Depuis le 22 octobre 2020, le Gouvernement français a annoncé le déploiement d'une nouvelle application nommée « TousAntiCovid » ayant pour but de remplacer l'application « StopCovid », tout en précisant que les éléments structurants du dispositif ne seraient pas impactés par les évolutions de l'application.
Il a été ainsi indiqué à la CNIL que l'application « TousAntiCovid », à l’instar de « StopCovid » ne serait pas rendue obligatoire, mais reposerait sur une démarche volontaire des personnes concernées et qu'aucune géolocalisation ne serait utilisée puisque l'application permet la recherche de contacts grâce à la technologie Bluetooth.
L'application a cependant évolué puisqu'elle propose désormais des actualisations, des liens vers d'autres outils numériques mis en œuvre par les autorités sanitaires telle que, mais non exclusivement, l'attestation de déplacement dérogatoire.
Aucune modification substantielle n'ayant été réalisée, la CNIL a considéré que cette nouvelle application ne nécessitait pas qu'elle soit saisie, mais a toutefois indiqué que l'application « TousAntiCovid » étant amenée à faire « l'objet d'évolutions régulières », elle ne manquera pas de diligenter de nouveaux contrôles si cela s'avérerait nécessaire.
La CNIL s’est prononcée le 17 décembre 2020 sur la modification du décret du 29 mai 2020 relatif au traitement de données « StopCovid ». Les évolutions visent principalement à alerter les utilisateurs de l’application « TousAntiCovid » lorsqu'elles ont été présentes dans un établissement recevant du public en même temps qu’une ou plusieurs personnes ultérieurement diagnostiquées ou dépistées positives à la COVID-19.
I) L’essentiel
• La CNIL s’est prononcée le 17 décembre sur un projet de décret modifiant le décret du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ».
• Le projet de décret vise notamment à introduire un dispositif d’enregistrement des visites dans certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles etc.) au sein de l’application, désormais nommée « TousAntiCovid », dans la perspective de la réouverture de certains ERP.
• La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.
• La CNIL a relevé que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation). Elle a reconnu l’intérêt du dispositif pour lutter contre l’épidémie de la COVID-19 et a souligné que l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues (liste précise des ERP concernés, caractère facultatif ou obligatoire du dispositif d’enregistrements des visites pour les établissements et les personnes concernées, etc.).
• La CNIL recommande, d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes notamment).
II) Le contexte
La CNIL s’est prononcée, en urgence, le 17 décembre 2020, sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ». Ce projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application désormais dénommée « TousAntiCovid ».
L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la COVID-19.
Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.
L’avis de la CNIL sur le dispositif d’enregistrement des visites dans certains établissements recevant du public
L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.
Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :
• le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
• aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la COVID-19 ou à ceux transmis lors de l’interrogation du serveur central ;
• les données sont séparées de celles traitées dans le cadre du protocole ROBERT.
Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).
La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.
Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.
L’avis de la CNIL sur la priorisation des cas contacts dans l’accès aux examens et tests de dépistage.
La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».
Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.
SOURCE :
https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-evolutions-de-lapplication-tousanticovid
