StopCovid : le projet d’application criblé par la CNIL

Qu’est- ce que StopCovid ?

StopCovid est un projet d’application pour smartphones permettant à ses utilisateurs d’être alertés s’ils ont été à proximité d’un autre utilisateur diagnostiqué positif au Covid-19.

Ce serait :

  • Une application de suivi de contacts (contact tracing) et non de suivi de personnes (tracking)
  • Utilisant la technologie Bluetooth (donc sans géolocalisation)
  • Sur la base du volontariat (aucune conséquence négative pour les non-utilisateurs)
  • Dont la finalité serait limitée à l’alerte des personnes exposées à un risque de contamination

Qu’en dit la CNIL ?

Dans sa délibération du 24 avril 2020, la CNIL répond aux questions du Secrétaire d’État au numérique.

Question n°1 : y a-t-il traitement de données personnelles ?

Oui, car même si l’utilisateur n’est identifiable que par un pseudonyme, le risque de ré-identification ne peut être totalement supprimé.

l s’agit bien d’un traitement de données personnelles, sensibles (données de santé), soumis au RGPD.

Question n°2 : quelle est la base légale du traitement ?

Selon la CNIL, la mission d’intérêt public est la base légale la plus appropriée.

Question n°3 : le traitement est-il conforme aux règles de protection des données personnelles ?

Il peut être conforme … mais la CNIL rappelle que le principe de proportionnalité doit être respect :

  • Collecte et conservation des données limitées au strict nécessaire
  • Justification de l’utilité de l’application pour la gestion de la crise :
    • l’application doit être accessible,
    • efficace
    • et complémentaire dans un dispositif sanitaire global

La CNIL apporte d’autres précisions :

  • Nécessité d’identifier un responsable de traitement (le CNIL propose le ministère de la santé)
  • Nécessité d’une analyse d’impact sur la protection des données (AIPD) préalable (la CNIL recommande de la publier)
  • Exigence d’exactitude de données
  • Pas de dérogation au respect des droits des personnes sur leur données en temps de crise

Et surtout

  • Exigence de sécurité des données

Quels enseignements pour les entreprises ?

La CNIL précise que les employeurs ne peuvent pas exiger que leurs salariés utilisent l’application StopCovid

Ce serait contraire au principe de volontariat

La suite ?

Le projet a pris du retard et continue de soulever des questions d’ordre technique, éthique et juridique

Mais :

  • Premiers tests annoncés pour la semaine du 11 mai
  • Débat Parlementaire annoncé pour la semaine du 25 mai
  • Mise à disposition prévue pour le 2 juin, après nouvel avis de la CNIL sur la version définitive de l’appli

A suivre …

Genres / Categories: À la une, Numérique / Legaltechs