Village de la Justice www.village-justice.com

Covid-19 : Application Stop Covid, faisons un point sur sa légalité. Par Pauline Vital et Claudia Weber, Avocats.
Parution : mardi 9 juin 2020
Adresse de l'article original :
https://www.village-justice.com/articles/covid-application-stop-covid-faisons-point-sur-legalite,35681.html
Reproduction interdite sans autorisation de l'auteur.

La CNIL, consultée en amont du traitement, annonce des contrôles.
Le décret n° 2020-650 du 29 mai 2020 portant création du traitement de données dénommé « StopCovid » a été publié au Journal Officiel du 30 mai 2020.

L’avis préalable de la CNIL.

Saisie dans l’urgence par le ministre des solidarités et de la santé sur le projet de décret, l’autorité de protection des données française s’est prononcée, par délibération portant avis en date du 25 mai [1] dernier. Cet avis fait suite à celui qu’elle a rendu le 24 avril 2020 sur le principe même du développement d’une telle application au regard des règles de protection des données à caractère personnel [2]

Pour rappel, cette application, qui intervient dans le cadre de la stratégie de « déconfinement » du Gouvernement, permet d’informer les utilisateurs qu’ils se sont trouvés, un temps, à proximité d’autres utilisateurs testés positivement à la Covid 19.

La CNIL, ainsi consultée sur le projet de texte portant création du traitement relève, en premier lieu, que la lutte contre l’épidémie constitue un impératif majeur, de nature à permettre des atteintes transitoires au droit de la protection de la vie privée, lesquelles doivent être justifiées par un motif d’intérêt général et proportionnées à la réalisation de l’objectif sanitaire poursuivi.

Comme dans son avis précédent, elle rappelle les règles élémentaires de prudence dans le déploiement d’un tel dispositif, notamment au vu de sa particulière sensibilité.

S’agissant de l’utilité même de l’application, appréciée au regard de sa pertinence dans une politique sanitaire globale, la CNIL prend acte que le dispositif s’inscrit efficacement dans la chaîne de réduction de contamination au virus.

Au-delà des garanties substantielles apportées par le Gouvernement dans le déploiement du dispositif, telles que la pseudonymisation des identifiants des personnes exposées au virus, le recours au Bluetooth et non à la géolocalisation, ou encore le principe de son utilisation à force non contraignante relevant du seul volontariat des personnes, la CNIL relève la prise en considération des préconisations faites dans son précédent avis.
Ainsi en est-il de la garantie que le traitement relève du ministère en charge de la politique sanitaire, l’absence de conséquences juridiques défavorable pour les personnes non-utilisatrices, ou encore les strictes mesures de sécurité.
L’autorité de protection des données française insiste également sur la nécessité d’exclure certaines finalités spécifiques dans le traitement, telles que le recensement des personnes infectées, la surveillance du respect du confinement, ou encore le suivi des interactions sociales.

Elle rappelle, l’obligation d’encadrer la relation de sous-traitance par un contrat adapté, tel que prévu par les dispositions de l’article 28 du RGPD, et d’envisager une traçabilité des accès.

S’agissant des droits des personnes concernées, si les droits d’accès, de rectification et de portabilité ont vocation à être exclus du dispositif, les utilisateurs ont la possibilité d’effacer directement leurs données à partir de leur application et leur droit d’opposition se matérialise par la possibilité de se désabonner.

Pour autant, la CNIL a demandé au Gouvernement de mettre en œuvre certaines mesures supplémentaires quant à l’information liées aux droits des utilisateurs ainsi qu’à l’accès à l’intégralité du code source de l’application.
La durée de l’application StopCovid, fixée à six mois à compter de la fin de l’état d’urgence sanitaire, sera soumise à une évaluation régulière de son utilité pendant toute la durée de son utilisation.

Le décret portant création du traitement.

Sous la responsabilité du ministre chargé de la santé (direction générale de la santé), le traitement a pour seules finalités, énumérées en son article 1 :
D’informer les personnes utilisatrices de l’application du risque qu’elles aient été contaminées par la Covid-19 en raison de leur proximité avec un autre utilisateur ayant été diagnostiqué positif à ce virus ;
De sensibiliser les personnes utilisatrices de l’application sur les symptômes du virus et les mesures à mettre en place pour lutter contre sa propagation ;
De recommander aux contacts à risque de contamination de s’orienter vers les acteurs de santé compétents ;
D’adapter, le cas échéant, la définition des paramètres de l’application permettant d’identifier les contacts à risque de contamination grâce à l’utilisation de données statistiques anonymes au niveau national.

L’article 2 du décret donne la liste des données traitées dans le cadre de cette application et précise le caractère aléatoire et temporaire des pseudonymes collectés et enregistrés par l’application sur le téléphone mobile de l’utilisateur.

Conformément à l’avis de la CNIL, le décret prévoit également :
- La publication du code source de l’application sur le site : www.stopcovid.gouv.fr.
- L’information des utilisateurs au moment de l’installation de l’application et sur le site internet mentionné ci-avant. En cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées de leur proximité, au cours des quinze derniers jours, d’au moins un autre utilisateur diagnostiqué positif à la Covid-19 et de leur possible identification pour les personnes ayant eu un très faible nombre de contacts pendant cette période.
- De strictes règles de traçabilité des actions réalisées par les administrateurs du traitement afin d’en limiter tout usage non approprié.
L’application fera l’objet d’un rapport rendu sur son fonctionnement par la direction générale de la santé dans les trente jours suivant le terme de sa mise en œuvre et au plus tard le 31 janvier 2021.

Ainsi, l’utilité et le fonctionnement de cette application seront contrôlés tout au long, mais aussi à l’issue de son utilisation, de sorte à garantir le respect des droits fondamentaux de personnes concernées.

Les contrôles de la CNIL.

Quelques jours après la publication du texte portant création du traitement la CNIL [3] a annoncé une série de contrôles (sur place et en ligne) à venir quant au bon déploiement de l’application StopCovid.

De telles missions d’investigations, qui débuteront dès le mois de juin et jusqu’à la suppression des données, porteront, plus spécifiquement, sur les modalités de recueil du consentement et d’informations des utilisateurs, la mise en œuvre des mesures de sécurités, les flux de données et leurs destinataires.

En cas de manquements graves ou répétés, la CNIL pourra prononcer des mises en demeure et/ou infliger des sanctions.

Pauline Vital, Avocat & Claudia Weber, Associé fondateur, ITLAW Avocats - www.itlaw.fr

[2Sur ce point, notre article.

[3SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles, 4 juin 2020 : https://www.cnil.fr/fr/si-dep-contact-covid-et-stopcovid-la-cnil-lance-sa-campagne-de-controles