Le président Macron l’a confirmé officiellement lors de son allocution hier : une application StopCovid de suivi des malades est bien en préparation. Or, la semaine dernière, la président de la CNIL Marie-Laure Denis était justement auditionnée par la commission des lois de l’Assemblée nationale sur cette question de traçage numérique. Elle a livré un avis nuancé sur le sujet, rappelant que le cadre juridique actuel permettait tout à fait de mener des expérimentations et de développer des outils efficaces. Elle a aussi mis en garde contre ce qu’elle appelle « la tentation du solutionnisme technologique » : de tels logiciels ne pourront tout résoudre.
Stocker les données sur les smartphones
A ce stade, le gouvernement envisage une application reposant sur la technologie du Bluetooth, sur la base du volontariat et uniquement avec le consentement des utilisateurs. C’est le scénario idéal souhaité par la CNIL qui a analysé les différentes méthodes menées dans le monde. Elle souhaite, par ailleurs, que les données soient stockées en local.
« D’une manière générale, les applications qui s’appuient sur des données Bluetooth, qui sont chiffrées directement sur le téléphone sous le contrôle de son utilisateur, apportent plus de garanties que celles qui s’appuient sur un suivi géolocalisé (GPS) continu des personnes », a déclaré Marie-Laure Denis.
Pas de conséquence pour ceux qui refusent de l’utiliser
Un tel dispositif ne nécessiterait pas de modifier la loi mais devra respecter à la lettre le règlement européen du RGPD et donc le principe de transparence. Cela nécessitera de détailler quelles données sont susceptibles d’être traitées, par qui, pour quelles finalités, dans quelles conditions et avec qui elles sont partagées.
La présidente de la CNIL a souligné que le refus d’utiliser l’application ne devra avoir aucune conséquence préjudiciable. « Pour constituer un « consentement » valide au sens du RGPD, le « volontariat » doit en respecter toute les conditions, à savoir être éclairé (informé), spécifique à la finalité, univoque et libre –c’est-à-dire que le refus de consentir ne doit pas exposer la personne à des conséquences négatives », précise la présidente. On imagine par là qu’il n’est pas question, par exemple, que l’accès à des soins ou des moyens de transport soient conditionnés à l’emploi de StopCovid.
StopCovid devra s’arrêter après la crise
Il sera nécessaire de définir et limiter les finalités de StopCovid. « Il faudra garantir, si un dispositif était mis en œuvre, que les données ne pourront pas être traitées ultérieurement à des fins sans rapport avec la gestion de la crise sanitaire », a explicité la CNIL. Si c’est la situation de crise qui justifie la mise en place d’un tel dispositif, alors rien ne justifiera de le prolonger au-delà ni de conserver les données trop longtemps.
Il faudra également respecter le principe de minimisation des données traitées : elles devront se limiter à ce qui est nécessaire. Il est possible, par exemple, d’associer les données à un identifiant unique généré lors de l’installation de l’application plutôt qu’aux noms et prénoms d’une personne.
La CNIL travaille sur ce sujet en étroite collaboration avec ses homologues des autres pays européen au sein du CEPD (Comité européen de protection des données).
Source : la CNIL