«StopCovid» : la CNIL appelle à la «vigilance»

C’est un avis en demi-teinte qu’a rendu la CNIL la semaine dernière. Interrogée par le gouvernement sur son projet d’application « StopCovid », la Commission lui a rappelé les nombreuses conditions à respecter pour assurer la conformité au RGPD et à la loi informatique et libertés d’une telle application estimée fortement attentatoire à la vie privée. Et, à plusieurs reprises, elle a demandé à être resaisie sur le projet final du gouvernement.

L’application fonctionnerait de la manière suivante. Elle devrait être volontairement téléchargée sur un smartphone ou un autre équipement mobile - sur tablette par exemple -, fonctionnant sous iOS ou Android. La personne souhaitant l’utiliser renseignerait alors un pseudonyme. Avec la technologie bluetooth - qui évalue la proximité de deux équipements -, « StopCovid » pourrait l’alerter dans le cas où elle aurait été à proximité, « dans un passé proche », d’une personne diagnostiquée positive au Covid-19. A condition que cette personne « malade », utilisant elle même l’application sous pseudonyme, renseigne l’information. « StopCovid » joue donc la carte de la conformité notamment parce que le projet est basé sur le volontariat, la pseudonymisation et « ne consiste pas à suivre tous les mouvements géographiques des personnes : il ne s’agit pas de tracer les individus de façon continue ». Le gouvernement limiterait ainsi « toute identification directe ou indirecte des personnes qui y auraient recours » avec un « haut degré de garantie ». 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Autre précaution importante, le pseudonyme de la personne infectée ne serait pas remonté au serveur central de l’application, lorsque celui-ci lancerait son l’alerte. « La Commission relève que toute l’architecture du dispositif envisagée tend à ne faire remonter au serveur central que les pseudonymes générés par les applications [les équipements mobiles, ndlr] associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier. Elle souligne que ce procédé minimise le risque de réidentification de la personne infectée à l’origine d’une alerte, dans le plein respect des principes de protection des données personnelles ». Les données de santé, particulièrement sensibles, devraient donc être protégées.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Pour autant, la CNIL attire l’attention du gouvernement sur plusieurs points. Tout d’abord sur le caractère volontaire de la démarche. « Le volontariat signifie qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi, l’accès aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application », précise notamment la Commission. Elle évoque aussi l’interdiction faite aux employeurs de « subordonner certains droits ou accès à l’utilisation de cette application ». 

Puis, la CNIL s’attaque à la proportionnalité de la mesure : «il apparaît à la Commission que l’atteinte portée à la vie privée ne sera en l’espèce admissible que si, en l’état des informations immanquablement lacunaires et incertaines dont il dispose pour affronter l’épidémie, le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population qui porte par lui-même une atteinte très forte à la liberté d’aller et venir ». 

Or, selon la CNIL, le projet « StopCovid » montrerait déjà ses limites. Pour fonctionner, encore faudra-t-il qu’une proportion suffisante de la population française puisse y accéder. Le gouvernement devra donc s’assurer que « cette application soit disponible sur suffisamment de magasins d’applications mobiles (« appstores », « playstore », etc.) et compatible avec la majorité des téléphones et autres équipements mobiles actuellement en circulation ». La Commission souligne aussi que les personnes les plus vulnérables à la maladie n’ont pas forcément accès ou ne sont pas nécessairement à l’aise avec un téléphone portable ou une tablette. Et que le succès de l’application reposera sur « le bon calibrage de [ses] algortihmes ». 

Elle évoque aussi le caractère complèmentaire de l’application à une politique sanitaire plus globale. « La Commission appelle à une vigilance particulière contre la tentation du "solutionnisme technologique". Aussi, il revient au gouvernement d’évaluer l’ensemble des différentes actions à mettre en place, telles que la mobilisation de personnels de santé et des enquêteurs sanitaires, la disponibilité de masques et de tests, l’organisation des dépistages, les mesures de soutien, les informations et le service délivrés aux personnes qui auront reçu l’alerte, la capacité à les isoler dans des lieux adéquats, etc. ». Le déploiement de « StopCovid » doit « s’inscrire dans un plan d’ensemble », écrit la CNIL. 

« L’objectif est d’être prêt le 11 mai. Mais c’est un défi. Il y a encore plusieurs problèmes techniques à résoudre. Nous ne ferons aucun compromis sur la sécurité », indiquait le secrétaire d’Etat chargé du Numérique, Cédric O, dans une interview au Journal du dimanche le 26 avril. Il porte le dossier sensible qui est débattu et voté aujourd’hui à l’Assemblée nationale comme l’un des composants de la stratégie nationale du plan de déconfinement.  

Plusieurs spécialistes ont signé une tribune de mise en garde contre la future application du gouvernement. La Ligue des droits de l’Homme a également rédigé un courrier aux députés les invitant à s’emparer du débat qui se tient aujourd’hui au Palais Bourbon. De son côté, le Conseil national du numérique s'est dit « favorable au principe de StopCOVID, en tant que brique d’une stratégie plus globale ». Tandis que l’AFCDP (Association française des correspondants à la protection des données personnelles) a soutenu l’avis de la CNIL.