Coronavirus : StopCovid, les avis de la CNIL et du CNNum

Considérée comme l’une des solutions participant au plan de déconfinement, l’application StopCovid en cours de développement consiste à informer l’utilisateur s’il a récemment été en contact avec une personne diagnostiquée positive au covid-19. L’application repose sur un suivi des contacts (contact tracing) qui, sans géolocaliser les individus, permet de savoir à travers la technologie bluetooth si une personne présente des risques de contamination. Une notification est envoyée si l’ordiphone ou autre équipement mobile de la personne a été suffisamment proche et pendant une durée suffisamment longue avec le terminal d’une personne ayant été diagnostiquée positive au covid-19 (V. pour plus d’informations, Inria, « Contact tracing » : Bruno Sportisse, PDG d’Inria, donne quelques éléments pour mieux comprendre les enjeux, 18 avr. 202).

Le 24 avril 2020, la Commission nationale informatique et libertés (CNIL) et le Conseil national du numérique (CNNum) se sont montrés globalement favorables au projet de création de cette application telle qu’elle est actuellement présentée. Eu égard à la gravité de la situation actuelle, tant la CNIL que le CNNum estiment justifiée la création d’une telle application pourvu toutefois que des garanties en matière de vie privée et de protection des données soient mises en œuvre (CNIL, p. 2-3 ; CNNum, p. 10-11), et à condition que la CNIL soit à nouveau saisie lorsque le projet de loi sera précisé.

Une technologie fondée sur le volontariat

Le téléchargement et la désinstallation de l’application StopCovid repose sur le volontariat. Il doit, selon la CNIL « être explicitement prévu dans les textes juridiques régissant ce dispositif comme dans l’information du public », le volontariat étant « un élément déterminant pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population » (p. 5).

« Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application », poursuit la CNIL (p. 5). Aucune discrimination ne doit résulter de l’absence de téléchargement – voulue ou subie – de l’application. Ainsi la CNIL expose-t-elle : « L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun. Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application » (p. 5). S’alignant sur la position de la CNIL, le CNNum alerte sur les dangers d’un « “volontariat” potentiellement contraint » en énonçant également que le refus d’utiliser l’application ne doit entraîner aucune conséquence (CNNum, p. 13 et p. 17-18).

Une technologie soumise à la protection des données à caractère personnel

Sur les données à caractère personnel. – Le téléchargement de l’application sur un terminal génère un identifiant pseudonymisé communiqué au serveur central. Or, expose la CNIL, quand bien même les données seraient pseudonymisées, le lien entre le pseudonyme et le terminal qui l’utilise permet de ré-identifier une personne (p. 3). Plus encore, les données traitées sont des données de santé puisqu’elles ont trait au risque de contracter le covid-19 ou au fait d’avoir déjà contracté le virus (p. 4). L’application traite donc des données à caractère personnel, régies par le Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi n° 78-17 « Informatique et Liberté » (LIL).

Sur le responsable de traitement. – Tant la CNIL que le CNNum s’accordent sur la désignation du ministère de la santé ou de toute autorité de santé comme responsable de traitement (CNIL, p. 9 ; CNNum, p. 12).

Sur les finalités du traitement. – Le principe de limitation des finalités implique, selon la CNIL, que l’application StopCovid ne doit pas avoir pour objet de « surveiller le respect des mesures de confinement ou d’autres obligations sanitaires », ni « d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones dans lesquelles ces personnes se sont déplacées » (p. 4-5). Plus généralement, le CNNum affirme que les finalités « doivent être limitées à la gestion de la crise sanitaire et exclure toutes les finalités qui ne sont pas liées à la lutte contre le covid-19 ».

Sur la durée du traitement. – Le gouvernement doit, selon le CNNum, garantir que les données traitées « soient effacées définitivement, avec un arrêt du service et des collectes une fois la période de crise achevée (et ce, même si l’application reste installée) » (p. 13). La CNIL rejoint cette position en énonçant que la durée du traitement doit être « limitée à celle de l’utilité du dispositif au regard des finalités » et que « toutes les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée » (p. 7), restreignant la durée du traitement non pas à la période de crise sanitaire mais à la période durant laquelle l’application est jugée utile.

Sur la base légale du traitement. – La CNIL et le CNNum admettent qu’il existe deux bases légales de traitement possibles : le consentement ou la mission d’intérêt public (CNIL, p. 5-6 ; CNNum, p. 13). La CNIL ajoute qu’il n’existe pas de hiérarchie entre ces bases légales mais qu’il est nécessaire de n’en retenir qu’une seule. A cette fin, et conformément à l’avis n° 04/2020 du 21 avril 2020 rendu par le CEPD, elle considère que la mission d’intérêt public constitue la base légale la plus appropriée (p. 6). Lorsque des données de santé sont traitées, précise-t-elle enfin, le RGPD autorise leur traitement pour des motifs d’intérêt public dans le domaine de la santé publique (RGPD, art. 9 2 i).

Sur le droit des personnes. – La CNIL rappelle que la situation de crise sanitaire n’affranchit pas le responsable de traitement de ses obligations vis-à-vis du droit des personnes prévues aux articles 12 à 22 du RGPD (p. 11). Le CNNum ajoute qu’un décret devrait prévoir quelles sont les voies de recours offertes aux utilisateurs (p. 13). À ces droits garantis par le RGPD, la CNIL et le CNNum proposent la possibilité d’échanger avec une personne qualifiée, via par exemple une ligne d’appel dédiée (CNIL, p. 8 ; CNNum, p. 15). Outre l’obligation d’information, le CNNum recommande, lors de la publication du code source, un véritable devoir d’explicabilité par la publication « des éléments de vulgarisation compréhensibles par tous » (p. 14).

Sur l’analyse d’impact. – La CNIL estime qu’une analyse d’impact (AIPD) « devra être réalisée avant toute mise en œuvre d’un tel dispositif » et recommande qu’elle soit rendue publique (p. 9).

Sur la sécurité des données. – Plusieurs éléments sont donnés par la CNIL afin d’assurer une meilleure sécurité du serveur central, dont notamment la dissociation entre les pseudonymes des utilisateurs et les informations liées au terminal pour se prémunir du risque de réidentification ; de ne pas utiliser l’algorithme 3DES qui n’est pas recommandé par l’ANSSI ; ou de veiller à ce que le mécanisme d’enrôlement ne porte pas atteinte au pseudonymat (p. 10). À ce titre, la CNIL et le CNNum saluent le fait que la documentation technique soit rendue publique puisqu’elle permet, en sus de la confiance générée par cette transparence, une amélioration et une correction des vulnérabilités par la communauté (CNIL, p. 10 ; CNNum, p. 14). Au-delà de ce contrôle technique a priori, le CNNum recommande un contrôle a posteriori par la mise en place d’un comité de contrôle, par des audits effectués par des experts indépendants, et grâce aux associations de protection des droits et des libertés, à communauté technique et académique, et aux médias (p. 14). Enfin, il recommande de préciser ces modalités de contrôle par décret (p. 13).

Sur les données des mineurs et majeurs protégés. – Le CNNum recommande de clarifier par décret « les règles applicables pour les mineurs ou majeurs protégés » (p. 13).

Une technologie pertinente ?

Sur la nécessité d’envisager d’autres mesures. – Le déploiement de l’application StopCovid ne doit pas être la seule réponse à la stratégie de déconfinement. La CNIL énonce ainsi que l’application « ne peut être mise en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale » (p. 8), là où le CNNum estime également que l’application doit « s’inscrire dans une stratégie plus globale de santé publique » (p. 3). D’autres mesures doivent dès lors être mises en œuvre telles que « des mesures de distanciation sociale et de la mise à disposition de tests » selon le CNNum ou « la mobilisation de personnels de santé et des enquêteurs sanitaires, la disponibilité de masques et de tests, l’organisation des dépistages, les mesures de soutien, les informations et le service délivrés aux personnes qui auront reçu l’alerte, la capacité à les isoler dans des lieux adéquats, etc. » selon la CNIL (ibid.).

Sur l’utilité du dispositif en termes de nombre d’utilisateurs. – « L’acceptabilité sociale n’est pas acquise », rappelle le CNNum (p. 18). En effet l’efficacité de l’application dépend en partie du nombre de personnes utilisant l’application. Outre la limite tenant à la volonté des personnes de télécharger l’application, des limites purement techniques se posent. La fracture numérique et le fait que les personnes les plus jeunes, les plus âgées ou les plus vulnérables ne disposent pas nécessairement d’un équipement adapté au téléchargement de l’application diminuent son efficacité (CNNum, p. 15 et 17 ; CNIL, p. 8). Demeure également l’épineuse question des porteurs sains (CNIL, p. 8) ou des personnes n’ayant pas eu accès à un dépistage, faussant les résultats de l’application. Enfin, la CNIL et le CNNum s’accordent sur le risque du développement d’applications concurrentes, diminuant par là-même le nombre d’utilisateurs (CNIL, p. 8 ; CNNum, p. 20). Le CNNum énonce ainsi qu’il est indispensable pour les pouvoirs publics de se poser la question suivante : « dans l’hypothèse où les seuils [du nombre d’utilisateurs] garantissant l’efficacité de l’application seule ne sont pas atteints, une faible efficacité justifie-t-elle l’investissement en temps, ressources humaines et coûts financiers ? » (p. 16). La CNIL rejoint cette position et recommande « que l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée. Cela permettra aux pouvoirs publics de décider de manière éclairée son maintien ou non au regard, notamment, des principes de proportionnalité et de nécessité » (p. 9).

Sur l’utilité du dispositif du point de vue technologique. – Le CNNum relève que la technologie bluetooth n’a pas été conçue dans le but de mesurer précisément les distances entre les utilisateurs, ce qui reste encore un sujet de recherche au sein de la communauté scientifique (p. 16) et que la capacité d’identifier précisément une personne comme étant à risque à partir des distances estimées et de la durée de rencontre « n’est pas encore avérée » (p. 17). En outre, les iOS limitent l’accès aux fonctionnalités bluetooth en désactivant la fonctionnalité lorsque l’application passe en arrière-plan, ajoutant encore un frein à l’efficacité technologique du dispositif (p. 17). Ces limites purement technologiques sont également relevées par la CNIL qui énonce que « l’effectivité du dispositif envisagé repose sur le bon calibrage des algorithmes permettant d’identifier une interaction susceptible d’avoir engendré une contamination » (p. 8). En conséquence, le CNNum déclare que « Les nombreuses inconnues relatives à l’efficacité des applications de traçage de contacts, et leur inefficacité potentielle (parce que pas assez installées, pas compatibles avec tous les smartphones, pas assez précises, etc.) impliquent de définir précisément des critères d’évaluation de l’application. Si ceux-ci ne sont pas remplis, les ressources humaines et financières mobilisées sur cet outil devraient être redirigées vers d’autres volets de la stratégie post-confinement » (p. 15).