TousAntiCovid : les nouvelles mises à jour ne posent pas de problème à la CNIL
Le fonctionnement de l'application TousAntiCovid n'apparaît pas problématique sur le terrain de la protection des données personnelles.
L'avis de la CNIL ne se limite pas qu'à TousAntiCovid. Il cible aussi bien VaccinCovid (la base de données pour suivre les personnes vaccinées), Sidep (qui regroupe les données de laboratoires de biologie médicale en cas de patient testé positif au coronavirus) et Contact Convid (qui est la version classique du traçage des contacts, sans application mobile, mais avec le personnel de l'Assurance Maladie).
Mais concernant spécifiquement TousAntiCovid, la CNIL ne fait pas état d'écart particulier. Certes, elle relève l'évolution de l'application, qui a changé d'identité (elle s'appelait avant StopCovid), ainsi que la communication renforcée du gouvernement pour en faire la promotion de l'outil, ainsi que l'élargissement des fonctionnalités qu'elle contient, mais rien de ce qu'elle a vu ne l'a inquiété.
Ainsi, pour ce qui est des nouveaux services qui ont été inclus dans l'application à travers des mises à jour, la CNIL souligne « qu'aucune des données traitées dans le cadre de ces nouvelles fonctionnalités ne fait l’objet d’un traitement sur le serveur central ». De fait, ces nouvelles options répondent aux objectifs de minimisation des données et de protection des données, dès la conception et par défaut.
Ces nouvelles fonctionnalités ne sont pas liées à la mission première de l'application, qui est de faire du traçage des contacts en se servant de la liaison Bluetooth entre deux smartphones pour détecter les gens à proximité. Si deux individus restent proches assez longtemps, les appareils échangent alors des identifiants codés qui serviront à les avertir mutuellement si jamais l'un d'eux est positif au coronavirus.
Ces évolutions incluent des informations factuelles et sanitaires sur l'épidémie (nombre de personnes vaccinées, nouveaux cas, tension des réanimations, etc, à la fois au niveau national et à l'échelon régional si le code postal est renseigné), des actualités sur la maladie et un encart pour générer des attestations de déplacement, lors du couvre-feu ou du confinement, selon les cas de figure.
Ce contrôle sur TousAntiCovid, effectué en novembre 2020, fait suite à des vérifications survenues quelques mois plus tôt. À l'époque, cela s'était beaucoup moins bien passé pour le ministère de la Santé, qui est le responsable légal du traitement effectué au sein de l'application. Il avait été mis en demeure après divers problèmes qui avaient été relevés -- ils ont depuis été résolus, mettant fin à l'injonction.
Il s'agissait, lors de ce nouveau contrôle, de s'assurer de « la pérennité des mesures suite à la mise en demeure et sur la conformité des nouvelles fonctionnalités de l’application ». De fait, aucun écart n'a été constaté -- il y a toutefois eu, sur un autre dossier, celui des ARS, un rappel à l'ordre à la suite de certains incidents, où des statuts de contagiosité ont été communiqués par erreur aux mauvaises personnes.
D'autres examens sont à prévoir à l'avenir. C'est ce qu'avait annoncé la CNIL en septembre. Car si aujourd'hui TousAntiCovid est « pour l’essentiel, respectueux des données personnelles et que la plupart des préconisations formulées par la CNIL dans ses avis ont été prises en compte », selon un communiqué de l'époque, l'application n'est pas à l'abri d'évolutions qui pourraient être plus discutables.
Et justement, d'importants changements sont en chantier. La CNIL est au courant : en novembre, elle a appris du ministère de la Santé « que le développement de nouvelles fonctionnalités était à l’étude ». D'où sa piqûre de rappel sur sa faculté de diligenter d'autres contrôles et que son avis sera requis en cas de « modifications substantielles » sur le traitement de données personnelles.
Des évolutions importantes à venir pour TousAntiCovid
À ce propos d'ailleurs, la CNIL révèle avoir rendu un avis « en urgence » le 17 décembre 2020 sur un projet de décret modifiant un précédent décret daté du 29 mai 2020, relatif au traitement de données dénommé « StopCovid ». Son avis demeure pour l'instant secret, car il ne sera rendu public qu'au moment où le projet de décret sera effectivement publié.
L'existence de ce projet décret est passée inaperçue jusqu'à la mi-janvier. Trois évolutions ont alors été rapportées : l'instauration de codes QR à l'entrée de certains lieux clos qui sont voués à accueillir du public (et qui pourraient arriver d'ici la fin du mois), rendre prioritaire l’accès aux tests Covid pour les utilisateurs notifiés, et récolter plus de données d’utilisation de l’app (de manière anonyme).
Plus généralement, la CNIL s'interroge toujours sur l'efficacité sanitaire de TousAntiCovid.
Ce n'est certes pas la première fois : une même circonspection de l'autorité de protection des données personnelles avait été manifestée en avril puis en mai dernier. D'ailleurs, elle rappelle encore une fois avoir « demandé que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté par le Gouvernement pendant toute sa période d’utilisation ».
Il est à noter d'ailleurs que dans le projet de décret que prévoit le gouvernement pour faire évoluer TousAntiCovid, il a été remarqué que l'obligation de publier d'ici le 31 janvier un rapport sur le fonctionnement de l'application a été levée. Or jusqu'à présent, Or, la Direction générale de la santé n’a jamais publié ce fameux rapport sur le fonctionnement de l’application mobile.
La CNIL souligne toutefois « la réalisation de deux études portant sur l’efficacité de l’application dans la stratégie sanitaire globale ». Cela étant, l'autorité de protection des données personnelles juge toujours « indispensable de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif dans le cadre de la lutte contre l’épidémie ». Sera-t-elle entendue ?