Lors de son allocution du 14 octobre 2020, le président de la République Emmanuel Macron a annoncé le lancement d’une nouvelle application « Tous Anti-Covid ». Cette nouvelle application n’apporte pas de modification substantielle quant au traitement de données à caractère personnel par rapport à l’application initiale « Stop Covid ».
La CNIL n’a d’ailleurs pas été saisie pour émettre un avis sur l’application « Tous Anti-Covid », mais reste mobilisée pour contrôler et assurer le respect de la vie privée des utilisateurs.
Comment sont protégées vos données personnelles via l’application « Tous Anti-Covid » ? Le cabinet Clairmont Novus vous présente les 5 points à retenir sur cette application.
#1 – Une logique de transparence et de minimisation des données
L’application fonctionne sur le protocole « ROBERT »[1], qui est conçu pour être conforme au principe de minimisation des données utilisées et plus largement au RGPD comme l’a publiquement confirmé la CNIL lors de la clôture de son contrôle le 3 septembre 2020[2].
L’application repose en outre sur une installation volontaire et une anonymisation des données, de sorte que personne ne puisse ni retracer la liste des personnes testées positives ni, le cas échéant, reconstituer la chaîne de transmission.
Par ailleurs, l’application « Tous Anti-Covid » s’inscrit dans une démarche de transparence, les codes sources et la documentation relative à l’application sont disponibles à tous[3]. Cela permet à l’application d’être améliorée et de vérifier que les engagements pris sont respectés.
#2 – Pas de géolocalisation des individus
L’application « Tous Anti-Covid », tout comme l’application initiale « Stop Covid » permet la « recherche de contacts » (« contact tracing »), grâce uniquement à la technologie Bluetooth (l’application identifie les téléphones à proximité), sans recourir à une géolocalisation des utilisateurs par les données GPS des téléphones portables.
#3 – Une application qui fera l’objet d’évolutions régulières
La CNIL entend contrôler régulièrement l’impact sur la vie privée des utilisateurs et rendre des avis chaque trimestre concernant l’application. Le dernier a été publié en date du 14 septembre 2020 et adressé au Parlement[4].
#4 – Une application limitée dans le temps
Initialement, les dispositifs de traitement des données de l’application ne peuvent dépasser les six mois à compter de la fin de l’état d’urgence sanitaire[5], soit jusqu’au 11 janvier 2021. Une prorogation est néanmoins attendue étant donné que l’état d’urgence sanitaire a été à nouveau déclaré le 17 octobre 2020 jusqu’au 16 février 2021 au moins.
En tout état de cause, l’application « Tous Anti-Covid » a un caractère temporaire. Elle n’aura plus lieu d’exister après la fin de l’épidémie. Par ailleurs, chacun peut décider, à tout moment, de désinstaller l’application, entrainant la suppression de toutes les données enregistrées au bout de 14 jours.
#5 – L’application « Tous Anti-Covid » n’est pas le seul traitement de données effectué par le gouvernement pour lutter contre la COVID-19
Deux autres traitements sont effectués pour lutter contre l’épidémie : les fichiers SI-DEP et Contact Covid.
Le fichier SI-DEP est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests au SARS-CoV-2 réalisés par des laboratoires publics ou privés.
Après vérification, la CNIL a déclaré qu’à ce jour le niveau global de conformité et de sécurité des données à travers ce traitement était satisfaisant.
Le traitement Contact Covid est mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) et recueille des informations sur les « cas contact » et les chaînes de contamination. Les enquêtes sanitaires sont menées à trois niveaux différents (médecins de ville/établissements de santé/centres de santé (niveau 1), personnel habilité de l’assurance maladie (niveau 2), agences régionales de santé (ARS) (niveau 3)).
Lors de ses contrôles, la CNIL a constaté plusieurs pratiques insatisfaisantes, telles que l’information des personnes qui est parfois incomplète, l’absence de garantie suffisante pour la durée de conservation des données, des mesures de sécurité insuffisantes pour les transmissions de données.
La CNIL s’est
rapprochée de la CNAM et du ministère des Solidarités et de la Santé afin
qu’ils se mettent en conformité dans les plus brefs délais.
[1] « ROBERT » pour ROBust and privacy-presERving proximity Tracing, soit « Traçage de la proximité robuste et préservant la vie privée »
[2] Une mise en demeure de la CNIL adressée au ministère des Solidarités et de la Santé en date du 15 juillet 2020 avait mis en exergue quelques manquements au RGPD et à la loi Informatique et Liberté et qui ont été rectifiés. La mise en demeure a été clôturée le 3 septembre 2020 après vérification de la CNIL.
[3] https://gitlab.inria.fr/stopcovid19/accueil
[4]https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_10_septembre_2020_sur_la_mise_en_oeuvre_des_systemes_dinformation_contre_la_propagation_de_covid-19.pdf
[5] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000041936881/ Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
