Voici un résumé des 11 pages de l’avis de la CNIL sur le projet d’application STOPCOVID du gouvernement français : il est globalement positif sous certaines conditions.
« Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »
… Il ne s’agit pas de tracer les individus de façon continue. Néanmoins, il s’agit d’établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l’application.
La protection de la vie privée est garantie par la Constitution et d’autres sources de droit ; le fait de collecter les listes de personnes que les individus ont fréquentées y porte une atteinte forte, qui ne peut, le cas échéant, être justifiée que la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé, qui découle du onzième alinéa du préambule de la Constitution de 1946 (…)
(…) En premier lieu, il faut souligner qu’afin de pouvoir informer un utilisateur d’une exposition possible au virus, le serveur central doit vérifier s’il existe une concordance entre les pseudonymes attribués, lors de son installation, à l’application de cet utilisateur et ceux ayant été transmis au serveur central par l’application d’une autre personne reconnue comme positive. Il en résulte que demeure un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée. Du fait de ce lien, la Commission estime que le dispositif traitera des données à caractère personnel au sens du RGPD.
En deuxième lieu, le serveur central disposerait de l’information selon laquelle un utilisateur aura ou non reçu une notification lui indiquant qu’il a été exposé au virus. La Commission relève que toute l’architecture du dispositif envisagée tend à ne faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier. Elle souligne que ce procédé minimise le risque de réidentification de la personne infectée à l’origine d’une alerte, dans le plein respect des principes de protection des données personnelles. (…)
Néanmoins, la Commission rappelle que la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en oeuvre du dispositif. Elle impose cependant de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives, garanties au titre desquelles l’atténuation des possibilités de ré-identification constitue une mesure essentielle.
Un dispositif fondé sur le volontariat
Une finalité limitée à l’alerte de personnes exposées au risque de contamination
(…) L’objectif de « suivi de contacts » poursuivi par le dispositif consiste à pouvoir informer un utilisateur de l’application que son téléphone (ou autre équipement mobile) s’est trouvé à proximité, au cours des jours précédents, de celui d’une personne ayant ultérieurement été diagnostiquée positive au COVID-19, de sorte qu’il existe un risque qu’il ait été contaminé à son tour.
A cet égard, il convient de souligner que le volontariat ne doit pas uniquement se traduire par le choix, pour l’utilisateur, de télécharger puis de mettre en oeuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au COVID-19 dans l’application) ou la faculté de la désinstaller. Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.(….)
En l’espèce, le gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
A titre liminaire, la Commission rappelle qu’un usage volontaire de l’application est compatible en droit avec l’une ou l’autre de ces « bases légales ».
En conséquence, elle estime que la mission d’intérêt public, au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés », constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid. (…)
L’admissibilité de l’atteinte à la vie privée par un dispositif de suivi de contacts
(…) D’une part, le respect du principe de proportionnalité se traduira notamment par une collecte et une conservation des données limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte portée à la vie privée des personnes. Cette garantie fondamentale implique en l’espèce que la collecte et le traitement de données opérés par l’application revêtent un caractère temporaire, d’une durée limitée à celle de l’utilité du dispositif au regard des finalités précédemment décrites. Elle implique également que toutes les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée. Dans l’hypothèse où une exploitation statistique ou à des fins de recherche scientifique se révélerait néanmoins nécessaire, celle-ci devra être réalisée en priorité sur des données anonymisées ou, à défaut, dans le strict respect des règles fixées par le RGPD et la loi « Informatique et Libertés ».
En premier lieu, son efficacité dépend de certaines conditions techniques, notamment la possibilité pour une proportion suffisante de la population d’accéder à l’application et de l’utiliser dans de bonnes conditions. Cela signifie notamment qu’il serait souhaitable que cette application soit disponible sur suffisamment de magasins d’applications mobiles (« appstores », « playstore », etc.) et compatible avec la majorité des téléphones et autres équipements mobiles actuellement en circulation, tant d’un point de vue matériel que logiciel.(…)
(…) En quatrième lieu, un dispositif numérique de suivi individualisé des personnes ne peut être mis en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale. (…)
(…) Enfin, elle recommande que l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée. Cela permettra aux pouvoirs publics de décider de manière éclairée son maintien ou non au regard, notamment, des principes de proportionnalité et de nécessité. La Commission recommande que ces analyses lui soient, le cas échéant, communiquées, afin de lui permettre d’exercer sa mission de contrôle de la conformité de la mise en oeuvre du dispositif projeté. (…)
(….) Sur la nécessité de réaliser une analyse d’impact sur la protection des données
La Commission attire l’attention du gouvernement sur le fait que, comme tout traitement susceptible de présenter des risques élevés (données de santé, usage à grande échelle, suivi systématique, utilisation d’une nouvelle solution technologique), une analyse d’impact sur la protection des données (AIPD) devra être réalisée avant toute mise en œuvre d’un tel dispositif. La publication de l’AIPD est recommandée à des fins de transparence et au regard du contexte actuel. (…)
(…) Sur la sécurité :
En premier lieu, la Commission relève que le dispositif envisagé comprend un serveur chargé de la centralisation des identifiants des personnes exposées. Afin d’apporter les garanties les plus élevées possibles contre tout détournement de finalité lié à ce choix, elle estime nécessaire que des mesures de sécurité organisationnelles et techniques de très haut niveau soient mises en place, en accord avec un modèle de sécurité adapté prenant en compte tout acte malveillant
En deuxième lieu, la Commission estime nécessaire que des mesures soient mises en oeuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs.
En troisième lieu, la Commission rappelle que seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en oeuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé. (…)
(…) Par ailleurs, la Commission accueille favorablement le fait que des éléments de documentation technique ont déjà été rendus publics. Elle souligne à cet égard l’importance d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage. Il s’agit tant de permettre à la communauté scientifique de contribuer à l’amélioration constante du dispositif et à la correction des éventuelles vulnérabilités que de garantir une parfaite transparence vis-à-vis de l’ensemble des citoyens. Elle recommande par ailleurs, afin de maximiser la qualité de la solution, que les commentaires et débats de la communauté scientifique soient pris en compte.
Sur le respect des droits des personnes sur leurs données à caractère personnel
La maitrise de leurs données par les personnes concernées est une garantie essentielle pour garantir la confiance du public dans les mesures prises aux fins de gestion de la crise du COVID-19. Une information appropriée devra donc être fournie aux utilisateurs, dans le respect des articles 12 à 14 du RGPD. Dans la mesure où une partie importante de la population est susceptible d’être concernée par le dispositif, la Commission insiste notamment sur la nécessité de délivrer une information compréhensible par le plus grand nombre, dans des termes clairs et simples.
La Commission rappelle que des situations telles que l’épidémie actuelle de COVID- 19 ne suspendent ni ne restreignent, par principe, la possibilité pour les personnes concernées d’exercer leurs droits sur leurs données à caractère personnel conformément aux dispositions des articles 12 à 22 du RGPD. »