Application « Stop Covid » & données personnelles

L’objectif de l’application mobile « Stop Covid » est simple : enregistrer les données des personnes qui sont entrées potentiellement en contact afin de déterminer la source d’une contamination. Les utilisateurs qui se font tester positifs au Covid-19 devront ainsi fournir à l’autorité compétente l’accès à l’historique de l’application pour que cette dernière puisse avertir les autres utilisateurs que les malades auront croisés.

Si l’application devrait a priori être téléchargée sur la base du volontariat et devrait utiliser des données anonymes, de nombreuses questions se posent au regard de la vie privée et de la protection des données personnelles.

Différentes données seraient en effet traitées et notamment les données de santé dites « sensibles », dont le traitement est en principe interdit sauf exceptions. Le consentement de la personne en est une, tout comme la nécessité d’une prise en charge sanitaire ou encore si l’intérêt public dans le domaine de la santé publique le commande.

Au regard du contexte sanitaire, le droit des données personnelles n’interdit donc pas a priori la mise en place de cette application, d’autant plus si les données sont anonymes. Mais dans le cas contraire, notamment en cas de réidentification des utilisateurs, de nombreuses garanties s’imposent : définition explicite de la finalité du traitement, minimisation de la collecte aux seules données nécessaires, proportionnalité, durée de conservation strictement limitée, respect des droits des personnes, sécurité des données, etc.

De plus, si la proposition de loi déposée le 7 avril 2020 relative au développement de cette application envisage a priori le recours à la géolocalisation, c’est la technologie Bluetooth qui serait préférée par les autorités.

Lors de son audition en date du 8 avril 2020 devant la Commission des lois, la Présidente de la CNIL a ainsi rappelé que les applications qui s’appuient sur des données Bluetooth, c’est-à-dire qui sont chiffrées directement sur le téléphone, apportent plus de garanties que celles qui reposent sur un suivi géolocalisé. Mais elle a précisé que dans tous les cas, un suivi individualisé des personnes doit être basé sur le volontariat, avec un consentement libre et éclairé et que le refus ne devrait avoir aucune conséquence. En outre, elle a affirmé que la Commission contrôlerait la mise en place d’une application de traçage si les pouvoirs publics décidaient d’y recourir.

A ce titre, la CNIL a rendu un avis le 24 avril 2020 confirmant les dire de sa Présidente et précisant que le dispositif traitera des données à caractère personnel au sens du RGDP, notamment des données de santé dites « sensibles » et sera donc soumis aux règles de protection des données à caractère personnel. L’avis indique notamment que :

• La finalité à définir ne devra en aucun cas être la surveillance du respect du confinement mais bien l’alerte des personnes exposées au risque de contamination ;
• La base légale la plus appropriée serait le motif d’intérêt public « dans le domaine de la santé publique, tel que la protection contre les menaces transfrontalières graves pesant sur la santé » ;
• La responsabilité du traitement devrait être assurée par le ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise, compte tenu de la sensibilité des données collectées ;
• Des mesures de sécurité organisationnelles et techniques de très haut niveau devront être mises en place ;
• Et une information appropriée conformément au RGDP devra être fournie aux utilisateurs.

Il est certain que les technologies peuvent avoir un rôle utile dans la lutte contre la propagation de l’épidémie. Mais leur utilisation ne pourra être effective que dans le respect des garanties prévues par la loi, dans la confiance avec les individus et dans la mise en place d’autres mesures de protection complémentaires.

Par Julie Gautier, élève-avocate

Sources :
-Le Monde, « Smartphones, applis… les défis du pistage massif pour lutter contre la pandémie », article du 05 /04/2020 et « Coronavirus : Les applications de “contact tracing” appellent à une vigilance particulière », article du06/04/2020.
– https://www.cnil.fr/fr/crise-sanitaire-audition-de-marie-laure-denis-presidente-de-la-cnil-devant-la-commission-des-lois
– Proposition de loi n°2800 « visant à la création d’une application permettant d’établir et d’informer quant aux déplacements d’une personne contaminée lors d’une crise épidémique majeure ».
– Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »