La CNIL a donné son avis sur StopCovid, que le gouvernement souhaite pour accompagner le déconfinement à partir du 11 mai. L'autorité de protection des données personnelles constate l'existence de garanties. Toutefois, elle rappelle que l'efficacité de l'application reste à prouver.

C’est un « oui » donné dans des circonstances exceptionnelles. Mais c’est un « oui » qui est teinté d’une grande perplexité. La Commission nationale de l’informatique et des libertés (CNIL) s’est prononcée le 24 avril sur le projet d’application StopCovid, que le gouvernement veut voir aboutir dès que possible pour accompagner le déconfinement du pays à partir du 11 mai.

Passant en revue les différentes caractéristiques de StopCovid et analysant les diverses conséquences que ses spécificités entraînent en matière de protection de données personnelles, l’autorité administrative indépendante observe « qu’un certain nombre de garanties sont apportées » pour protéger les personnes qui souhaiteraient s’en servir, afin de prévenir des dérives éventuelles.

L’efficacité de StopCovid reste à démontrer

Mais entre les lignes, on lit la circonspection de l’institution sur l’efficacité sanitaire réelle du dispositif. Ainsi, l’institution ne s’oppose pas au déploiement de l’application, mais à la condition que son utilité « [soit] suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale », ce qui, formulé de cette façon, montre que ce n’est pas du tout le cas aujourd’hui.

C’est ce que la CNIL détaille dans son avis.

Certes, StopCovid « peut potentiellement aider » les autorités dans cette crise sanitaire, mais « en complétant les méthodes traditionnelles de recherche de contacts ». En somme, de l’épidémiologie à l’ancienne. Car l’application a de fait ses propres limites et la façon dont elle sera insérée à la politique sanitaire et la manière dont elle sera reçue par le public « sont susceptibles de porter atteinte à son efficacité ».

En somme, il ne faut pas voir ce projet comme une killer app qui résoudra tout, toute seule.

Or aujourd’hui, la CNIL n’est pas sûre que le gouvernement dispose « d’éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise ».  Ce n’est pourtant qu’avec une telle certitude que « l’atteinte portée à la vie privée sera […] admissible », même si l’institution reconnait que la situation actuelle, avec le confinement, constitue « une atteinte très forte à la liberté d’aller et venir ».

Marie-Laure Denis cnil
Marie-Laure Denis, la présidente de la CNIL. // Source : DR-CSA

De fait des incertitudes, il convient de documenter et d’étudier régulièrement « l’impact du dispositif sur la stratégie sanitaire globale », afin d’arrêter les frais s’il est établi qu’elle ne sert à rien ou, pire encore, si elle a tendance à affaiblir les gestes barrières qu’il faudra encore respecter après le 11 mai. Car même avec un haut taux d’adoption, les malades se compteraient encore en centaines de milliers.

Le contrôle de l’efficacité de StopCovid « permettra aux pouvoirs publics de décider de manière éclairée son maintien ou non », note l’autorité, en vérifiant si elle est toujours nécessaire et proportionnée au regard des objectifs poursuivis. Évidemment, la CNIL espère être dans la boucle de ces réflexions, de manière à pouvoir exercer un suivi dans le temps du projet et de contrôler sa conformité.

Au-delà du rôle que peut jouer StopCovid dans la crise sanitaire, l’autre aspect qui rend la CNIL dubitative est la relative fragilité de l’échafaudage juridique qui encadre StopCovid. Ainsi, l’autorité de contrôle « demande certaines garanties supplémentaires », qui ne sont donc aujourd’hui pas là, à commencer par le caractère très temporaire du projet et la durée réduite de conservation des données.

Des « garanties supplémentaires » doivent être apportées pour utiliser StopCovid

Quant à savoir si StopCovid respecte le Règlement général sur la protection des données (RGPD), la CNIL prévient que cela dépendra du respect de certaines conditions.

En clair, pour mettre en œuvre une telle application, qui de fait implique un traitement de données personnelles, il faut que celle-ci soit nécessaire à la mission d’intérêt public en cours (ici, la réponse à une crise sanitaire) et qu’elle dispose d’une assise juridique assez solide. Or justement, rien ne dit, comme la CNIL le laisse entendre, que StopCovid soit vraiment indispensable.

C’est l’analyse de l’avocat Jean-Baptiste Soufron, qui signait par ailleurs une tribune contre StopCovid dans les colonnes du Monde. Sur son blog, il fait observer, en se basant sur ce que dit la CNIL, que la légalité de l’application dépend de son caractère nécessaire. Or, la CNIL elle-même en doute. D’autant que l’application repose sur le principe du volontariat, ce qui suggère qu’elle n’est pas si cruciale que cela.

Aurait-il donc fallu l’imposer au nom de l’efficacité opérationnelle ? Ce n’est pas à la CNIL de trancher cette question.

Gare à tout volontariat de façade

La CNIL observe en revanche que le choix de laisser à chaque individu le soin de décider à s’en servir ou non « est un élément déterminant pour assurer la confiance dans le dispositif et favoriser son adoption par une partie significative de la population ». En clair, forcer son installation serait contreproductif, inefficace et, surtout, faire émerger des comportements de désaccord — un risque évoqué par le comité national d’éthique numérique.

train transport rer métro grève
Il faut éviter par exemple de conditionner l’accès aux transports en commun à l’emploi de StopCovid, prévient la CNIL. // Source : Fumigraphik

Et surtout, il est crucial que ce soit un véritable volontariat, qui ne doit pas être orienté par des politiques publiques discriminantes. « L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun », décrit par exemple la CNIL.

Mais cela est aussi vrai concernant l’accès aux tests et aux soins, la possibilité de sortir de chez soi sans son smartphone et la jouissance de certains droits ou accès. Cela vaut aussi bien pour la puissance publique, l’employeur ou le secteur privé. « Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application » est-il rappelé.

Si d’aventure le législateur opérait malgré tout « des choix différents » en la matière, dont la « stricte nécessité devrait alors être démontrée », la CNIL est catégorique : il s’agirait-là d’une « atteinte bien plus considérable au droit à la protection des données à caractère personnel et au respect de la vie privée » que les problèmes déjà bien concrets et sérieux que fait naître StopCovid.

Partager sur les réseaux sociaux