L’application StopCovid et la protection des données personnelles Alerte n° 2
La CNIL a été saisie par le Gouvernement sur le projet d’application StopCovid et a rendu son avis le 24 avril dernier.
Cette décision de la CNIL est très dense, nous avons donc pris le parti de rédiger 3 newsletters distinctes : La 1ère newsletter porte sur le fonctionnement de l’application StopCovid, la deuxième porte sur l’application StopCovid et les grands principes du RGPD, et la 3ème sur les aspects pratiques du projet.
Cette deuxième newsletter sur la délibération de la CNIL[1] présente donc la position de la Commission sur la conformité de l’application StopCovid aux grands principes du RGPD ainsi qu’aux règles sur la protection de la vie privée :
Une application fondée sur le volontariat des utilisateurs
Tout d’abord la CNIL indique qu’elle considère que le caractère volontaire de l’usage, conjugué à une transparence renforcée quant au mode de fonctionnement et aux finalités de traitement, est un élément déterminant pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population.
Mais attention, pour la CNIL, le volontariat ne doit pas uniquement se traduire par le choix, pour l’utilisateur de :
– télécharger puis de mettre en oeuvre l’application,
– se déclarer positif au COVID-19 dans l’application, ou
– désinstaller l’application quand il le souhaite.
Le volontariat signifie également qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi l’utilisation de l’application ne doit pas conditionner :
- l’accès aux tests et aux soins,
- la possibilité de se déplacer, dans le cadre de la levée du confinement,
- l’accès à certains services, tels que par exemple les transports en commun,
L’utilisation de l’application ne devrait pas :
- engendrer l’obligation de se déplacer avec le smartphone sur lequel elle est installée.
Les institutions publiques, les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.
Pour la CNIL, c’est seulement si ces conditions sont remplies que l’utilisation de StopCovid pourra être regardée comme réellement volontaire.
La base légale de l’application StopCovid
Dans la saisine de la CNIL, le Gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
Tout d’abord, la CNIL considère qu’un usage volontaire de l’application est compatible en droit avec l’une ou l’autre de ces « bases légales ».
Sur la question de la « base légale », la CNIL apporte un éclairage très intéressant qui semble avoir vocation à s’appliquer à tous les traitements, et pas seulement à l’application StopCovid.
La CNIL indique en effet que le RGPD n’établit aucune hiérarchie entre les différentes bases légales et que la base légale appropriée doit être déterminée uniquement au cas par cas, de manière adaptée à la situation et au type de traitement.
Chaque base légale obéissant à des conditions spécifiques et emportant des conséquences juridiques particulières pour le responsable du traitement comme pour les personnes concernées par celui-ci.
Le choix de la base légale peut donc être une opération délicate, qui n’appelle pas une réponse univoque.
Pour autant, si plusieurs bases légales peuvent s’avérer appropriées pour un même traitement, il convient de n’en retenir qu’une seule, considérée in fine comme la plus appropriée au cas d’espèce.
Cette réflexion de la CNIL est intéressante, pourtant la première phrase de l’article 6 du RGPD dispose que : « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie » (nous soulignons). On peut donc s’interroger sur le texte sur lequel la CNIL s’appuie pour considérer que le responsable de traitement doit impérativement retenir une seule base légale…
Bien entendu, compte tenu du fait que les conséquences juridiques peuvent être différentes en fonction des bases légales, le responsable de traitement a intérêt, notamment pour des raisons pratiques, à ne retenir qu’une seule base légale, mais s’il ne le fait pas, viole-t-il pour autant le RGPD ? Risque-t-il d’être sanctionné ?
L’avenir nous le dira… mais à notre sens, en cas de contentieux il existe d’abord et avant tout un risque que le juge et/ou la CNIL considèrent que la base légale retenue par le responsable de traitement n’est pas exacte. Le risque de voir un responsable de traitement sanctionné uniquement pour ne pas avoir su choisir entre 2 « bases légales » possibles reste plus théorique.
Pour la CNIL, la base légale de l’application est la mission d’intérêt public et non le consentement : volontariat et consentement ETANT deux notions distinctes
La Commission relève que la lutte contre la pandémie de COVID-19 constitue une mission d’intérêt général dont la poursuite incombe en premier lieu aux autorités publiques.
En conséquence, elle estime que la mission d’intérêt public, au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés », constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid[2].
La CNIL considère de plus que toutes les finalités ne sont pas possibles au nom d’une mission d’intérêt public et rappelle que le RGPD requiert que les finalités du traitement concerné doivent :
– être nécessaires à la mission d’intérêt public en cause et
– disposer d’une assise juridique suffisante dans une norme du droit national.
Qui sera le responsable de traitement ?
Pour mémoire, le RGPD prévoit que le responsable de traitement est responsable du respect des règles en matière de protection des données personnelles.
Compte tenu de la sensibilité des données collectées, la CNIL estime que le dispositif devrait être conçu de telle manière que le ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire puisse assurer la responsabilité de traitement.
Le traitement de données de santé
S’agissant du cas spécifique du traitement de données de santé, le RGPD prévoit que le traitement de telles données peut intervenir, comme en l’espèce, pour des motifs d’intérêt public « dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé », dès lors que ce traitement est nécessaire à ces fins et prévu par le droit de l’Union ou le droit national et que celui-ci prévoit « des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée » (article 9-2-i du RGPD).
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national.
L’admissibilité de l’atteinte à la vie privée par un dispositif de suivi de contacts
La CNIL va au-delà du RGPD et analyse également le projet au regard des règles à valeur constitutionnelle protégeant la vie privée, notamment pour ce qui concerne le traitement de données de santé dans le cadre d’une mission d’intérêt public. La CNIL ne manque pas de noter que la protection de la santé constitue également un objectif à valeur constitutionnelle.
Elle précise que le Gouvernement doit donc veiller à ce que l’atteinte portée à la vie privée demeure proportionnée à l’objectif poursuivi.
Comment se traduira le respect du principe de proportionnalité ?
Pour la CNIL, ce principe devra se traduire notamment par une collecte et une conservation des données limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte à la vie privée des personnes.
Les données devraient être supprimées dès que l’utilité de l’application ne sera plus avérée.
L’utilité de l’application est un point particulièrement important puisque cette utilité est remise en cause par les détracteurs du projet[3].
Une exploitation statistique ou à des fins de recherche scientifique est envisageable si elle est réalisée en priorité sur des données anonymisées ou, à défaut, dans le strict respect des règles fixées par le RGPD et la loi « Informatique et Libertés ».
Dans quelles conditions l’atteinte à la vie privée serait-elle admissible ?
La CNIL considère que l’application peut potentiellement aider les autorités publiques à surveiller et à contenir la pandémie de COVID-19, en complétant les méthodes traditionnelles de recherche de contacts utilisées pour contenir la propagation des épidémies. Mais elle relève que l’application a des limites susceptibles de porter atteinte à son efficacité :
- En premier lieu, son efficacité dépend de certaines conditions techniques, notamment la possibilité pour une proportion suffisante de la population d’accéder à l’application et de l’utiliser dans de bonnes conditions.
- En deuxième lieu, la Commission souligne que l’effectivité du dispositif repose en partie sur une adoption large de celui-ci. Or, de nombreuses personnes particulièrement vulnérables à la maladie, ainsi que les jeunes enfants n’ont pas de smartphone, cette partie de la population sera donc en dehors du dispositif.
En outre, certains porteurs du virus sont asymptomatiques : ces personnes ne pourront bien entendu pas déclencher l’alerte.
- En troisième lieu, la CNIL souligne que l’efficacité de l’application repose sur des algorithmes permettant d’identifier une interaction susceptible d’avoir engendré une contamination. L’efficacité de ce dispositif dépend donc de la qualité de ces algorithmes
- En quatrième lieu, un dispositif numérique de suivi individualisé des personnes ne peut être mis en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale.
Aussi, la CNIL considère que le Gouvernement devra évaluer l’ensemble des différentes actions à mettre en place, telles que la mobilisation de personnels de santé et des enquêteurs sanitaires, la disponibilité de masques et de tests, l’organisation des dépistages, les mesures de soutien, les informations et le service délivrés aux personnes qui auront reçu l’alerte, la capacité à les isoler dans des lieux adéquats, etc.
Sur ce point, le Secrétaire d’Etat chargé du numérique a précisé à la CNIL que l’usage de l’application est envisagé dans une approche intégrée à la stratégie sanitaire globale pilotée notamment par le ministère de la santé et des solidarités.
Dans ce cadre, la CNIL considère que l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée.
Le 28 avril, le premier ministre Edouard Philippe a confirmé devant l’Assemblée Nationale que : “Pour l’heure, compte tenu des incertitudes sur cette application, je serais bien en peine de vous dire si elle fonctionne et comment elle fonctionnera précisément. Je ne doute pas que les ingénieurs travailleront d’arrache-pied et réussiront à faire fonctionner ce projet. Mais dès lors que ce n’est pas le cas, il me semble, pour tout vous dire, mesdames et messieurs les députés, que le débat est un peu prématuré. Mais je confirme mon engagement : lorsque l’application en cours de développement fonctionnera et avant sa mise en œuvre, nous organiserons un débat spécifique suivi d’un vote spécifique.”
La CNIL avait relevé, dans sa délibération, que le projet présenté était incomplet, c’est notamment pour cette raison qu’elle a demandé à être consultée de nouveau, une fois que celui-ci serait plus abouti.
Cependant, le caractère incomplet du projet n’a pas empêché la CNIL de communiquer certaines préconisations sur la mise en œuvre du projet …. à suivre
[1] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »
[2] Elle relève d’ailleurs que le Comité européen de la protection des données a considéré, dans son avis n° 04/2020 du 21 avril 2020, que cette base légale est la plus appropriée pour ce type d’applications mises en oeuvre par les autorités publiques.
[3] Cf par exemple l’article sur le site de La Quadrature du Net intitulé : « StopCovid est une projet désastreux piloté par des apprentis sorciers »
