C. LE CADRE JURIDIQUE RAPPELÉ PAR LA CNIL : UNE CONFORMITÉ AU DROIT QUI RESTE ENCORE CONDITIONNÉE À CERTAINS CHOIX ET GARANTIES
Saisie par le secrétaire d'État chargé du numérique d'une demande d'avis concernant les conditions et modalités de l'éventuelle mise en oeuvre de l'application « StopCovid » au regard des règles françaises et européennes de protection des données à caractère personnel, la CNIL a estimé , dans sa délibération du 24 avril dernier 70 ( * ) , que le projet d'application était conforme à ces normes, au bénéfice de plusieurs réserves, suggestions et mises en garde.
La CNIL a considéré, à titre liminaire, que l'application traiterait bien des données personnelles (en raison du lien existant entre les pseudonymes, les applications téléchargées, et les terminaux de chaque utilisateur) - et notamment des données de santé (comme le risque d'exposition au virus) - et serait bien soumise, comme telle, au RGPD et à la loi Informatique et libertés.
Comme l'avait rappelé Mme Marie-Laure Denis, présidente de la CNIL, lors de son audition au Sénat, la présence de données personnelles n'interdit bien sûr pas leur traitement mais impose au responsable de traitement de prévoir des garanties adaptées et d'autant plus fortes que les technologies sont intrusives .
À ce stade, tout en soulignant les risques d'une telle application pour la protection de droits fondamentaux et après avoir appelé à une grande prudence (« le recours à des formes inédites de traitement de données [pouvant] créer dans la population un phénomène d'accoutumance propre à dégrader le niveau de protection de la vie privée et [devant] donc être réservé à certaines situations exceptionnelles »), la CNIL a constaté que :
- le principe de stricte limitation des finalités est respecté, l'application étant limitée à l'alerte de personnes exposées au risque de contamination (« l'application StopCovid n'a pas pour objet de surveiller le respect de mesures de confinement ou d'autres obligations sanitaires ») ;
- le recours à l'application se ferait volontairement , toute obligation étant écartée ; reste donc au Gouvernement à préciser la base juridique du traitement de données personnelles qu'il envisage ; soit il s'agit du consentement libre et éclairé qui doit être recueilli dans les conditions exigeantes précisées par CNIL (qui précise que cela implique qu'il n'y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l'accès aux tests et aux soins, mais également pour l'accès à certains services à la levée du confinement, tels que les transports en communs), soit il s'agit de la mission d'intérêt général de l'État dans la lutte contre l'épidémie de covid-19, qui devrait lors être inscrite dans notre droit par une norme explicite et protectrice des droits de nos concitoyens ;
- l'atteinte portée à la vie privée semble proportionnée à l'objectif poursuivi ; à cet égard, d'une part, la collecte et le traitement de données opérés par l'application doivent revêtir un caractère temporaire (« les données [étant] supprimées dès le moment où l'utilité de l'application ne sera plus avérée »), et, d'autre part, le Gouvernement doit pouvoir démontrer raisonnablement l'utilité effective de l'application dans la lutte contre la crise.
La CNIL souligne enfin que l'ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité , et demande au Gouvernement de la saisir à nouveau du projet d'application et du projet de norme l'encadrant lorsque la décision aura été prise et le projet précisé.
* 70 Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d'application mobile dénommée « StopCovid ».