dépêche

 - 

La Cnil est favorable au déploiement de StopCovid mais émet des réserves

PARIS, 27 avril 2020 - La Commission nationale de l'informatique et des libertés (Cnil) "estime" que l'application de traçage de l'épidémie de Covid-19 StopCovid "peut être déployée" mais émet des réserves et demande au gouvernement d'apporter des garanties, dans une délibération datée de vendredi.
La Cnil a été saisie le 20 avril par le secrétaire d'Etat au numérique, Cédric O, sur le projet StopCovid. Basée sur le protocole ROBERT (ROBust and privacy-presERving proximity Tracing) développé par l'Inria, l'application est toujours en cours de développement et donc susceptible d'évoluer (cf dépêche du 19/04/2020 à 20:32), précise-t-on.
Dans un communiqué publié dimanche, la Cnil "estime que l’application peut être déployée […] si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées".
Dans sa délibération, la Commission estime "qu’un usage volontaire de l’application est compatible en droit" avec le RGPD (règlement général sur la protection des données) et/ou avec la loi "informatique et libertés", y compris pour le cas spécifique des données de santé traitées par StopCovid.
Cependant, elle "recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national" et demande au gouvernement "de la saisir à nouveau du projet de norme encadrant la mise en oeuvre de l’application en cause lorsque la décision aura été prise et le projet précisé".
"Le gouvernement doit veiller à ce que l’atteinte portée à la vie privée demeure proportionnée à l’objectif poursuivi", poursuit-t-elle dans la délibération.
"La collecte et le traitement de données opérés par l’application" doivent "revêtir un caractère temporaire, d’une durée limitée à celle de l’utilité du dispositif".
Toutes les données recueillies devront être "supprimées dès le moment où l’utilité de l’application ne sera plus avérée".
"Une analyse d'impact sur la protection des données (AIPD) devra être réalisée avant toute mise en oeuvre d’un tel dispositif", dont la publication "est recommandée à des fins de transparence".
Par ailleurs, "l'atteinte portée à la vie privée" par StopCovid "ne sera admissible que si […] le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise".
La Commission met en garde le gouvernement sur l'efficacité de l'application, qui dépend notamment de "la possibilité pour une proportion suffisante de la population d’accéder à l’application et de l’utiliser dans de bonnes conditions" et "une adoption large de celle-ci, alors qu’une partie significative de la population ne dispose pas d’équipements mobiles adéquats ou peut éprouver des difficultés pour installer et utiliser l’application".
Elle appelle à une "vigilance particulière contre la tentation du 'solutionnisme technologique'" (cf dépêche du 21/04/2020 à 19:10).
"Un dispositif numérique de suivi individualisé des personnes ne peut être mis en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale", souligne-t-elle.
La Commission "recommande que le recours à toute forme d’automatisation de la décision d’informer des personnes exposées soit associé à la possibilité pour ces personnes d’échanger avec un personnel qualifié".
Elle demande également que "l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée".
Par ailleurs, "la Commission relève [qu'il] est envisagé qu’on puisse introduire des faux-positifs dans les notifications transmises aux personnes afin de limiter les risques de ré-identification dans certains types d’attaques".
Cette mesure "ne peut ni ne doit être mise en oeuvre, dès lors qu’elle aurait pour conséquence d’alerter faussement des personnes n’ayant pas eu de contact à risques, et qui seraient dès lors encouragées à se soumettre à des mesures de confinement volontaire consistant en une restriction auto-imposée de leurs libertés individuelles".
"Maintenir l’exactitude des données est une obligation légale impérieuse au titre du RGPD et de la loi 'informatique et libertés' et une telle mesure n’est pas envisageable" sous peine de remettre en cause la conformité du dispositif aux textes en vigueur.

La sécurité des données, "garantie indispensable"

"Eu égard à la sensibilité de ce dispositif", la sécurité des données personnelles est "une garantie indispensable", alerte la Commission.
Elle estime que "les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification des personnes physiques associées aux données stockées, pour une durée nécessairement limitée", mais apporte tout de même des recommandations techniques.
Par ailleurs, la Commission alerte sur "l’usage de l’algorithme [cryptographique] 3DES, envisagé à ce stade".
Elle "attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information [Anssi], cet algorithme ne devrait en principe plus être utilisé".
Enfin, la Commission rappelle "la possibilité pour les personnes concernées d'exercer leurs droits sur leurs données à caractère personnel conformément aux dispositions des articles 12 à 22 du RGPD", notamment les droits à une information "compréhensible et aisément accessible" sur l'utilisation des données, à l'oubli ou encore à la portabilité des données (cf dépêche du 25/05/2018 à 12:24).
lc/ab/APMnews

[LC3Q9FY9R]

A lire aussi