Avis de la CNIL sur les évolutions de l’application TousAntiCovid

Publié le 18/02/2021 Vu 1 766 fois 1
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

La CNIL rend son avis sur les évolutions de l’application TousAntiCovid

La CNIL rend son avis sur les évolutions de l’application TousAntiCovid

Avis de la CNIL sur les évolutions de l’application TousAntiCovid


Depuis le 22 octobre 2020, le Gouvernement français a annoncé le déploiement d'une nouvelle application nommée « TousAntiCovid » ayant pour but de remplacer l'application « StopCovid », tout en précisant que les éléments structurants du dispositif ne seraient pas impactés par les évolutions de l'application.

Il a été ainsi indiqué à la CNIL que l'application « TousAntiCovid », à l’instar de « StopCovid » ne serait pas rendue obligatoire, mais reposerait sur une démarche volontaire des personnes concernées et qu'aucune géolocalisation ne serait utilisée puisque l'application permet la recherche de contacts grâce à la technologie Bluetooth.   

L'application a cependant évolué puisqu'elle propose désormais des actualisations, des liens vers d'autres outils numériques mis en œuvre par les autorités sanitaires telle que, mais non exclusivement, l'attestation de déplacement dérogatoire.

Aucune modification substantielle n'ayant été réalisée, la CNIL a considéré que cette nouvelle application ne nécessitait pas qu'elle soit saisie, mais a toutefois indiqué que l'application « TousAntiCovid » étant amenée à faire « l'objet d'évolutions régulières », elle ne manquera pas de diligenter de nouveaux contrôles si cela s'avérerait nécessaire.

 

La CNIL s’est prononcée le 17 décembre 2020 sur la modification du décret du 29 mai 2020 relatif au traitement de données « StopCovid ». Les évolutions visent principalement à alerter les utilisateurs de l’application « TousAntiCovid » lorsqu'elles ont été présentes dans un établissement recevant du public en même temps qu’une ou plusieurs personnes ultérieurement diagnostiquées ou dépistées positives à la COVID-19.

 

I)                 L’essentiel

          La CNIL s’est prononcée le 17 décembre sur un projet de décret modifiant le décret du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ».

          Le projet de décret vise notamment à introduire un dispositif d’enregistrement des visites dans certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles etc.) au sein de l’application, désormais nommée « TousAntiCovid », dans la perspective de la réouverture de certains ERP.

          La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.

          La CNIL a relevé que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation). Elle a reconnu l’intérêt du dispositif pour lutter contre l’épidémie de la COVID-19 et a souligné que l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues (liste précise des ERP concernés, caractère facultatif ou obligatoire du dispositif d’enregistrements des visites pour les établissements et les personnes concernées, etc.).

          La CNIL recommande, d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes notamment).

 

II)              Le contexte

La CNIL s’est prononcée, en urgence, le 17 décembre 2020, sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ». Ce projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application désormais dénommée « TousAntiCovid ».

L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la COVID-19.

Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.

L’avis de la CNIL sur le dispositif d’enregistrement des visites dans certains établissements recevant du public

L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.

Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :

          le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;

          aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la COVID-19 ou à ceux transmis lors de l’interrogation du serveur central ;

          les données sont séparées de celles traitées dans le cadre du protocole ROBERT.

Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).

La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.

Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.

L’avis de la CNIL sur la priorisation des cas contacts dans l’accès aux examens et tests de dépistage.

La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».

Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.

 

SOURCE :

https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-evolutions-de-lapplication-tousanticovid

 

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

1 Publié par OR
19/02/2021 09:14

Merci à la zone du droit pour cet article de qualité.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.