Le secrétaire d’état chargé du numérique a spontanément saisi la CNIL afin de vérifier que l’application mobile « StopCovid » que le Gouvernement entend mettre à disposition du public soit conforme en tout point au droit de la protection des données personnelles tant au niveau national qu’au niveau européen.
StopCovid est une application de « suivi de contacts » (« contact tracing »), utilisable sur un ordiphone (smartphone) ou autres équipements mobiles et destinée à avertir les usagers qu’ils « ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au COVID-19 ».
Cette application fonctionnera sous les systèmes d’exploitation Android et iOS et « d’un serveur central qui assurera le stockage et la transmission d’un certain nombre de données nécessaires ».
La Commission, sans s’opposer à ce projet, a souligné combien il pose « des questions inédites en termes de protection de la vie privée ». Le risque est grand qu’une telle application entraîne « un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être [selon elle] réservé à certaines situations exceptionnelles ».
Elle a constaté la mise en place de plusieurs garanties. Tout d’abord, l’utilisateur sera identifié par un pseudonyme, soit « une donnée non identifiante par elle-même ». Les données personnelles restent anonymes.
Ensuite, le dispositif est fondé sur le volontariat. Les personnes sont libres de télécharger ou pas l’application. Toutefois, la Commission précise que ce caractère volontaire devra être mentionné textuellement. Si une personne refuse de recourir à ce dispositif, elle ne devrait subir aucune conséquence négative (par exemple, « subordonner certains droits ou accès à l’utilisation de cette application »).
Un traitement de données à caractère personnel doit être fondé sur une base légale. Le gouvernement hésite entre le consentement de ses utilisateurs ou l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La seconde hypothèse a les faveurs de la Commission car elle permet de « concilier en toute sécurité juridique le caractère volontaire de l’utilisation de cette application et les éventuelles incitations des pouvoirs publics à une telle utilisation, afin de promouvoir son utilisation la plus large possible ». Elle demande au gouvernement que ce dispositif soit doté « d’un fondement juridique explicite et précis dans le droit national ». Lorsque le gouvernement aura fait ses choix, celui-ci est invité « de la saisir à nouveau du projet de norme encadrant la mise en œuvre de l’application en cause ».
Les atteintes au respect de la vie privée ne sont admises uniquement si les mesures sont proportionnées, ce qui implique d’une part que « la collecte et le traitement de données opérées par l’application revêtent un caractère temporaire, d’une durée limitée à celle de l’utilité du dispositif au regard des finalités » et d’autre part que « les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée ».
Le gouvernement doit garder en tête les limites intrinsèques d’un tel dispositif ; celui-ci doit donc être complété par des méthodes dites traditionnelles de recherche de contacts.
Afin de s’assurer l’efficacité de cette technologie, la Commission a livré trois principales recommandations :
1° Une partie suffisante de la population doit pouvoir accéder dans de bonnes conditions à l’utilisation de cette application.
2° L’effectivité du dispositif repose « sur un bon calibrage des algorithmes permettant d’identifier une interaction susceptible d’avoir engendré une contamination ».
3° Le gouvernement doit s’intéresser tout au long de « l’impact du dispositif sur la stratégie sanitaire globale ».
(Avis CNIL 24 avril 2020 n° 2020-046, portant avis sur un projet d’application mobile dénommée « StopCovid »)
