StopCovid en questions - réponses


  • Serge Cannasse
  • Actualités Médicales
L'accès à l'intégralité du contenu de ce site est reservé uniquement aux professionnels de santé disposant d'un compte. L'accès à l'intégralité du contenu de ce site est reservé uniquement aux professionnels de santé disposant d'un compte.

L’application StopCovid soulève encore plusieurs questions de la part des professionnels de santé et de la population en général. La CNIL (Commission Nationale de l'Informatique et des Libertés) répond à plusieurs d’entre elles sur une page dédiée de son site web.

En préambule, elle rappelle l’objet et le principe de fonctionnement de l’application à installer dans les smartphones (voir aussi sur Univadis : COVID-19 : Quoi de neuf sur le traçage numérique). Elle insiste sur le fait que son téléchargement et son utilisation sont volontaires et qu’aucune sanction de quelle sorte que ce soit n’est attachée à son refus par les utilisateurs. Ils peuvent d’ailleurs la supprimer dès qu’ils le souhaitent et/ou demander l’effacement de leurs données stockées sur le serveur central.

Données pseudonymisées, mais personnelles

Elle réaffirme sa vigilance à l’égard de deux points qui font largement débat. D’une part, les smartphones échangent entre eux et avec le serveur qui centralise les informations des données qui sont bel et bien personnelles au sens du RGPD (Règlement général sur la protection des données, européen) : il s’agit de pseudonymes, constitués de suites de chiffres, uniques pour chaque terminal, et propres à chacun d’eux. La CNIL estime cependant que le risque d’identification est « minimisé » par ces pseudonymes. En particulier, elle estime que « l’application ne permettra pas de remontée des identifiants des personnes contaminées par le SARS-CoV-2 et qu’aucun lien ne sera conservé entre les personnes contaminées et la liste des personnes qu’elles auraient pu exposer. »

Principes de nécessité et de proportionnalité

D’autre part, elle déclare rester attentive à l’utilité réelle de l’application (principe de nécessité) eu égard à ses risques (principe de proportionnalité). Pour cela, elle évaluera régulièrement son impact effectif sur la gestion de l’épidémie. Elle rappelle que le dispositif StopCovid est temporaire : 6 mois à compter de la fin de l’urgence sanitaire. Par ailleurs, «  si certaines données doivent être conservées tout le temps de la mise en œuvre de l’application pour que celle-ci puisse fonctionner (clés et identifiants associés aux applications), les historiques de proximité des personnes diagnostiquées ou testées positives, les identifiants temporaires échangés entre les applications ainsi que les horodatages associés sont conservés 15 jours. » Au terme de ces durées, les données personnelles devront être supprimées et la CNIL s’engage à ce qu’il en soit bien ainsi.

Un accès restreint aux données

Reste une dernière inquiétude : qui a accès aux données ? « Seuls quelques sous-traitants » (pour l’hébergement, la maintenance, etc.) dans des conditions bien précises. Cependant, si la CNIL rappelle que les données seront stockées sur le territoire de l’Union européenne, elle appelle cependant à « la vigilance sur le fait que l’utilisation dans un premier temps d’une solution de CAPTCHA fournie par un tiers est susceptible de conduire à des transferts de données hors de l’Union . » Là aussi elle promet de veiller au grain.

Quant à l’installation automatique sur certains smartphones d’un module COVID-19 par Apple ou Google, la CNIL rappelle que StopCovid n’utilise pas ce module.