Application « StopCovid »: tracer dans le respect des règles

Face à la pandémie du COVID-19 et à un espoir de déconfinement à venir, le gouvernement français, à l’image d’autre États européens (Italie, Pays Bas, etc.), étudie la possibilité de mettre en place une application mobile, « StopCovid », reposant sur la technologie bluetooth et visant à répertorier les contacts avec des malades du coronavirus. L’application, inspirée de stratégies déployées par Singapour notamment, doit alerter les personnes l’ayant téléchargée quand elles ont côtoyé des personnes diagnostiquées positives au Covid-19, et elles-mêmes équipées. 

Exigences de l’UE

Le eHealth Network, avec le soutien de la Commission européenne, a publié le 16 avril dernier une Toolbox destinée aux États membres traitant des application mobiles de traçage créées pour combattre la propagation du COVID-19.

Cette toolbox pose 4 exigences minimales que ces applications devront respecter. 

  • L’application ne peut être utilisée que sur la base du volontariat, en obtenant le consentement de l’utilisateur qui aura reçu préalablement une notice lui expliquant le fonctionnement de l’application, lui transmettant les informations nécessaires.
  • L’application devra être validée par l’autorité nationale responsable de la santé.
  • Les principes de respect de la vie privée et le RGPD doivent être respectés ; à ce titre, seules les données personnelles pertinentes et nécessaires pour combattre la propagation du virus doivent être prélevées.
  • L’application devra être  démantelée dès l’instant où elle ne sera plus nécessaire.

La toolbox indique qu’il faudra particulièrement veiller à ne pas mettre en danger la sécurité de ses utilisateurs.

Recommandations de la CNIL

La CNIL saisie par le Secrétaire d’État chargé du numérique s’est aussi penchée sur la question et a étudié plus précisément le projet français StopCovid, posant elle aussi des exigences qui tiennent compte des exigences européennes, du RGPD : les données doivent être utilisées pour un objectif précis, déterminé à l’avance et dans le respect de règles strictes.

Le dispositif doit être fondé sur le volontariat, que ce soit dans le choix de l’utilisateur de télécharger ou désinstaller l’application mais aussi en ce qu’aucune conséquence négative doit naître de l’absence de téléchargement ou d’utilisation (pas conditionner l’accès à des tests ou à la possibilité de se déplacer à l’utilisation de l’application par exemple).

Seules les données, impérativement anonymisées et strictement nécessaires doivent être collectées et conservées par l’application, et ce pendant une durée limitée à l’issue de laquelle elles seront supprimées

La CNIL rappelle que le gouvernement peut procéder à une telle atteinte à la vie privée dans un but de protection de la santé publique mais seulement si il dispose de suffisamment d’éléments laissant penser qu’un tel dispositif serait utile à la gestion de la crise. Seule une adoption large par la population de l’application lui permettrait d’être efficace ce qui n’est pas évident dans la mesure où une partie significative de la population ne dispose pas d’équipements mobiles adéquats ou peut éprouver des difficultés à utiliser l’application.

Joint à cet article: Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid ».