Depuis plusieurs semaines, on entend parler de la stratégie de déconfinement ou plutôt de stratégies au pluriel puisqu'en fait rien n'est vraiment fixé, tellement on entend de choses ici et là. Et parmi les pistes explorées par le gouvernement, il y a celle de StopCovid, une application mobile qui servirait à détecter si l'on a été en contact proche avec une personne atteinte du Covid-19. Une telle application se baserait alors sur les déplacements et sur l'entourage des personnes, ce qui induit la question de la confidentialité, du traitement des données personnelles et de la conformité au Règlement Général de la Protection des Données (RGPD). Le secrétaire d'État chargé du numérique a donc saisi la Commission Nationale de l'Informatique et des Libertés (CNIL) afin qu'elle rende un avis sur cette application. Cet avis a été rendu le 24 avril dernier et je vous en prose ici un bref résumé.
Application StopCovid : qu'est ce que c'est ?
L'application StopCovid est une application imaginée par le Gouvernement dans le cadre du déconfinement à venir. L'idée de cette application, conçue dans des circonstances exceptionnelles, est de permettre le contact tracking, c'est a dire le suivi de contact, afin de détecter si un utilisateur a été en contact avec une personne détectée positive au Covid-19. Pour ce faire l'application utiliserait uniquement la technologie Bluetooth, qui permet de détecter un contact relativement proche et ne ferait donc pas usage des données de géolocalisation comme on pourrait le penser. Cette application serait basée sur une utilisation volontaire : les citoyens pourraient ainsi décider de l'installer ou non, et de l'utiliser s'ils le souhaitent.
Dans la théorie, cette application permettrait potentiellement de détecter plus rapidement de nouveaux malades et de les prendre en charge dès la contamination afin d'éviter des retransmissions en chaîne... Mais dès lors se pose la question du traitement des données personnelles des utilisateurs de l'application et de la conformité d'une telle application au RGPD. De ce fait, il est paru inévitable d'interroger la CNIL à ce sujet.
StopCovid, données personnelles et RGPD : l'avis de la CNIL
La CNIL a donc été invitée à rendre un premier avis sur l'utilisation d'un telle application, sans en connaître réellement les conditions de mise en oeuvre. Et la réponse de la réponse de la CNIL a été quelque peu nuancée puisque celle-ci estime que l'application pourrait être conforme au RGPD, mais sous certaines conditions.
La première condition réside dans le caractère volontaire et facultatif de l'utilisation de cette application. Il est en effet inconcevable pour la CNIL de rendre une telle application obligatoire et de prévoir des conséquences négatives pour les personnes ne l'utilisant pas. La seconde condition est le caractère temporaire de cette application, uniquement le temps du déconfinement et strictement motivée par les besoins de la crise sanitaire. Ainsi, les impacts de StopCovid sur la crise devront être étudiés et communiqués régulièrement afin de justifier ou non le maintien de l'application. Enfin, la CNIL rappelle que l'application traite de données personnelles, et notamment des données de santé et qu'elle se doit d’être conforme au RGPD. À ce titre, la conservation des données doit être définie pour une durée limitée et l'utilisation de pseudonymes, sans autres données personnelles (pas besoin de nom, d'adresse mail...) doit permettre de ne pas pouvoir reconstituer la liste des personnes contaminées, afin de garantir la confidentialité.
L'encadrement du déploiement
Dans son avis du 24 avril dernier, la Commission a déclaré qu'une telle application pouvait être déployée si elle s'inscrivait dans une stratégie sanitaire globale : comprenez ici que l'application ne se suffira pas a elle même et qu'elle doit être accompagnée d'un vrai dispositif sanitaire, ainsi que d'un contrôle sur son efficacité. Cette application nécessiterait alors de respecter certaines préconisations, notamment en terme de sécurité. Cette sécurisation de l'application et de ses données permettrait alors une meilleur adoption du public et donc une plus grande efficacité.
Mais pour encadrer davantage le déploiement de cette application, la CNIL souhaiterait opérer un contrôle des modalités définitives de mise en place. Elle souhaite donc pouvoir se prononcer à nouveau une fois que les débats parlementaires auront eu lieu et que le texte final sera rédigé, afin de connaitre toutes les modalités de mise en oeuvre.
Finalement, cette application verra t-elle le jour ? Jusqu'à hier, rien n'était moins sûr. Nos dirigeants semblaient dire que l'application ne devrait pas être déployée. Mais ce matin, j'ai aperçu plusieurs news annonçant la sortie de l'application pour le 2 juin prochain. Il semblerait donc que StopCovid va devenir très bientôt une réalité. Affaire à suivre !
Partager la publication "StopCovid : quel est l'avis de la CNIL sur cette (future) application ?"