CNIL et StopCovid : une application de confiance ?

En cette période de pandémie, le gouvernement a décidé de mettre au point une application permettant de ralentir la propagation du virus. Cette application c’est StopCovid.

StopCovid est une application utilisant le numérique, elle permet de déterminer via le bluetooth des smartphones si une personne a été en contact avec une personne contaminée pendant plus de 15 minutes à moins d’un mètre de distance. Cela vise à prévenir la propagation du virus, la personne sera ainsi informée et donc pourra se faire dépister et/ou se mettre quarantaine. Cependant, cette application collecte des données, cela peut donc impacter le respect de la vie privées des personnes utilisatrices. 

Bien que cette application semble efficace, la CNIL avait émis un premier avis le 24 avril dernier sur l’application. Elle avait expliqué que la mise en place de l’application serait possible à condition : 

  • qu’elle respecte la protection de la vie privée des personnes. Pour cela, il ne faudra pas avoir recours à la géolocalisation et il faudra que les données soient pseudonymisées.
  • de plus aucun fichier recensant les personnes contaminées ne devra être créé. 
  • pour finir,  l’application doit être utile à la stratégie de déconfinement et au plan sanitaire mis en place.

Le 25 mai dernier, la CNIL a émis un nouvel avis sur les conditions de sa mise en œuvre prévues par décret. Elle ne s’oppose pas à la mise en place de cette application puisqu’aucune liste des personnes contaminées ne sera établie, il s’agira uniquement d’une liste de contacts recensant les personnes qui ont été en contact et les données seront pseudonymisées. Cela n’entre pas en conflit avec le RGPD. 

De plus le ministère chargé de la politique sanitaire sera le responsable du traitement et les personnes ne sont pas obligées d’utiliser l’application, il n’y aura aucune conséquence juridique. L’utilisation se fait alors sur la base du volontariat avec le consentement de la personne. 

La CNIL souligne l’utilité de l’application qui vient en complément des outils déjà mis en place. Cependant, une analyse devra être faite afin d’observer les résultats et l’efficacité de l’application après sa mise en œuvre. Si l’application n’est pas réellement utile la continuité de sa mise en œuvre devra être revue. 

    A ce jour l’application est disponible, 1,7 millions de français l’utilise. La CNIL a tout de même décidé de mener une enquête puisqu’il s’avère que le gouvernement collecterait plus de données qu’initialement prévu. 

Effectivement, un expert en cybersécurité a découvert que l’application collecte les données de chaque personne utilisant l’application lorsqu’elle croise un autre utilisateur et ce jusqu’à 20 mètres de distance entre les personnes et non 1 mètre comme prévu. En réalité, elle collecte toutes les données dans la limite du périmètre de fonctionnement du bluetooth.  De plus, les données sont collectées quand bien même les personnes seraient restées moins de 15 minutes en contact. 

Toutes ces données ne sont pas utiles pour éviter la propagation du virus, cela représente alors une violation de la vie privée. 

La CNIL va donc vérifier quelles données sont réellement collectées par l’application afin de déterminer s’il y a un conflit avec le RGPD.

Sources

Aurore Boibessot

M2 Cyberjustice 2019/2020

Laisser un commentaire