Par sa Délibération n° 2020-056 du 25 mai 2020, la CNIL a formulé un avis favorable sur le déploiement de l’application mobile « StopCovid ». Celle-ci vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives à la covid-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus.

La santé publique, un objectif constitutionnel 

La lutte contre l’épidémie de Covid 19, relève de l’objectif à valeur constitutionnelle de protection de la santé et constitue un impératif majeur de nature à justifier, dans certaines conditions, des atteintes transitoires au droit à la protection de la vie privée et des données à caractère personnel. Elle a ainsi justifié l’autorisation, par la loi du 11 mai 2020 susvisée, de dispositifs reposant sur le traitement de données à caractère personnel, d’une particulière sensibilité et d’ampleur nationale. Les traitements Contact Covid et SI-DEP , qui visent à permettre l’identification des chaînes de contamination du virus SARS-CoV-2 et à assurer le suivi et l’accompagnement des personnes concernées, ont été autorisés à ce titre par le décret du 12 mai 2020.

Une application mobile nécessaire et proportionnée  

Les protections constitutionnelle et conventionnelle du droit au respect de la vie privée et à la protection des données à caractère personnel, assises notamment sur la Charte des droits fondamentaux de l’Union européenne et la Convention européenne de sauvegarde des droits de l’homme, imposent que les atteintes portées à ces droits par les autorités publiques soient non seulement justifiées par un motif d’intérêt général, comme cela est le cas en l’espèce, mais soient également nécessaires et proportionnées à la réalisation de cet objectif. Au regard de ces éléments, l’utilité de l’application et la nécessité du traitement projeté pour accomplir la mission d’intérêt public ainsi confiée à l’autorité publique, au sens des règles de protection des données, sont suffisamment démontrées en amont de la mise en œuvre du traitement.

Application entourée de garanties suffisantes

En ce qui concerne la proportionnalité du dispositif projeté, de nombreuses garanties sont prévues par le ministère de la santé afin de limiter les atteintes à la protection des données susceptibles d’être portées par un tel dispositif. Plusieurs garanties substantielles étaient prévues dès le projet initial du Gouvernement, telles que le choix de stocker dans le serveur central des identifiants pseudonymes de personnes exposées à la maladie et non de personnes contaminées, l’utilisation de la technologie de communication de proximité Bluetooth pour évaluer la proximité entre deux ordiphones et non le recours à une technologie de géolocalisation, le choix d’un dispositif fondé sur le volontariat ou encore le recours à des pseudonymes minimisant les possibilités d’identification des personnes concernées.

Plusieurs des garanties complémentaires ont été intégrées dans le projet du gouvernement. Il en est ainsi, notamment, de la définition précise des finalités du traitement projeté, du fait que la responsabilité du traitement est confiée au ministère en charge de la politique sanitaire ou encore de la mise en œuvre de certaines mesures techniques de sécurité. De même, si les alertes générées par l’application s’articuleront avec le reste du dispositif sanitaire, le ministère a confirmé qu’il n’envisage pas d’attacher des conséquences juridiques défavorables au fait de ne pas avoir téléchargé l’application et qu’aucun droit spécifique ne sera réservé aux personnes qui l’utiliseront.  Ces éléments sont de nature à réduire les risques que fait peser le traitement de données sur les droits et libertés fondamentaux des personnes concernées et rendent l’atteinte proportionnée à l’utilité estimée du dispositif.

Durée de déploiement limitée

Le principe de proportionnalité implique également de ne porter atteinte aux droits à la vie privée et à la protection des données à caractère personnel que pendant la durée strictement nécessaire à l’atteinte de l’objectif poursuivi. L’application a bien un caractère temporaire, dont le terme de la mise en œuvre est fixé à six mois à compter de la fin de l’état d’urgence sanitaire.  Cette durée maximale correspond à celle prévue pour les traitements Contact Covid et SI-DEP, l’application n’ayant d’utilité qu’en lien avec le cadre plus général de conduite des enquêtes sanitaires.

Finalités exclues

Sont expressément exclues des finalités poursuivies par le traitement : les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de toute autre recommandation sanitaire. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes. Compte tenu du caractère sensible des données collectées et des finalités poursuivies par le traitement, le ministère chargé de la santé a été désigné comme responsable direct du traitement.  Le décret ainsi que l’AIPD mentionnent que les données à caractère personnel ne sont pas transférées hors de l’Union européenne.  Télécharger la décision