Réf. : CNIL, délibération n° 2020-135, 17 décembre 2020 (N° Lexbase : X7938CMX) ; décret n° 2021-157, du 12 février 2021, modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z310331C)
Lecture: 6 min
N6479BYM
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 24 Février 2021
► Dans sa délibération en date du 17 décembre 2020, la CNIL s’est prononcée sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z368819U) ; les évolutions visent principalement à alerter les utilisateurs de l’application désormais dénommée « TousAntiCovid » lorsqu'elles ont été présentes dans un établissement recevant du public en même temps qu’une ou plusieurs personnes ultérieurement diagnostiquées ou dépistées positives à la covid-19.
Le contexte. Le projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application désormais dénommée « TousAntiCovid ».
L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la covid-19.
Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.
Concernant le dispositif d’enregistrement des visites dans certains établissements recevant du public. L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer la proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.
Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :
- le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
- aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;
- les données sont séparées de celles traitées dans le cadre du protocole ROBERT.
| N.B. : le protocole ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont le but est de permettre le développement de solutions interopérables de suivi de contacts, respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie. |
Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).
La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.
Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.
Concernant la priorisation des cas contacts dans l’accès aux examens et tests de dépistage. La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».
Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.
Publication. Le décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » est publié au JO du 14 février 2021.
Objet. Le décret modifie la dénomination de l'application « StopCovid » qui devient « TousAntiCovid » et complète ses finalités pour permettre aux utilisateurs de faire état de leur statut de « contacts à risque de contamination » afin de bénéficier d'un test ou d'un examen de dépistage de la covid-19 et d'accéder à des informations complémentaires sur la situation sanitaire. Le texte permet en outre la collecte de la date du dernier contact avec une personne diagnostiquée ou dépistée positive au virus covid-19 et prolonge la durée de mise en œuvre de l'application jusqu'au 31 décembre 2021.
Entrée en vigueur. Les dispositions du décret entrent en vigueur le lendemain de sa publication, soit le 15 février 2021, à l'exception de celles relatives à l'information de l'utilisateur sur la période au cours de laquelle il a eu un contact avec une personne diagnostiquée ou dépistée positive au virus covid-19, ainsi que celles portant sur la conservation de ces informations, qui entrent en vigueur le seizième jour suivant celle-ci.
| Pour faire le point sur l'évolution de l'application « TousAntiCovid » : v. ÉTUDE : L'application « TousAntiCovid » (anciennement « StopCovid »), in Covid-19, Lexbase (N° Lexbase : E69653MW). |
© Reproduction interdite, sauf autorisation écrite préalable
newsid:476479
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.