[Brèves] La CNIL accepte le déploiement de l’application de traçage « StopCovid » sous conditions

► Dans sa délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile de traçage dénommée « StopCovid » (CNIL, délibération n° 2020-046, 24 avril 2020 N° Lexbase : X0155CKX), la CNIL estime le dispositif conforme au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) si certaines conditions sont respectées ;  elle relève qu’un certain nombre de garanties sont apportées par le projet du Gouvernement et demande certaines garanties supplémentaires ;  la CNIL souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale.

• Les garanties apportées par le projet du Gouvernement

Usage volontaire de l’application. L’usage de l'application envisagée par le Gouvernement est volontaire. La CNIL précise que cela implique qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun.

Protection des données à caractère personnel. La CNIL reconnaît qu’elle respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées. L’analyse du protocole technique par la Commission confirme cependant que l’application traitera bien des données personnelles et sera soumise au « RGPD ». Elle attire l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée.

• Les garanties supplémentaires demandées par la CNIL

La CNIL estime que l’application peut être déployée, conformément au « RGPD », si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

Application limitée dans le temps. L’utilisation de l’application doit être temporaire et les données doivent être conservées pendant une durée limitée.

Suivi de l’impact du dispositif. La CNIL recommande que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Intégration de l’application dans une stratégie sanitaire globale. La CNIL rappelle que l'utilisation d'applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ». Elle souligne que son efficacité dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public et d’un paramétrage adéquat.

Sécurité du dispositif et préconisations techniques. Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité. La CNIL estime opportun que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite dans le droit national.

La CNIL demande à pouvoir se prononcer à nouveau, après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

© Reproduction interdite, sauf autorisation écrite préalable