Cet article date de plus de quatre ans.

StopCovid : quelles sont exactement les recommandations de la CNIL concernant l'application de traçage de contacts ?

Lancée en juin, StopCovd n'a pas eu le succès prévu. Un sénateur propose de rendre le téléchargement de l'application obligatoire et évoque un avis de la CNIL "plutôt favorable au mode de gestion arrêté en France". Quelles ont exactement été les recommandations et conclusions de la CNIL ? Décryptage.

franceinfo - Emilie Gautreau

Radio France

Publié le 18/09/2020 13:13

Temps de lecture : 5min

L'application française StopCovid n'a été téléchargée que par 2,3 millions de personnes, selon un comptage réalisé mi-août.  (JOSSELIN CLAIR / MAXPPP) — L'application française StopCovid n'a été téléchargée que par 2,3 millions de personnes, selon un comptage réalisé mi-août. (JOSSELIN CLAIR / MAXPPP)

L'application StopCovid, lancée début juin par le gouvernement, n'a pas du tout eu le succès escompté. Elle a été téléchargée 2,3 millions de fois, selon un pointage mi-août et n'avait permis à cette date de notifier que 72 contacts à risque, d'après les données de la Direction générale de la santé (DGS). De nombreux Français l'ont même désinstallée. "Si elle a une utilité, il faut la rendre obligatoire", a déclaré jeudi 17 septembre sur franceinfo Patrick Chaize, sénateur LR de l’Ain. Interrogé sur les potentielles réserves de la CNIL, Patrick Chaize a répondu que "l'avis de la CNIL sur le sujet a été plutôt favorable à cette application et au mode de gestion tel qu'il a été arrêté en France".

Qu'a exactement recommandé et conclu la Commission nationale de l'informatique et des libertés concernant l'application StopCovid ? Décryptage.

La nécessité d'un usage "volontaire", sans qu'il y ait de conséquences au fait de ne pas télécharger l'application

La Commission nationale de l'informatique et des libertés a rendu plusieurs avis successifs sur l'application StopCovid. Dés le 26 avril, elle insistait sur le fait qu'un téléchargement de l'application serait basé sur le volontariat et précisait "que cela implique qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun". Dans un deuxième avis rendu un mois plus tard, le 26 mai, la CNIL mettait à nouveau en avant le fait que soit envisagé un "dispositif temporaire, basé sur le volontariat"

La nécessité de respecter scrupuleusement la protection des données personnelles

Dans son avis rendu le 26 avril, la CNIL estimait que l'application, telle qu'elle était envisagée en France, était conforme à la législation européenne sur la protection des données (RGPD) à condition de respecter un certain nombre de préconisations et notamment le fait que les données soient conservées pendant une durée limitée. Elle pointait par ailleurs le fait qu’un certain nombre de garanties étaient apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes. Un mois plus tard, le garant de la vie privée des Français concluait que ses principales recommandations avaient été prises en compte, insistant sur le fait que l'application utiliserait des données sous pseudonymes, sans recours à la géolocalisation, et ne conduirait pas à créer un fichier des personnes contaminées.

Après trois opérations de contrôles effectuées par la suite, la CNIL avait enjoint, le 20 juillet, le gouvernement français à régler "plusieurs irrégularités" constatées et avait ouvert à ce sujet une procédure de mise en demeure de l'Etat. La procédure a finalement été close début septembre, la CNIL estimant que l'application StopCovid satisfaisait désormais aux exigences légales en matière de protection de la vie privée. Parmi les irrégularités corrigées, figurait entre autres le fait que l'application ne fasse plus remonter au serveur central tous les pseudonymes des personnes croisées par un utilisateur mais uniquement ceux des personnes potentiellement à risque, grâce à un tri préalable fait dans le smartphone lui-même.

La nécessité d'une application réellement utile et s'inscrivant dans une stratégie globale

Avant même la mise en oeuvre de l'application, la CNIL avait souligné que l’application ne pourrait être déployée que si son utilité était suffisamment avérée et si elle était intégrée dans une stratégie sanitaire globale. La Commission avait donc recommandé que l’impact de l'usage de l'application sur la situation sanitaire soit régulièrement étudié et documenté, afin de décider ou non de son maintien. La CNIL a par ailleurs souligné à plusieurs reprises que l'utilisation d'applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale. Elle avait à ce sujet, dans son avis d'avril, mis en garde contre la tentation du "solutionnisme technologique". Elle avait souligné que l'efficacité du dispositif dépendrait de la disponibilité de l'application, d'un paramétrage adéquat et d’une large adoption par le public.

Si de nombreux points mis en avant par la CNIL (usage basé sur le volontariat et recommandations concernant la protection des données) ont été suivis d'effet, cela n'a pas, à ce jour, été le cas concernant l'adhésion des Français au dispositif, qui conditionne l'utilité de l'application.