Que retenir de l’avis de la CNIL sur le projet d’application mobile « StopCovid »
Par Olivia Tambou, Université Paris-Dauphine, PSL Université
Auteur de Manuel de droit européen de la protection des données personnelles, Bruylant, 2020
Le 24 avril 2020, la CNIL a rendu un avis éclairant sur le projet d’application « StopCovid », qui trace des lignes vertes et rouges à suivre pour la mise en œuvre future de telles applications de suivi de contacts (2 et 3). Cet avis va au delà d’une classique analyse de la conformité. Il permet de mieux saisir la nature même des traitements en cause (1). La portée de cet avis doit aussi s’analyser à l’aune d’un ensemble de prises de position à l’échelle européenne sur ce type d’application de suivi de contact qui mettent en avant l’existence d’un modèle européen de protection des données à caractère personnel (4).
1. Quelle est la nature des traitements en cause ?
Le projet d’application StopCovid que le gouvernement semble vouloir mettre en œuvre est en cours d’élaboration par un consortium européen dans lequel participe notamment l’INRIA. La CNIL se fonde donc sur les éléments généraux qui lui ont transmis pour orienter dès ce stade le gouvernement. Elle en déduit les deux caractéristiques suivantes.
StopCovid est une application de suivi de contacts
Il s’agit d’une application dite de suivi de contacts (« contract tracing ») dont la finalité est uniquement de permettre d’informer les personnes qui l’ont installées sur leur smartphone qu’elles ont été à proximité d’une personne disposant elle même de cette application et qui aurait été diagnostiquée positive par le Covid-19.
<strong>Autrement dit, il ne s’agit pas d’une application de géolocalisation qui permettrait en temps réel d’identifier où se trouvent les personnes diagnostiquées positives et de tracer de façon continue les personnes.
StopCovid implique un traitement de données à caractère personnel
La notion « données à caractère personnel » a fait l’objet d’une harmonisation à l’échelle européenne. Selon l’article 4 du RGPD, il s’agit de toute information identifiante se rapportant à un individu. Cette identification peut être directe en reliant immédiatement et précisément une information à une personne, telle que son nom par exemple. L’identification peut aussi être indirecte, lorsque l’information en question ne permet pas à elle seule identifier la personne, mais que ce résultat peut être atteint si on combine cette information avec une autre qui est disponible. Tel est le cas dans le projet d’application StopCovid. Le dispositif envisagé repose sur une construction à double étage : une application mobile et un serveur central qui collectera des données pseudonomysées. Le serveur central devra nécessairement ré-identifier la personne concernée pour l’informer. En outre, il peut être facile d’identifier un individu à partir du smartphone sur lequel il aura installé l’application sans savoir son nom. L’avis de la CNIL a le mérite de rappeler que la pseudonymisation est avant tout une mesure de sécurité. Elle est tout à fait appropriée pour permettre de limiter le risque que la personne infectée puisse être ré-identifiée par les personnes qui auront reçu la notification.
StopCovid repose un traitement de données à caractère personnel de santé
La notion de données de santé est aussi harmonisée à l’échelle européenne. Il s’agit d’une donnée à caractère personnel révélant « des informations sur l’état de la santé des personnes ». La CNIL en déduit que l’alerte donnée par une personne qui a été diagnostiquée positive au Covid-19 tout comme la notification aux personnes qu’elle a croisées pour les alerter qu’elles sont susceptibles d’avoir été infectées constituent des traitements de données à caractère personnel de santé. Il en résulte de StopCovid devra se conformer au régime spécifique des données à caractère personnel de santé.
2. La CNIL a t-elle donné son accord à la mise en place de StopCovid ?
Oui et non. La CNIL a surtout clarifié dans quelle mesure ce projet pourrait être mis en œuvre, en l’état actuel. Si l’avis de la CNIL n’est en aucun cas contraignant pour le gouvernement, il conditionne largement la mise en œuvre future de StopCovid.
1re ligne rouge : la transformation de StopCovid en un outil de surveillance
La CNIL ne s’est engagée que sur la conformité de l’application au regard d’une finalité précise et déterminée qui est celle d’alerter les personnes exposées au risque de contamination. Le glissement vers une finalité de surveillance du respect des mesures de confinement ou du suivi des personnes infectées constitue une première ligne rouge pour le gouvernement.
2e ligne rouge : le détournement du caractère volontaire de StopCovid
La CNIL a fondé son analyse de conformité sur un modèle d’application dont l’utilisation reste volontaire. L’intérêt de l’avis de la CNIL est de rappeler au gouvernement ce que cela implique. Une totale liberté doit être laissée aux individus d’utiliser ou de ne pas utiliser, ou de cesser de d’utiliser StopCovid. Cela suppose aussi de ne subir « aucune conséquence négative », (p.5) du fait de l’utilisation ou de la non-utilisation de cette application. La tentation de conditionner les déplacements des personnes en fonction de l’utilisation de StopCovid constitue une seconde ligne rouge adressée au gouvernement.
3e ligne rouge : Le rejet de certaines modalités de configuration actuellement envisagées
La CNIL rejette la possibilité saugrenue d’introduire des faux positifs dans les notifications transmises aux personnes concernées. Cette mesure semble avoir été envisagée pour éviter les risques de ré-identification de personnes. Elle aurait eu pour conséquences de dire à des personnes qu’elles auraient été en contact avec des personnes à risques alors que cela n’était pas le cas. En matière de sécurité, la CNIL rappelle au gouvernement que l’usage de l’algorithme 3 DES ne peut plus être utilisé car il ne répond pas au standard de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour garantir l’intégrité et la confidentialité des données.
<em>Vers un avis à double détente n’excluant pas des contrôles ultérieurs.<strong>
La CNIL a précisé qu’en l’état actuel du projet, il ne lui semblait pas contraire au droit des données à caractère personnel sous réserve que certaines garanties soient bien présentes dans l’application finale. Au delà des garanties imaginées, la CNIL a clairement demandé au gouvernement de la ressaisir des modalités définitives de mise en œuvre du dispositif. Il s’agit donc d’une sorte d’avis à double détente. Curieusement, la CNIL souligne d’abord explicitement que cette consultation devrait avoir lieu après le débat au Parlement (p. 2). Pourtant, nous considérons comme d’autres que la mise en œuvre de cette application nécessite une loi. Aussi, la CNIL devrait-elle être plutôt consultée au moment du dépôt du projet de la loi, laissant la place à une possible saisine minoritaire du Conseil constitutionnel une fois le projet de loi adopté. Enfin, il faut préciser que la CNIL reste compétente pour contrôler l’utilisation ultérieure de cette application soit de sa propre initiative, soit suite à des plaintes qui seraient déposées par des personnes concernées.
- Quelles sont les garanties préconisées par la CNIL pour la mise en œuvre de StopCovid ?
L’incitation à un fondement normatif spécifique pour StopCovid
La CNIL oriente le gouvernement à sa demande sur la meilleure base légale pour mettre en œuvre une telle application. Théoriquement, la CNIL considère que le gouvernement pourrait se fonder sur le consentement des personnes concernées dans les limites de ce qui été dit précédemment. Pour autant, la CNIL recommande naturellement au gouvernement un fondement plus politiquement pertinent. Le gouvernement devrait s’appuyer sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19. Ce choix est directement lié à la manière dont le déploiement de cette application est envisagé. StopCovid serait développée par l’autorité publique, la CNIL recommandant d’ailleurs que « le ministre de la Santé ou toute autre autorité sanitaire » (p.9), soit explicitement nommé responsable du traitement. La CNIL se contente néanmoins d’évoquer la nécessité d’un fondement juridique « explicite et précis dans le droit national » (p.6) sur lequel elle devrait être saisie. Autrement dit, elle laisse l’alternative au gouvernement entre l’adoption d’une loi ou d’un décret.
La nécessité de documenter l’impact de StopCovid de façon transparente
La CNIL s’interroge sur la nécessité de mettre en place StopCovid. Elle incite le gouvernement à mettre en balance l’ampleur des atteintes à la vie privée d’un tel dispositif de suivi de contacts au regard de son utilité réelle pour la gestion de la crise. La CNIL met en avant des limites liées à la nécessité que l’appli soit massivement utilisée alors qu’elle sera volontaire et sans doute peu accessible aux personnes vulnérables qui n’ont pas toutes des Smartphones. La CNIL évoque aussi des arguments techniques liés à l’accessibilité de l’application dans les magasins d’application mobile, la compatibilité avec l’ensemble des smartphones, le fait que des applications concurrentes pourraient être créées par des acteurs privés. La CNIL met aussi en garde le gouvernement contre « la tentation du solutionnisme technologique » (p. 8), StopCovid devant être une mesure à envisager dans une approche plus globale de la lutte contre cette pandémie.
La CNIL rappelle également que la nature même du traitement relève de ceux qui nécessitent préalablement une analyse d’impact sur la protection des données (AIDP), dont elle recommande la publication. L’impact de ce dispositif sur la stratégie sanitaire globale devrait être régulièrement étudié et documenté, ces analyses devant être idéalement transmises à la CNIL. Enfin, la CNIL considère que la documentation technique doit continuer à être rendue publique afin de permettre à la Communauté scientifique de pouvoir contribuer à son amélioration (cf. pour une illustration). Une telle transparence est indéniablement nécessaire pour assurer la confiance dans ce type de dispositifs. Elle permet d’éclairer le débat public d’une manière dont on espère qu’elle puisse améliorer la qualité de la décision des autorités publiques, seules redevables des choix politiques faits.
La nécessité de respecter le principe de minimisation des données
Cela se traduit essentiellement par la nécessité de veiller à ce que la collecte et la conservation des données soient limitées à ce qui est strictement nécessaire pour la réalisation de la finalité envisagée, tant au regard du respect de la vie privée que de la protection des données à caractère personnel. La CNIL laisse entrouverte la possibilité d’une réutilisation ultérieure des données notamment à des fins statistiques ou de recherche scientifique qui devrait reposer en principe sur une complète anonymisation de ces données dans le strict respect du RGDP et de la Loi Informatique et Libertés.
La nécessité d’assurer un niveau élevé de sécurité des données
La CNIL rappelle à ce stade que la sécurité des données doit être assurée, ce qui implique notamment la prise de mesures techniques et organisationnelles non seulement dans l’application, mais aussi à l’échelle du serveur central.
La nécessité de garantir les droits des personnes concernées
La CNIL rappelle que les droits des personnes concernées devront être respectés. Il s’agit du droit à l’information, d’accès, d’opposition, de rectification, de portabilité, de ne pas faire l’objet d’une décision individuelle exclusivement algorithmique. Le futur fondement national normatif devra préciser les modalités de ces droits. La CNIL n’a pas jugée utile de préciser à ce stade que ces droits pourraient faire l’objet d’éventuelles limitations dans les conditions prévues par l’article 23 1. h) RGPD. Aucune précision n’a été véritablement donnée sur la possible application de l’article 47 de la Loi Informatique et Libertés qui permet à l’administration d’utiliser des décisions individuelles automatisées. La CNIL recommande de façon énigmatique et dans un autre développement que « le recours à toute forme d’automatisation de la décision d’informer les personnes exposées soit associé à la possibilité pour ces personnes d’échanger avec un personnel qualifié » (p. 8). La CNIL se réserve ainsi la possibilité de revenir sur ces points de façon plus détaillée, lorsqu’elle sera saisie des modalités définitives de StopCovid.
- Quelle est la portée de cet avis à l’échelle européenne et mondiale ?
L’avis de la CNIL est un avis provisoire qui reprend pour partie des éléments de la Communication de la Commission européenne et de la prise de la position collective des autorités de protection européenne réunies dans le Comité européen de la Protection des données personnelles. Ces textes dans leur ensemble illustrent l’existence d’un modèle européen de la protection des données à caractère personnel qui contraste avec certains mécanismes de surveillance généralisée déjà mis en place en Asie. Pour autant, les solutions techniques à mettre en œuvre en Europe soulèvent de nombreux enjeux économiques et politiques qui ne sauraient se limiter au choix entre une architecture centralisée solution envisagée en France et une architecture décentralisée proposée par Apple et Google. Cela atteste encore s’il le fallait de l’absence de maturité du débat et de la nécessité d’approfondir les analyses d’impact entre juristes et informaticiens sur ce type d’application. Cela explique que le débat StopCovid n’ait pas eu lieu dans le cadre des mesures de déconfinement présentées par le Premier ministre devant le Parlement hier (mardi 28 avril 2020). Que la mise en place de StopCovid soit questionnée est le signe de la vitalité de nos démocraties européennes. La sauvegarde de nos valeurs en temps de crises est une condition existentielle de nos démocraties.
