilisation devront s’inscrire dans une stratégie sanitaire globale.

Par ailleurs, comme tout traitement susceptible de présenter des risques élevés (données de santé, usage à grande échelle, suivi systématique, utilisation d’une nouvelle solution technologique), l’application devra, rappelle l’autorité indépendante, faire l’objet d’une Analyse d’impact sur la protection des données (AIPD), avant sa mise en œuvre.

Enfin, la question sécuritaire étant centrale dans le dispositif envisagé, il sera nécessaire, précise encore la Cnil, de recourir à des tiers de confiance indépendants et toutes autres mesures pertinentes pour sécuriser les identifiants des personnes concernées.

Étant donné la sensibilité, du point de vue de l’opinion publique, de ce projet, il est également important, d’après la Cnil, d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage, afin de permettre à la communauté scientifique de contribuer à l’amélioration constante du dispositif et à la correction des éventuelles vulnérabilités, et de garantir une parfaite transparence vis à vis de l’ensemble des citoyens.