B. UN CADRE JURIDIQUE PRÉCISÉ À DEUX REPRISES GRÂCE À LA CNIL
Marque de la volonté du Gouvernement d'être irréprochable sur la conformité de l'application au droit de la protection des données personnelles, la CNIL a été saisie à deux reprises afin qu'elle se prononce sur l'application « StopCovid » .
Saisie, en premier lieu par le secrétaire d'État chargé du numérique d'une demande d'avis concernant les conditions et modalités de l'éventuelle mise en oeuvre de l'application « StopCovid » au regard des règles françaises et européennes de protection des données à caractère personnel, la CNIL a estimé, dans sa première délibération 176 ( * ) du 24 avril 2020, que le projet d'application semblait conforme à ces normes , sous réserve qu'elle soit réellement utile à la stratégie de déconfinement et qu'elle soit conçue de façon à protéger la vie privée des utilisateurs. Elle formulait ainsi plusieurs réserves, suggestions et mises en garde.
|
L'avis de la CNIL sur le principe d'une application de suivi des contacts La CNIL a considéré, à titre liminaire, que l'application traiterait bien des données personnelles (en raison du lien existant entre les pseudonymes, les applications téléchargées, et les terminaux de chaque utilisateur) - et notamment des données de santé (comme le risque d'exposition au virus) - et serait bien soumise, comme telle, au RGPD et à la loi Informatique et libertés. Comme l'avait rappelé Mme Marie-Laure Denis, présidente de la CNIL, lors de son audition par la commission des lois, la présence de données personnelles n'interdit pas leur traitement, mais impose au responsable de traitement de prévoir des garanties adaptées et d'autant plus fortes que les technologies sont intrusives . Tout en soulignant les risques d'une telle application pour la protection de droits fondamentaux et après avoir appelé à une grande prudence (« le recours à des formes inédites de traitement de données [pouvant] créer dans la population un phénomène d'accoutumance propre à dégrader le niveau de protection de la vie privée et [devant] donc être réservé à certaines situations exceptionnelles »), la CNIL a constaté que : - le principe de stricte limitation des finalités était respecté, l'application étant limitée à l'alerte de personnes exposées au risque de contamination (« l'application StopCovid n'a pas pour objet de surveiller le respect de mesures de confinement ou d'autres obligations sanitaires ») ; - le recours à l'application se ferait volontairement , toute obligation étant écartée et qu'il appartenait donc au Gouvernement de préciser la base juridique du traitement de données personnelles qu'il envisageait : soit le consentement libre et éclairé qui doit être recueilli dans les conditions exigeantes précisées par la CNIL (cela implique qu'il n'y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l'accès aux tests et aux soins, mais également pour l'accès à certains services à la levée du confinement, tels que les transports en commun), soit de la mission d'intérêt général de l'État dans la lutte contre l'épidémie de covid-19, qui devrait dès lors être inscrite dans notre droit par une norme explicite et protectrice des droits de nos concitoyens ; - l'atteinte portée à la vie privée semble proportionnée à l'objectif poursuivi ; à cet égard, d'une part, la collecte et le traitement de données opérés par l'application doivent revêtir un caractère temporaire (« les données [étant] supprimées dès le moment où l'utilité de l'application ne sera plus avérée »), et, d'autre part, le Gouvernement doit pouvoir démontrer raisonnablement l'utilité effective de l'application dans la lutte contre la crise. La CNIL a souligné, enfin, que l'ensemble de ces précautions et garanties était de nature à favoriser la confiance du public dans ce dispositif, qui constituait un facteur déterminant de sa réussite et de son utilité , et demandait au Gouvernement de la saisir à nouveau du projet d'application et du projet de norme l'encadrant lorsque la décision aura été prise et le projet précisé. |
La CNIL s'est prononcée, en second lieu, le 25 mai 2020 sur le projet de décret 177 ( * ) relatif à l'application mobile « StopCovid ». Elle a constaté que ses principales recommandations formulées le 24 avril 2020 avaient été prises en compte et estimé ainsi que ce dispositif temporaire, basé sur le volontariat, pouvait légalement être mis en oeuvre.
Afin d'assurer la pleine conformité du traitement au RGPD, elle a néanmoins émis plusieurs observations sur le projet de décret qui lui a été soumis et sur les conditions opérationnelles de déploiement de l'application.
Enfin, la CNIL, dès le mois de juin, a annoncé qu'elle mènerait une campagne spécifique de contrôle des outils numériques de lutte contre l'épidémie, notamment pour vérifier la destruction des données collectés à l'échéance des durées de conservation autorisées. Elle a indiqué que, de ce fait, elle pourrait utilement répondre à certaines interrogations soulevées sur la conformité réelle du fonctionnement de l'application au décret autorisant StopCovid (crainte de remontée excessive d'informations au serveur ; utilisation d'un outil - « reCaptcha » - ou de solutions d'hébergement impliquant des transferts indus de données hors de l'Union européenne...).
|
L'avis de la CNIL sur les conditions de mise en oeuvre
par décret
Après avoir réitéré les constats généraux de son précédent avis, la CNIL a relevé que ses précédentes recommandations avaient bien été prises en compte (désignation explicite de la responsabilité du traitement, confiée au ministère en charge de la politique sanitaire ; absence de conséquence juridique négative attachée au choix de ne pas recourir à l'application ; mesures de sécurité entourant l'application). Elle a estimé que « l'utilité de l'application et la nécessité du traitement projeté [étaient] suffisamment démontrées » dès lors qu'elle paraissait, en l'état incertain des connaissances épidémiologiques, être un instrument complémentaire du dispositif d'enquêtes sanitaires manuelles et qu'elle permettait des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus. Néanmoins, la CNIL a estimé que l'utilité réelle du dispositif devrait être plus précisément étudiée après son lancement, la durée de mise en oeuvre du dispositif devant être ainsi conditionnée aux résultats de cette évaluation régulière. La CNIL a en outre formulé plusieurs recommandations complémentaires : - l'amélioration de l'information fournie aux utilisateurs, en particulier s'agissant des conditions d'utilisation de l'application, des modalités d'effacement des données personnelles, et de la nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs ; - la confirmation dans le décret à venir d'un droit d'opposition et d'un droit à l'effacement des données pseudonymisées enregistrées ; - le libre accès à l'intégralité du code source de l'application mobile et du serveur. |
* 176 Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d'application mobile dénommée « StopCovid ».
* 177 Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ».