Pages

lundi 27 avril 2020

Covid-19 : "StopCovid" devant la CNIL

La Commission nationale de l'informatique et des libertés (CNIL) a rendu, le 24 avril 2020, un avis sur le projet d'application mobile dénommée Stopcovid. Cet avis est favorable, mais s'accompagne de nombreuses mises en garde. 

L'application, téléchargeable sur smartphone, a pour objet d'informer les personnes du fait qu'elles ont été, tout récemment, à proximité d'une ou plusieurs personnes positives au Covid-19. Cette proximité induisant un risque de transmission, l'intéressé, jugeant de l'importance de son exposition au virus, pourra alors demander à se faire tester. Sur le plan technique, StopCovid repose sur la technologie Bluetooth qui permet aux smartphones de communiquer entre eux, sans qu'il soit nécessaire de recourir à la géolocalisation.

La Commission était saisie par le secrétaire d'Etat en charge du numérique, Cédric O, conformément à l'article 8-I-2°-e  de la loi du 6 janvier 1978 qui oblige les pouvoirs publics à solliciter son avis préalablement à toute création d'un traitement collectant et conservant des données à caractère personnel.

Dans le cas présent, force est de constater que cet avis intervient dans des conditions particulièrement difficiles. D'une part, la CNIL a dû délibérer extrêmement rapidement, puisque l'avis est rendu quatre jours après la saisine. D'autre part, le terrain juridique est incertain, et la CNIL mentionne qu'elle n'a pu disposer que "des premiers éléments de réflexion sur l'architecture fonctionnelle et technique d'une telle application". Son avis prend ainsi l'allure d'une recommandation in abstracto, un moyen de dire au gouvernement quelles sont les contraintes juridiques qui pèsent sur la création de StopCovid.


Un traitement de données personnelles



En saisissant la CNIL, le gouvernement lui a fait part de ses doutes sur la nature des données ainsi collectées. A ses yeux, il ne s'agit pas nécessairement de données personnelles au sens de la loi du 6 janvier 1978. Il fait ainsi valoir que le traitement reposera sur l'usage de pseudonymes et ne consistera pas à suivre tous les mouvements des personnes, mais simplement à dresser la liste des porteurs du virus éventuellement rencontrés. A l'évidence, le fait de ne pas considérer StopCovid comme un traitement de données personnelles faciliterait considérablement la tâche du gouvernement, car depuis le Réglement général de protection des données (RGPD), les fichiers de données non personnelles ne sont plus soumis à aucune procédure préalable.

Mais la CNIL ne lui accorde pas satisfaction sur ce point. Elle affirme au contraire que ce traitement "pose des questions inédites en termes de protection de la vie privée" et que le fait de recourir à des pseudonymes ne change rien au fait qu'il s'agit de dresser une liste des personnes que le porteur du téléphone a rencontrées. Certes, le serveur central lui-même utilisera des pseudonymes, mais ils demeurent attachés à une application téléchargée sur un téléphone qui est généralement la propriété d'une personne identifiée. La ré-identification de la personne physique demeure donc possible.
La CNIL rappelle, à ce propos, que comme tout fichier relatif à la vie privée, l'application StopCovid devra respecter le principe de proportionnalité, ce qui signifie concrètement que la collecte et la conservation des données devront être limitées à ce qui est strictement nécessaire à sa finalité, y compris dans son caractère temporaire. Toutes les données devront donc être supprimées dès que l'application ne sera plus utile.

Le Prisonnier. Je ne suis pas un numéro. 
Patrick Mac Goohan. 1967

La recherche d'un fondement légal



Le débat ne s'arrête pas là, car le gouvernement considère que le caractère volontaire du téléchargement de StopCovid s'analyse comme un consentement formel de l'intéressé, suffisant à lui conférer un fondement légal. Or les deux termes ne sont pas synonymes, et le consentement éclairé de la personne ne peut être déduite d'un téléchargement. La CNIL fait observer que la notion de volontariat ne saurait se réduire au simple fait de pouvoir télécharger, ou pas, l'application. Elle impose aussi que le refus de téléchargement n'emporte aucune conséquence négative pour l'intéressé, par exemple en termes d'accès aux tests ou aux soins, ou encore en matière de levée du confinement. De la même manière, ceux qui téléchargeront l'application ne devront pas se voir contraints d'emporter leur téléphone à chaque déplacement. C'est seulement si ces conditions sont remplies que l'on pourra parler de "volontariat", sans pour autant en faire un consentement.

La CNIL préfère donc chercher le fondement légal de StopCovid dans la mission d'intérêt public poursuivie, mentionnée dans l'article 5-5° de la loi. Il assure en effet davantage de sécurité juridique. D'une part, le droit à la santé est constitutionnellement garanti par le Préambule de 1946. D'autre part, le RGPD prévoit formellement que des traitements de données personnelles peuvent être mis en oeuvre "dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé", à la condition, bien entendu, que le droit interne prenne les mesures appropriées. La Commission reconnaît ainsi que StopCovid répond à cet intérêt public.

En admettant l'intérêt public de l'application, la CNIL n'entend pourtant pas donner un blanc-seing au gouvernement.


Quelques avertissements

 

La CNIL fait observer qu'elle entend suivre le dossier. Elle note que StopCovid ne sera utile que si une proportion suffisante de la population accepte de l'utiliser. Or, une part significative de celle-ci, notamment les personnes âgées, ne dispose pas des équipements adéquats ou ignorent comment installer une application. Par ailleurs, les personnes asymptomatiques ne pourront évidemment pas déclencher d'alerte. Cette initiative ne saurait donc résoudre tous les problèmes, et elle doit donc s'inscrire dans un plan d'ensemble impliquant notamment "la disponibilité de masques et de tests", l'organisation de dépistages et de mesures de soutien. Et la CNIL de mettre en garde le gouvernement contre "le solutionnisme technologique".

La CNIL adresse aussi au gouvernement un autre avertissement portant cette fois sur la procédure suivie. Elle avertit que le présent avis est donné en l'état actuel du dossier et que "les modalités exactes de mise en oeuvre, sur les plans juridique, technique et pratique ne sont pas encore arrêtés à ce stade". Elle affirme donc qu'elle devra être de nouveau saisie "après la tenue du débat au Parlement, et s'il était décidé de recourir à un tel instrument". Or on se souvient que ce débat parlement a donné lieu à quelques atermoiements. Dans un premier temps, le Premier ministre avait accepté un débat, sans vote. Ensuite, le Président de la République a accepté l'idée d'un débat suivi d'un vote. Enfin, et sans doute parce que les députés LaRem ne semblent pas tous d'accord sur cette question, il a été décidé de "noyer" le débat sur StopCovid dans la discussion plus générale sur le plan de déconfinement. Sur ce point, la CNIL risque d'être déçue. Car l'organisation du débat parlementaire qu'elle appelait de ses voeux témoigne surtout d'une volonté, à peine dissimulée, d'empêcher toute discussion de fond.


1 commentaire:

  1. Comme quoi, le télétravail est vraiment pas une bonne chose.. Les pauvres juristes de l'Etat ne sont même plus capable de trouver les bons fondements à leur action..

    Merci à la CNIL de donner corps aux interrogations d'une bonne partie de la population quant à l'utilité sanitaire réelle de STOPCOVID..

    RépondreSupprimer