Posted in Actualités, Sécurité

L’avis de la CNIL sur le projet StopCovid : feu vert sous condition

   27 avril 2020

Le Gouvernement rend public l’avis de la Commission nationale Informatique et Libertés (CNIL) relatif au projet d’application mobile StopCovid.

Notre commentaire :

En marge de notre actualité sur le monde du datacenter, nous publions la communication du Cabinet de Cédric O, le Secrétariat d’Etat chargé du numérique, sur le projet StopCovid, un sujet qui intéresse la majorité de nos lecteurs.

Rappelons que l’application mobile de traçage des individus que souhaite imposer l’exécutif reste soumise au vote des parlementaires le mardi 28 avril.

Apple et Google se sont positionnés sur ce projet, qui repose sur les smartphones via le Bluetooth. Mais le secrétaire d’Etat au numérique a indiqué que le gouvernement n’utilisera pas la plateforme mise à disposition par Apple et Google pour servir de moteur à l’application StopCovid. “C’est une question de souveraineté sanitaire et technologique. StopCovid sera la seule application totalement intégrée dans la réponse sanitaire de l’État français. Cela ferme le débat”.

La communication du Secrétariat d’Etat chargé du numérique

A l’image des travaux menés par la plupart de ses partenaires européens, la France étudie la possibilité qu’une application mobile d’historique de proximité puisse constituer une brique importante du dispositif d’enquêtes sanitaires qui accompagnera le déconfinement et devra permettre de casser les chaines de transmission de l’épidémie de COVID-19.

Comme s’y est engagé le Gouvernement, le projet d’application Stop Covid fait l’objet d’une démarche transparente et ouverte afin de permettre un débat large et éclairé et de créer les conditions de confiance et de compréhension nécessaires pour s’assurer, le cas échéant, une large adhésion des Françaises et Français.

Dans ce cadre, le Secrétariat d’Etat chargé du numérique, qui co-pilote le projet avec le Ministère des solidarités et de la santé, a saisi la CNIL le 20 avril 2020 afin qu’un avis soit rendu en amont des débats parlementaires. La CNIL a été saisie sur trois questions relatives au respect par le projet d’application du cadre français de protection de la vie privée : la nature des données impliquées dans l’application et en particulier leur caractère personnel afin de mettre en place les mesures adaptées, la conformité d’un tel dispositif aux règles de protection des données personnelles et, le cas échéant, les garanties supplémentaires qu’il conviendrait de prévoir.

L’avis qui a fait l’objet d’une délibération le 24 avril 2020 est rendu public ce jour conformément à la demande du Gouvernement.

Le Gouvernement retient en particulier les points suivants qui confortent la démarche engagée :

  • La Commission estime que le dispositif projeté est soumis aux règles de protection des données à caractère personnel, tout en reconnaissant que les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification.
  • Elle confirme que l’application peut s’inscrire dans le cadre législatif et réglementaire actuel en estimant que la mission d’intérêt publicconstitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid.
  • La Commission considère que les opérations d’accès à des informations stockées et l’inscription d’informations dans le terminal sont strictement nécessaires à la fourniture du service et qu’elles sont donc licites.
  • Le Gouvernement retient également l’importance accordée par la CNIL à la question de l’efficacité du dispositif dans une démarché sanitaire globale, qui doit être éclairée par les épidémiologistes et notamment par l’avis du Conseil Scientifique. La Commission rappelle que l’atteinte portée à la vie privée ne serait en l’espèce admissible que si le Gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population.

Le Gouvernement tiendra le plus grand compte des recommandations formulées par la CNIL dans la suite des travaux afin d’apporter le maximum de garanties nécessaires, en particulier les suivantes :

  • L’application devrait être le plus largement disponible et le déploiement devrait prendre en compte la situation des personnes non équipées.
  • L’information donnée par l’application devrait être associée à la possibilité pour ces personnes d’échanger avec un personnel qualifié.
  • Le caractère volontaire de l’utilisation de l’application devrait être explicitement prévu dans les textes juridiques régissant ce dispositif comme dans l’information du public et aucune conséquence négative de devra être attachée à l’absence de téléchargement ou d’utilisation de l’application.
  • L’implication centrale des autorités de santé devrait être garantie pour assurer la responsabilité de traitement.
  • Une attention particulière devrait être portée à la clarté des informations données et aux mesures permettant aux personnes d’exercer leurs droits sur leurs données à caractère personnel.

Dans l’hypothèse où le lancement public de l’application du projet StopCovid serait confirmé et comme l’y invite la CNIL, le Gouvernement réalisera et publiera une analyse d’impact sur la protection des données et soumettra de nouveau le projet finalisé, le cas échéant accompagné des projets de dispositions réglementaires envisagées.

Par ailleurs, comme s’y est engagé le Gouvernement et comme le demande la CNIL, le code source de l’application, du serveur central et leur paramétrage sera ouvert.

Les podcast, les vidéos et les micro-infographies DCmag sont proposés sous licence Creative Commons CC BY-ND (Creative Commons Attribution-NoDerivatives 4.0 International Public License), et destinées à alimenter les sites, blogs et documents produits par et pour l’écosystème des datacenters.