Le Gouvernement rend public l’avis de la Commission nationale Informatique et Libertés (CNIL) relatif au projet d’application mobile StopCovid
Publié le 29 avril 2020 | Dernière mise à jour le 5 août 2022
– Comme s’y est engagé le Gouvernement, le projet d’application Stop Covid fait l’objet d’une démarchetransparente et ouverte afin de permettre un débat large et éclairé et de créer les conditions de confiance et de compréhension nécessaires pour s’assurer, le cas échéant, une large adhésion des Françaises et Français.
– Dans ce cadre, le Secrétariat d’Etat chargé du numérique, qui co-pilote le projet avec le Ministère des solidarités et de la santé, a saisi la CNIL le 20 avril 2020 afin qu’un avis soit rendu en amont des débats parlementaires. La CNIL a été saisie sur trois questions relatives au respect par le projet d’application du cadre français de protection de la vie privée : la nature des données impliquées dans l’application et en particulier leur caractère personnel afin de mettre en place les mesures adaptées, la conformité d’un tel dispositif aux règles de protection des données personnelles et, le cas échéant, les garanties supplémentaires qu’il conviendrait de prévoir.
L’avis qui a fait l’objet d’une délibération le 24 avril 2020 est rendu public ce jour conformément à la demande du Gouvernement.
– Le Gouvernement retient en particulier les points suivants qui confortent la démarche engagée :
• La Commission estime que le dispositif projeté est soumis aux règles de protection des données à caractère personnel, tout en reconnaissant que les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification.
• Elle confirme que l’application peut s’inscrire dans le cadre législatif et réglementaire actuel en estimant que la mission d’intérêt public constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid.
• La Commission considère que les opérations d’accès à des informations stockées et l’inscription d’informations dans le terminal sont strictement nécessaires à la fourniture du service et qu’elles sont donc licites.
Le Gouvernement retient également l’importance accordée par la CNIL à la question de l’efficacité du dispositif dans une démarche sanitaire globale, qui doit être éclairée par les épidémiologistes et notamment par l’avis du Conseil Scientifique. La Commission rappelle que l’atteinte portée à la vie privée ne serait en l’espèce admissible que si le Gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population.
– Le Gouvernement tiendra le plus grand compte des recommandations formulées par la CNIL dans la suite des travaux afin d’apporter le maximum de garanties nécessaires, en particulier les suivantes :
• L’application devrait être le plus largement disponible et le déploiement devrait prendre en compte la situation des personnes non équipées.
• L’information donnée par l’application devrait être associée à la possibilité pour ces personnes d’échanger avec un personnel qualifié.
• Le caractère volontaire de l’utilisation de l’application devrait être explicitement prévu dans les textes juridiques régissant ce dispositif comme dans l’information du public et aucune conséquence négative de devra être attachée à l’absence de téléchargement ou d’utilisation de l’application.
• L’implication centrale des autorités de santé devrait être garantie pour assurer la responsabilité de traitement.
• Une attention particulière devrait être portée à la clarté des informations données et aux mesures permettant aux personnes d’exercer leurs droits sur leurs données à caractère personnel.
– Dans l’hypothèse où le lancement public de l’application du projet StopCovid serait confirmé et comme l’y invite la CNIL, le Gouvernement réalisera et publiera une analyse d’impact sur la protection des données et soumettra de nouveau le projet finalisé, le cas échéant accompagné des projets de dispositions réglementaires envisagées.
– Par ailleurs, comme s’y est engagé le Gouvernement et comme le demande la CNIL, le code source de l’application, du serveur central et leur paramétrage sera ouvert.