La Cnil a donné son avis sur le système de QR-Codes qui devrait être implémenté prochainement dans TousAntiCovid. Mais une fois de plus, elle ne connaissait pas le détail des changements lorsqu'elle a été consultée.

Ce 15 février, la Cnil a communiqué sur l’avis qu’elle a prononcé, en décembre 2020, sur les évolutions de TousAntiCovid. Ces évolutions ont fait l’objet d’un décret publié au journal officiel le 14 février, mais n’ont pas encore été implémentées. En tête d’affiche des changements se trouve le système de QR-codes que le gouvernement prévoit d’inclure à l’app. Destiné au traçage des contacts dans une liste de lieux publics encore inconnus, ce dispositif fonctionnerait séparément du dispositif actuel de TousAntiCovid. Autrement dit, les deux seraient dissociés dans le traitement des données et du côté infrastructure, mais ils seraient tous deux accessibles aux utilisateurs via l’app.

Dès le début de son communiqué, la Cnil rouspète : comme lors des réflexions sur le projet StopCovid en avril 2020, elle a dû réfléchir « en urgence », avant d’émettre son avis. Et le texte laisse transparaître un autre constat : l’autorité française des données n’avait que peu de cartes en main lorsqu’elle a rédigé son avis. Déjà l’an dernier StopCovid avait été lancé alors que la Cnil ne savait pas comment l’app fonctionnait.

Le gouvernement veut inclure des QR-codes à TousAntiCovid. // Source : Louise Audry pour Numerama

C’est pourquoi l’autorité des données nuance son propos : « La Cnil précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis  ».

Si elle sait que l’Agence Santé Publique France (sous tutelle du ministère de la Santé) va décider quels établissements seront concernés par le traçage par QR-Codes, elle n’en connaît pas le détail. De même, elle ne sait pas si le dispositif de traçage des contacts (par l’app ou par carnet de rappel) sera obligatoire pour les établissements ni si les visiteurs seront obligés de s’enregistrer… Malgré ces réserves, elle reconnaît «  l’intérêt du dispositif pour lutter contre l’épidémie de la COVID-19 ». Numerama a contacté la Cnil pour lui demander des précisions, et nous modifierons cet article dès que nous les obtiendrons.

Vers une obligation de communiquer ses données personnelles pour entrer dans certains lieux ?

Dès les premiers pas de StopCovid, la Cnil a matraqué que l’utilisation de l’app devrait rester volontaire. En conséquence, il ne pourrait pas y avoir de différence de traitement, positif comme négatif, en fonction du téléchargement ou non de l’app par une personne. Un seul écart à noter à cette ligne éthique : la Cnil convenait en novembre 2020 qu’un restaurant pouvait offrir une promotion à ses clients ayant téléchargé TousAntiCovid.

Lors de la mise en place des carnets de rappels dans les restaurants en octobre 2020, elle avait pris une position similaire, cette fois sur le recueil de données personnelles (prénom, nom, numéro de téléphone) possiblement papier, et non numérique. « Pour que le consentement recueilli soit valable, la personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus. En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données  », écrivait-elle alors.

Avec le retour d’un dispositif de traçage dans les « établissements recevant du public » (ou « ERP ») — l’autorité des données change légèrement son cap : « La CNIL recommande d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.) »

La Cnil s’exprimera à nouveau sur les QR-Codes

Certains établissements pourraient donc être contraints de bloquer l’accès aux personnes qui refusent de participer au dispositif de traçage des contacts (qu’il soit fait grâce à un carnet papier ou une app). Ce serait une première en France depuis le début de la pandémie. Si obligation il y a, la Cnil souhaite qu’elle soit limitée aux « lieux les plus risqués », mais puisqu’elle ne dispose pas de la liste des ERP, elle ne peut que les désigner par des critères flous. Et par effet domino, elle ne peut pas dessiner une frontière claire pour encadrer d’éventuelles dérives de ces obligations.

Si la Cnil semble entrouvrir la porte à l’obligation de collecte de données personnelles, elle garde cependant sa position sur le caractère volontaire de l’utilisation de TousAntiCovid : « La Cnil prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées.  » Si le gouvernement suit les recommandations de la Cnil, alors même en cas d’obligation de communiquer leurs données, les utilisateurs auront la possibilité de le faire sur un carnet de rappel (papier ou numérique) plutôt que sur l’app.

En conclusion de cet avis plutôt flou, la Cnil annonce déjà qu’elle prendra à nouveau la parole sur le sujet  : « L’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues (liste précise des ERP concernés, caractère facultatif ou obligatoire du dispositif d’enregistrements des visites pour les établissements et les personnes concernées, etc.).  »

Partager sur les réseaux sociaux

La suite en vidéo