ETUDE : L'application « TousAntiCovid » (anciennement « StopCovid ») * Mise à jour le 27.04.2021

ETUDE : L'application « TousAntiCovid » (anciennement « StopCovid ») * Mise à jour le 27.04.2021

E69653MW

sans cacheDernière modification le 27-04-2021

Plan de l'étude

  1. Acceptation du déploiement de l’application sous conditions par la CNIL
  2. Avis de la CNIL sur les conditions de mise en œuvre de l’application
  3. Création d'une application mobile de suivi de contacts dénommée « StopCovid »
  4. La CNIL tire les conséquences de ses contrôles
  5. Clôture de la mise en demeure à l’encontre du ministère des Solidarités et de la Santé
  6. « TousAntiCovid » remplace « StopCovid »
  7. Les évolutions de l’application « TousAntiCovid » : avis de la CNIL et publication du décret
  8. « TousAntiCovid-Carnet » : quelles sont les garanties à respecter ?

1. Acceptation du déploiement de l’application sous conditions par la CNIL

E69663MX

La CNIL accepte le déploiement de l’application de traçage « StopCovid » sous conditions (CNIL, délibération n° 2020-046, 24 avril 2020).

  • Dans sa délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile de traçage dénommée « StopCovid » (CNIL, délibération n° 2020-046, 24 avril 2020 N° Lexbase : X0155CKX), la CNIL estime le dispositif conforme au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) si certaines conditions sont respectées. Elle relève qu’un certain nombre de garanties sont apportées par le projet du Gouvernement et demande certaines garanties supplémentaires. La CNIL souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale.
    • Les garanties apportées par le projet du Gouvernement

    Usage volontaire de l’application. L’usage de l'application envisagée par le Gouvernement est volontaire. La CNIL précise que cela implique qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun.

    Protection des données à caractère personnel. La CNIL reconnaît qu’elle respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées. L’analyse du protocole technique par la Commission confirme cependant que l’application traitera bien des données personnelles et sera soumise au « RGPD ». Elle attire l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée.

    • Les garanties supplémentaires demandées par la CNIL

    La CNIL estime que l’application peut être déployée, conformément au « RGPD »si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

    Application limitée dans le temps. L’utilisation de l’application doit être temporaire et les données doivent être conservées pendant une durée limitée.

    Suivi de l’impact du dispositif. La CNIL recommande que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

    Intégration de l’application dans une stratégie sanitaire globale. La CNIL rappelle que l'utilisation d'applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ». Elle souligne que son efficacité dépendra, notamment, de sa disponibilité dans les magasins d’application (appstoreplaystore…), d’une large adoption par le public et d’un paramétrage adéquat.

    Sécurité du dispositif et préconisations techniques. Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité. La CNIL estime opportun que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite dans le droit national.

    La CNIL demande à pouvoir se prononcer à nouveau, après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

2. Avis de la CNIL sur les conditions de mise en œuvre de l’application

E69673MY

La CNIL rend son avis sur les conditions de mise en œuvre de l’application « StopCovid » (CNIL, délibération n° 2020-056, 25 mai 2020).

  • Dans sa délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid » (N° Lexbase : X0427CKZ), la CNIL constate que l’application utilisera des données pseudonymisées, sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées. Elle observe également que ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre. Afin d’assurer la pleine conformité du traitement au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), elle a néanmoins émis plusieurs observations sur le projet de décret qui lui a été soumis et sur les conditions opérationnelles de déploiement de l’application.  
  • LOI n° 2020-546 du 11 mai 2020
    Décret n° 2020-551 du 12 mai 2020
    Contexte. Dans le cadre de la stratégie globale de « déconfinement progressif », le Gouvernement a prévu la mise en œuvre de plusieurs dispositifs numériques. En particulier, la CNIL s’est prononcée le 8 mai dernier sur deux fichiers nationaux, « Contact Covid » et « SI-DEP » (CNIL, délibération n° 2020-051, 8 mai 2020 N° Lexbase : Z705799T), autorisés par la loi n° 2020-546 du 11 mai 2020, prorogeant l'état d'urgence sanitaire et complétant ses dispositions, et le décret n° 2020-551 du 12 mai 2020, relatif aux systèmes d'information mentionnés à l'article 11 de ladite loi. Ces fichiers visent à assurer le dépistage, la conduite des enquêtes sanitaires et la prise en charge sanitaire des personnes atteintes du virus ou susceptibles de l’être.

    En complément, le Gouvernement a souhaité mettre à disposition de la population une application mobile, disponible sur ordiphones (smartphones) et dénommée « StopCovid ». Son objectif est d’informer les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué positif au Covid-19. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth.

    La CNIL s’était prononcée le 24 avril 2020 sur le principe de la mise en œuvre d’une telle application et avait formulé un certain nombre de préconisations. Compte tenu du contexte exceptionnel de gestion de la crise sanitaire, la CNIL avait considéré possible la mise en œuvre de « StopCovid », sous réserve qu’elle soit utile à la stratégie de déconfinement et qu’elle soit conçue de façon à protéger la vie privée des utilisateurs (CNIL, délibération n° 2020-046, 24 avril 2020 N° Lexbase : X0155CKX ; lire N° Lexbase : N3133BYP).

    • Conditions de mise en œuvre

    La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions.  Par ailleurs, des données à caractère personnel concernant la santé seront traitées.

    Protection des données dès la conception. Elle constate que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.

    Application des principales recommandations de la CNIL formulées dans son avis du 24 avril 2020. Les principales recommandations de la CNIL, formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment :

    - la responsabilité du traitement confiée au ministère en charge de la politique sanitaire ;

    - l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application ;

    - ou encore la mise en œuvre de certaines mesures techniques de sécurité.

    Complémentarité et rapidité. La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus.

    Evaluation régulière. Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière.  

    • Recommandations complémentaires

    Compte tenu de la sensibilité de l’application, la CNIL a formulé dans ce nouvel avis plusieurs recommandations complémentaires parmi lesquelles :

    - l’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles ;  

    - la nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs ;

    - la confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées ; et

    - le libre accès à l’intégralité du code source de l’application mobile et du serveur.

3. Création d'une application mobile de suivi de contacts dénommée « StopCovid »

E69683MZ

  • Un décret, publié au Journal officiel du 30 mai 2020, crée un traitement de données à caractère personnel, nécessaire au fonctionnement de l'application mobile de suivi de contacts dénommée « StopCovid », qui permet à ses utilisateurs d'être informés lorsqu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du Covid-19, grâce à la conservation de l'historique de proximité des pseudonymes émis via la technologie Bluetooth (décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z368819U). 
    Ce décret est complété par un arrêté, publié au Journal officiel du 31 mai 2020 (arrêté du 30 mai 2020 définissant les critères de distance et de durée du contact au regard du risque de contamination par le virus du Covid-19 pour le fonctionnement du traitement de données dénommé « StopCovid » (N° Lexbase : L2405LXD).
  • Règlement (UE) n° 2016/679 du Parlement européen et du Conseil, 27-04-2016
    Création du traitement. Le traitement de données à caractère personnel dénommé « StopCovid », qui repose sur une application mobile et un serveur central, est mis en œuvre dans le cadre d'une mission d'intérêt public conformément au e du paragraphe 1 de l'article 6 du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), et pour les motifs d'intérêt public mentionnés au i du paragraphe 2 de l'article 9 de ce même Règlement.

    Ce traitement a pour finalités :

    • d'informer les personnes utilisatrices de l'application qu'il existe un risque qu'elles aient été contaminées par le Covid-19 en raison du fait qu'elles se sont trouvées à proximité d'un autre utilisateur de cette application ayant été diagnostiqué positif à cette pathologie ;
    • de sensibiliser les personnes utilisatrices de l'application, notamment celles identifiées comme contacts à risque de contamination, sur les symptômes de ce virus, les gestes barrières et la conduite à adopter pour lutter contre sa propagation ;
    • de recommander aux contacts à risque de contamination de s'orienter vers les acteurs de santé compétents aux fins que ceux-ci les prennent en charge et leur prescrivent, le cas échéant, un examen de dépistage ;
    • d'adapter, le cas échéant, la définition des paramètres de l'application permettant d'identifier les contacts à risque de contamination grâce à l'utilisation de données statistiques anonymes au niveau national.

    L'application « StopCovid » est installée librement et gratuitement par les utilisateurs. En cas de diagnostic clinique positif au Covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l'application sont libres de notifier ou non ce résultat dans l'application et de transmettre au serveur l'historique de proximité. L'application peut être désinstallée à tout moment.

  • Arrêté du 30 mai 2020

    Données traitées. L’article 2 détaille les données traitées pour la mise en œuvre du traitement :

    • une clé d'authentification partagée entre l'application et le serveur central ;
    • un identifiant unique associé à chaque application téléchargée par un utilisateur ;
    • les codes pays, générés par le serveur central ;
    • des pseudonymes aléatoires et temporaires, qui sont transmis chaque jour par le serveur central à l'application lorsqu'elle se connecte à ce dernier ;
    • l'historique de proximité d'un utilisateur, constitué des pseudonymes aléatoires et temporaires émis via la technologie « Bluetooth » par les applications installées sur des téléphones mobiles d'autres utilisateurs qui se trouvent, pendant une durée déterminée, à une distance de son téléphone mobile telle qu'il existe un risque suffisamment significatif qu'un utilisateur qui serait positif au Covid-19 contamine l'autre. L'arrêté du 30 mai 2020 précise que les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent à une proximité suffisante l'un de l'autre sont un contact à moins d'un mètre pendant au moins 15 minutes entre les utilisateurs de l'application « StopCovid » ;
    • l'historique de proximité des contacts à risque de contamination par le Covid-19 ;
    • les périodes d'exposition des utilisateurs à des personnes diagnostiquées ou dépistées positives au Covid-19 ;
    • les données renseignées dans l'application par les personnes diagnostiquées ou dépistées positives au Covid-19 qui décident d'envoyer au serveur l'historique de proximité de leurs contacts à risque ;
    • le statut « contacts à risque de contamination » de l'identifiant de l'application, qui est retenu dès lors qu'un utilisateur de l'application a été à proximité d'un autre utilisateur, ultérieurement dépisté ou diagnostiqué positif au Covid-19 ;
    • la date des dernières interrogations du serveur central.
  • LOI n° 2020-290 du 23 mars 2020 d'urgence pour faire face à l'épidémie de covid-19 (1)
    Durée du traitement. L’article 3 précise que le traitement est mis en œuvre pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire déclaré par l'article 4 de la loi n° 2020-290 du 23 mars 2020, soit le 10 janvier 2021.
  • Droits des utilisateurs. Conformément au « RGPD », l’article 4 prévoit que les droits d'accès, de rectification ainsi que le droit à la limitation ne peuvent s'exercer auprès du responsable de traitement.
    Les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits au moment de l'installation de l'application. Elles sont en outre prévenues qu'en cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu'elles auront été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au Covid-19 au cours des quinze derniers jours et informées de la possibilité limitée d'identification indirecte, susceptible d'en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période. Des mentions d'informations sont également publiées sur le site internet « www.stopcovid.gouv.fr ».

    Entrée en vigueur. Le texte est entré en vigueur le 31 mai 2020.

4. La CNIL tire les conséquences de ses contrôles

E64643RT

  • À la suite des contrôles diligentés par sa Présidente, la CNIL estime que la nouvelle version de l’application StopCovid respecte pour l’essentiel le « RGPD » (Règlement n° 2016/ du 27 avril 2016 N° Lexbase : L0189K8I) et la loi « Informatique et Libertés » (loi n° 78-17 du 6 juillet 1978 N° Lexbase : L8794AGS​​​​​​​) ;  elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier (CNIL, communiqué du 20 juillet 2020).
  • Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.

     

    Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel. En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.

     

    Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du « RGPD » et de la loi « Informatique et Libertés » dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. À ce jour, les deux versions de l’application coexistent.

     

    La CNIL a notamment relevé les points suivants lors de ses contrôles :

     

    • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.

     

    • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du « RGPD » mais devrait être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.

     

    • Le contrat de sous-traitance conclu entre le ministère et INRIA  nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.

     

    • L’analyse d’impact relative à la protection des données réalisée par le ministère est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

     

    Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points.

     

    Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

5. Clôture de la mise en demeure à l’encontre du ministère des Solidarités et de la Santé

E35483TL

  • ► Par décision du 3 septembre 2020, la Présidente de la CNIL a décidé de procéder à la clôture de la mise en demeure du 20 juillet 2020 adressée au ministère des Solidarités et de la Santé (CNIL, décision n° 2020-015, 3 septembre 2020 N° Lexbase : X0845CKI).
  • Règlement (UE) n° 2016/679 du Parlement européen et du Conseil, 27-04-2016
    Loi n° 78-17, 06-01-1978, relative à l'informatique, aux fichiers et aux libertés
    Mise en demeure. Le 20 juillet 2020, la Présidente de la CNIL a rendu publique une mise en demeure à l’encontre du ministère des Solidarités et de la Santé concernant le traitement des données personnelles mis en œuvre dans le cadre de l’application StopCovid. En effet, même si les trois opérations de contrôles réalisées par la CNIL au mois de juin 2020 avaient permis de constater que le fonctionnement de l’application StopCovid respectait pour l’essentiel les exigences de protection de la vie privée et des données personnelles des utilisateurs, la CNIL a néanmoins relevé plusieurs manquements aux dispositions du « RGPD » (Règlement n° 2016/679 du 27 avril 2016) et à la loi « Informatique et Libertés » (loi n° 78-17 du 6 juillet 1978). La Présidente avait donc mis en demeure le ministère de mettre l’application StopCovid en conformité dans le délai d’un mois sur plusieurs points (CNIL, communiqué de presse du 20 juillet 2020 ; lire N° Lexbase : N4256BYB).

     

    Réponses du ministère. Pour la CNIL, les éléments de réponse apportés par le ministère au cours du mois d’août ont permis de démontrer que les manquements constatés lors du contrôle avaient cessé. Il a en effet pris les mesures nécessaires pour se mettre en conformité avec les injonctions de la mise en demeure.

     

    Tout d’abord, les utilisateurs disposant de la première version de l’application (v1.0) - dans laquelle le filtrage de l’historique de contacts de l’utilisateur s’effectuait au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur - se voient désormais afficher un écran de mise à jour les empêchant d’activer l’application ou de remonter leurs données de contact sans procéder à une mise à jour préalable. Cette nouvelle version de l’application (v1.1) impose quant à elle un préfiltrage de l’historique des contacts de l’utilisateur au niveau du téléphone. En conséquence, il est désormais impossible que l’intégralité de l’historique des contacts de l’utilisateur remonte vers le serveur central, sans préfiltrage au niveau du téléphone.

     

    Ensuite, Le ministère n’a plus recours au système de « reCaptcha » proposé par la société Google. Il n’y a donc plus d’opérations de lecture et d’écriture sur le terminal en lien avec cette technologie, même pour les utilisateurs de la première version de l’application (v1.0).

     

    Par ailleurs, le ministère a complété les mentions d’information fournies aux utilisateurs de l’application en mentionnant INRIA en qualité de destinataire des données personnelles.

     

    Le ministère a également complété les clauses de son contrat de sous-traitance avec INRIA, afin qu’y figure l’ensemble des informations exigées par le « RGPD ».

    Enfin, l’AIPD de l’application StopCovid a bien été complétée s’agissant des mesures de sécurité permettant de prévenir certaines attaques informatiques.

     

    La Présidente de la CNIL a considéré que, dans ces conditions, le ministère des Solidarités et de la Santé s’était mis en conformité avec le « RGPD » et la loi « Informatique et Libertés » et a décidé de procéder à la clôture de la procédure.

6. « TousAntiCovid » remplace « StopCovid »

E01083ZZ

  • Dans son communiqué de presse en date du 23 octobre 2020, la CNIL revient sur l’évolution de l’application « StopCovid ».

    Le Gouvernement a annoncé, jeudi 22 octobre 2020, le déploiement d’une nouvelle version de son application de traçage des cas contacts pour lutter contre la propagation du Covid-19, dénommée « TousAntiCovid ».

    Cette dernière fournit notamment des informations actualisées sur la circulation du virus et des liens vers d’autres dispositifs numériques du Gouvernement.

  • Contexte. « TousAntiCovid » remplace l’application « StopCovid », sur laquelle la CNIL s’est prononcée les 24 avril (CNIL, délibération n° 2020-046, 24 avril 2020 N° Lexbase : X0155CKX ; lire N° Lexbase : N3133BYP) et 25 mai 2020 (CNIL, délibération n° 2020-056, 25 mai 2020 N° Lexbase : X0427CKZ ; lire N° Lexbase : N3430BYP), et qui vise notamment à permettre la recherche de contacts dans les situations à risque lorsque les utilisateurs ne sont pas en mesure de s’assurer du respect des gestes barrières (port du masque, respect des distanciations sociales, etc.).

     

    Préservation des éléments structurants du dispositif. Il découle des annonces du Gouvernement que les éléments structurants du dispositif ne sont pas impactés par les évolutions de l’application. Ainsi, le protocole « ROBERT », conçu dans une logique de minimisation des données et de protection dès la conception, reste celui utilisé par l’application « TousAntiCovid ». Tout comme « StopCovid », l’application repose sur une démarche volontaire des personnes et permet la « recherche de contacts » (« contact tracing »), grâce à la technologie Bluetooth, sans recourir à une géolocalisation des individus.

     

    Nouvelles fonctionnalités. « TousAntiCovid » propose de nouvelles fonctionnalités à l’utilisateur. L’application intègre désormais :

    • d’une part, des informations actualisées sur la circulation du virus ; et
    • d’autre part, des liens vers d’autres outils numériques, déjà existants, et mis en œuvre par les autorités sanitaires (par exemple, la carte des lieux pour se faire tester ou l’attestation de déplacement dérogatoire).

     

    Le rôle de la CNIL. Le déploiement de la nouvelle application ne nécessitait pas de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation de « TousAntiCovid ».

     

    La CNIL reste mobilisée afin de s’assurer du respect de la vie privée des utilisateurs de l’application. À cet égard, elle a rendu, le 14 septembre dernier, son avis trimestriel adressé au Parlement sur les conditions de mise en œuvre des traitements SI-DEP, Contact Covid et « StopCovid » (CNIL, délibération n° 2020-087, 10 septembre 2020 N° Lexbase : X1192CKD). Un nouvel avis sera publié d’ici la fin de l’année.

     

    Enfin, la CNIL relève que l’application « TousAntiCovid » fera l’objet d’évolutions régulières. Elle restera donc particulièrement vigilante pour examiner ces futures évolutions. Elle rappelle notamment qu’elle peut diligenter de nouveaux contrôles, si nécessaire, et qu’elle devrait se prononcer, à nouveau, si le traitement de données fait l’objet de modifications substantielles.

7. Les évolutions de l’application « TousAntiCovid » : avis de la CNIL et publication du décret

E93854GP

  • ► Dans sa délibération en date du 17 décembre 2020, la CNIL s’est prononcée sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z368819U).

     

    Les évolutions visent principalement à alerter les utilisateurs de l’application désormais dénommée « TousAntiCovid » lorsqu'elles ont été présentes dans un établissement recevant du public en même temps qu’une ou plusieurs personnes ultérieurement diagnostiquées ou dépistées positives à la covid-19.

  • Le contexte. Le projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application désormais dénommée « TousAntiCovid ».

     

    L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la covid-19.

     

    Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.

     

    • L'avis de la CNIL

     

    Concernant le dispositif d’enregistrement des visites dans certains établissements recevant du public. L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer la proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.

     

    Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :

    - le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;

    - aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;

    - les données sont séparées de celles traitées dans le cadre du protocole ROBERT.

     

    N.B. : le protocole ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont le but est de permettre le développement de solutions interopérables de suivi de contacts, respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie.

     

    Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).

     

    La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.

     

    Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.

     

    Concernant la priorisation des cas contacts dans l’accès aux examens et tests de dépistage. La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».

     

    Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.

     

    • Le décret

     

    Publication. Le décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » est publié au JO du 14 février 2021.

     

    Objet. Le décret modifie la dénomination de l'application « StopCovid » qui devient « TousAntiCovid » et complète ses finalités pour permettre aux utilisateurs de faire état de leur statut de « contacts à risque de contamination » afin de bénéficier d'un test ou d'un examen de dépistage de la covid-19 et d'accéder à des informations complémentaires sur la situation sanitaire. Le texte permet en outre la collecte de la date du dernier contact avec une personne diagnostiquée ou dépistée positive au virus covid-19 et prolonge la durée de mise en œuvre de l'application jusqu'au 31 décembre 2021.

     

    Entrée en vigueur. Les dispositions du décret entrent en vigueur le lendemain de sa publication, soit le 15 février 2021, à l'exception de celles relatives à l'information de l'utilisateur sur la période au cours de laquelle il a eu un contact avec une personne diagnostiquée ou dépistée positive au virus covid-19, ainsi que celles portant sur la conservation de ces informations, qui entrent en vigueur le seizième jour suivant celle-ci.

     

8. « TousAntiCovid-Carnet » : quelles sont les garanties à respecter ?

E31254QS

  • ► Par son communiqué de presse en date du 22 avril 2021, la CNIL précise les garanties que doit respecter la nouvelle fonctionnalité « TousAntiCovid-Carnet » intégrée à l’application « TousAntiCovid » (CNIL, communiqué de presse, 22 avril 2021).
  • Contexte. Le 19 avril 2021, le ministère des Solidarités et de la Santé a déployé une nouvelle fonctionnalité dénommée « TousAntiCovid-Carnet », intégrée à l’application « TousAntiCovid », qui s’inscrit dans le cadre des travaux européens autour du « certificat vert numérique ».

    Il s’agit d’un « carnet » numérique permettant de stocker, de manière électronique, les certificats de résultats de tests (PCR et antigéniques) ainsi que, prochainement, les certificats de vaccination afin de « favoriser les déplacements nécessitant un contrôle sanitaire […] notamment lors des passages aux frontières ». Son fonctionnement est détaillé dans la FAQ dédiée à l’application (rubrique « Carnet de tests »).

    Les services de la CNIL ont été sollicités sur les aspects techniques du dispositif afin de garantir que celui-ci soit respectueux du droit à la protection des données personnelles et de la vie privée des personnes. La CNIL a ainsi pu partager ses recommandations quant aux garanties à apporter, notamment pour assurer la sécurité et la confidentialité des données.

    Une utilisation toujours basée sur le volontariat. La CNIL rappelle que le caractère volontaire de l’usage de « TousAntiCovid » et, donc, de sa fonctionnalité « Carnet de tests » doit rester une garantie essentielle du dispositif. L’utilisation de cette application ne peut donc constituer une condition à la libre circulation des personnes.

    Elle constate, à cet égard, que le stockage des preuves certifiées des tests (PCR ou antigéniques) et des certificats de vaccination dans « TousAntiCovid » n’est pas obligatoire. Ces preuves peuvent également être présentées en version papier remise en main propre par les personnels de santé et les laboratoires, imprimé directement par les personnes ou présenté de manière numérique, en dehors de l’application, dès lors que la plateforme dédiée propose un document PDF contenant un code Datamatrix, similaire à un QR-code.

    Une utilisation limitée à certains déplacements. Cette nouvelle fonctionnalité doit, à ce stade, uniquement permettre « de favoriser les déplacements nécessitant un contrôle sanitaire ». En pratique, les premières expérimentations annoncées par le Gouvernement seront limitées aux vols à destination de la Corse puis, dans un second temps, vers l’Outre-mer. Ces expérimentations permettront de tester la technologie et de définir la meilleure utilisation de l'outil par les passagers et le personnel en charge de la vérification de ces certificats, avant le déploiement sur l'ensemble des vols vers les pays de l’Union européenne.

    Plus généralement, s’agissant des réflexions autour d’un éventuel « pass sanitaire » permettant de réguler l’accès à certains lieux, la CNIL souligne que cela poserait de nombreuses questions juridiques, techniques et sociétales, notamment sur la proportionnalité d’un tel dispositif. Le Collège de la CNIL restera vigilant quant à l’éventuel déploiement d’un tel système. Il serait, en tout état de cause, amené à se prononcer s’il était proposé par le Gouvernement.

    Des garanties nécessaires pour les personnes. La CNIL a rappelé que cette nouvelle fonctionnalité doit notamment respecter les garanties suivantes :

    • l’utilisateur doit pouvoir en garder le contrôle ;
    • le certificat doit être accessible également au format papier ;
    • les données doivent être exactes, certifiées par une autorité et leur intégrité doit être garantie ;
    • les données contenues dans le certificat doivent être limitées à ce qui est nécessaire (principe de minimisation) ;
    • les autorités qui vérifieront le Datamatrix ne doivent pas avoir accès aux données de santé qui ont permis sa délivrance et ne doivent, en aucun cas, générer la création d’une base centralisée de données ;
    • des mesures de sécurité doivent être apportées (données chiffrées, intégrité vérifiée, audits des systèmes d’information, etc.).

    Une attention particulière de la CNIL. Afin d’assurer que les droits et libertés des personnes soient respectés, la CNIL est attentive aux modalités concrètes d’implémentation d’un tel système, temporaire, et, notamment, à l’usage qui en sera fait.

    Elle rappelle qu’elle peut diligenter de nouveaux contrôles, le cas échéant, pour s’assurer que les garanties nécessaires sont respectées.

    Pour aller plus loin :

    • v. ministère de l'Economie, des Finances et de la Relance, communiqué de presse, 19 avril 2021 ;
    • v. M.-L. Hardouin-Ayrinhac, Certificat vert numérique : adoption d'un avis conjoint par le CEPD et le Contrôleur européen de la protection des données sur la proposition de règlement, Lexbase Droit privé, avril 2021, n° 862 (N° Lexbase : N7213BYS).

Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.