StopCovid : Un dispositif sensible mais protecteur des données personnelles, selon la CNIL
StopCovid : Un dispositif sensible mais protecteur des données personnelles, selon la CNIL
La Commission Nationale Informatique et Libertés (CNIL) a rendu lundi 25 mai son avis quant au projet de décret relatif à l’application StopCovid, laquelle vise à informer ses utilisateurs lorsqu’ils sont susceptibles d’avoir été contaminés par le virus, à l’occasion d’un contact avec une personne elle-même porteuse. Un premier projet gouvernemental avait été présenté à la CNIL, qui avait rendu un premier avis le 25 avril. La plupart de ses réserves ayant été prises en compte par le nouveau projet, cette nouvelle délibération de la CNIL se montre favorable au dispositif et émet peu de réserves.
Tout d’abord, la CNIL rappelle qu’elle a conscience de l’ampleur de la crise et de la nécessité d’utiliser les moyens techniques utiles pour limiter la propagation de l’épidémie. Cependant, elle note que ce dispositif est exceptionnel à plusieurs titres : il traite de données à caractère personnel sensibles (des données de santé) soumises à un régime particulièrement protecteur, il opère un enregistrement automatique des contacts, il est déployé à l’échelle nationale et il est proposée par les autorités publiques. Si cette solution inédite peut être utile dans les circonstances actuelles, elle doit être traité avec une grande prudence et doit rester exceptionnelle. A cet égard, la CNIL met en garde les autorités contre un risque de banalisation d’une telle solution.
Une fois ces principes posés, la Commission valide l’essentiel du dispositif. Elle considère notamment qu’il est justifié par un motif d’intérêt général, proportionné et nécessaire (elle approuve notamment sa complémentarité avec les dispositifs manuels de traçage des contacts). En outre, il est conforme au principe de protection dès la conception. En particulier, la pseudonymisation des utilisateurs, l’utilisation de la technologie Bluetooth plutôt que de la géolocalisation, la limitation dans le temps de la conservation des données et l’impossibilité de recouper ce fichier avec d’autres garantissent une protection suffisante des données personnelles.
Les quelques recommandations émises par la CNIL sont relatives à l’organisation des droits d’accès aux données, à l’information des utilisateurs, en particuliers les mineurs et leurs parents, aux droits d’opposition et d’effacement des données et au libre accès à l’intégralité du code source. Enfin, elle demande à être destinataire des rapports relatifs à l’utilité de l’application, encore incertaine.
L’application, très critiquée, doit faire l’objet d’un débat puis d’un vote, purement consultatif, à l’assemblée nationale et au sénat mercredi 27 mai.