Dans un avis officiel publié mardi, la Commission Nationale de l’Informatique et des Libertés donne son quitus au déploiement de l’application de traçage Stop Covid, estimant qu’elle n’enfreint pas les dispositions relatives à la protection de la vie privée. Elle formule toutefois quelques dernières recommandations pour la mise en oeuvre du système, et demande que l’utilité du dispositif soit étudiée après son lancement.
Semaine décisive pour StopCovid. Avec un mois et demi de retard sur le calendrier initial et après de nombreuses polémiques, la future application de « contact tracing » entre dans sa dernière ligne droite avant son déploiement. Quelques heures avant avant le débat et le vote prévus ce mercredi et jeudi au Parlement, la Commission Nationale Informatique et Libertés (CNIL) a donné son « feu vert » à la mise en place de l’application de traçage de contacts pour smartphones voulue par le gouvernement pour lutter contre l’épidémie du coronavirus. La CNIL s’est prononcée en urgence lundi 25 mai, dans un avis publiée ce mardi.
#tracking La @CNIL donne son feu ? à l'application de traçage de contacts #StopCovid. Dernière étape: le Parlement doit se prononcer demain sur cette dernière lors d'1 vote
➡️ La délibération https://t.co/8ODy3i1BlV
➡️ Les conditions de mise en oeuvre https://t.co/OUBjFHV0en pic.twitter.com/CIshVzmc5C— L'Echiquier social (@EchiquierSocial) May 26, 2020
Cette application de traçage numérique vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 disposant du même logiciel. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth. Si un utilisateur découvre qu’il est porteur du coronavirus, il pourra alerter les personnes croisées, en notifiant l’application de sa contamination. Le système développée permettra à un utilisateur de garder la trace des autres utilisateurs croisés pendant les deux dernières semaines (à moins d’un mètre, pendant au moins 15 minutes).
Coronavirus: découvrez les contours de l'application de traçage «Stop Covid» Très intéressant le lapsus de l'avocat ON / GOUVERNEMENT à 0:32 https://t.co/N6XoI7kJtJ
— Federico es φ ? (@fredreves) April 10, 2020
L’existence de gardes-fous pour empêcher les dérives
StopCovid suscite les craintes de bon nombre défenseurs de la vie privée, qui craignent qu’elle ne marque un premier pas vers une société de la surveillance où nos faits et gestes sont épiés en permanence par des systèmes automatiques. Dans son avis, la Cnil, qui avait déjà donné un feu vert de principe fin avril, constate que les concepteurs de l’application ont érigé un certain nombre de garde-fous pour empêcher les dérives. La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions.
Elle constate à ce titre que l’application, dans l’option qui a été retenue par le gouvernement français, ne conduira pas à créer une liste des personnes contaminées, mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. L’application respecte ainsi selon la CNIL les différentes dispositions législatives relatives à la protection de la vie privée, et ce ce dès la conception. La commission constate également que les principales recommandations formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment la responsabilité du traitement confiée au ministère en charge de la politique sanitaire, l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application, ou encore la mise en œuvre de certaines mesures techniques de sécurité.
Quelques observations
Une « amélioration de l’information fournie aux utilisateurs »
La CNIL formule toutefois dans ce nouvel avis plusieurs recommandations complémentaires visant à renforcer encore davantage la protection de la vie privée des individus. Elle souhaite notamment une « amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles », indique t-elle dans un communiqué. Elle évoque ainsi la nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs et la confirmation dans le décret à venir sur l’application « d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées ». Elle demande par ailleurs le libre accès à l’intégralité du code source de l’application mobile et du serveur.
Une évaluation régulière
La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus. Néanmoins, elle estime dans son avis que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du système de « contact tracing » devra être conditionnée aux résultats de cette évaluation régulière.