Parmi les autorités publiques, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») est l’une de celles qui, en cette période de pandémie, ne connaît pas de répit.
 
Sollicitée par les pouvoirs publics de se prononcer en urgence sur des traitements mis en œuvre pour contribuer à surmonter la crise, elle a aussi publié des conseils de nature à aider les acteurs de la recherche, du système de santé ou encore les employeurs mobilisés pour lutter contre la pandémie :
  • Dès le 26 mars, anticipant le lancement de recherches médicales dans la course à la découverte d’un vaccin et/ou d’un traitement, elle a rappelé les règles essentielles à respecter dans le traitement des données de santé[1].
  • Début avril, elle s’est penchée sur les pratiques de télétravail[2] sans lesquelles la France aurait été totalement paralysée.
  • Le 20 avril, elle a rendu un avis sur un projet d’arrêté créant une « Plateforme de données de santé » en lien entre un groupement d’intérêt public et la Caisse nationale d’assurance maladie[3] permettant de suivre l’évolution des contaminations et des soins apportés aux personnes infectées.
  • Début mai, elle a précisé les conditions de l’utilisation du fichier de la taxe d’habitation par les élus locaux de manière à rationaliser la distribution des masques dans le respect de l’équité[4].
  • Le 7 mai, à l’aube de la phase de déconfinement progressif, elle a indiqué la façon de concilier l’obligation légale de sécurité des employeurs, mais aussi des employés pour eux-mêmes avec le respect de la protection des données[5] collectées pour satisfaire à ces obligations.
 
Parmi tous ces conseils et ces avis, la délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » est particulièrement intéressante. 
Alors que le projet n’est pas encore définitivement arrêté, la CNIL est cependant allée très loin dans ses préconisations. Par ailleurs, tout en se montrant exigeante sur la protection de la vie privée, elle n’hésite pas à aborder de front la problématique « efficacité/vie privée » qui est au cœur de l’application du règlement général sur la protection des données
[6] (« RGPD ») et de ses difficultés dans la pratique.
 
En dehors de l’opinion très générale du Comité Européen de Protection des Données (« CEPD ») qui s’est montré particulièrement ouvert aux dispositifs de traçage numérique
[7], quelques autorités nationales de protection des données en Europe se sont à ce jour prononcées sur la question  –par   exemple, les autorités italienne[8], norvégienne[9], néerlandaise[10], espagnole[11], anglaise[12] et belge[13]. Aussi l’avis de la CNIL, soigneusement motivé, revêt-il une importance particulière.
 
Du point de vue juridique, il comporte plusieurs innovations : (i) une acception particulièrement large de la « donnée à caractère personnel » ; (ii) l’expression d’une nette préférence quant à la base légale à retenir ; (iii) une définition étroite de la finalité du traitement et des exigences de proportionnalité ; (iv) des préconisations précises relatives à la transparence du traitement.
 
Une acception large de la notion de « données à caractère personnel »
 
La première innovation concerne l’acception retenue par le CNIL du caractère de « données à caractère personnel » des informations qui seront collectées et traitées.
Sont des données personnelles au sens de l’article 4.1 du RGPD « toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement par référence à un identifiant tel qu’un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

En l’occurrence, StopCovid ne nécessitera pas de traiter des données directement identifiantes telles que nom, numéro de téléphone ou adresse. Toutes les données seront pseudo-anonymisées et tous les pseudonymes seront aléatoires.
 
Le dispositif comportera une application mobile fonctionnant via Bluetooth sous les systèmes d’exploitation Android et iOS, ainsi qu’un serveur central stockant et transmettant les données nécessaires à l’application mobile. Il ne s’agira en aucune façon d’un système de géolocalisation, tel que celui avalisé par la CNIL pour certains types d’activité au demeurant sans le consentement des employés concernés.
 
Dès lors que le serveur central ne traitera que des pseudonymes aléatoires attribués aux utilisateurs de cette application, il n’y aura pas de possibilité de ré-identification au sein du système. De plus, les pseudonymes des personnes infectées avec lesquelles l’utilisateur sera entré en contact ne remonteront pas au serveur central. La question se posait donc de savoir si les données du système répondaient à la définition des « données à caractère personnel ». En d’autres termes, le RGPD est-il applicable ?
 
La CNIL a répondu par l’affirmative, estimant qu’il existait un risque de ré-identification, notamment en raison du lien entre les pseudonymes et les applications téléchargées, chacune étant installée sur un terminal correspondant généralement à une personne physique.
 
L’expression d’une préférence de la base légale « la plus appropriée »
 
Dès lors que le traitement « StopCovid » est fondé sur le volontariat, il semblait logique de retenir le consentement comme base légale de celui-ci, le consentement des personnes concernées étant de loin naturellement privilégiée par la CNIL. Le choix de la base légale la plus appropriée appartient au responsable de traitement.
Or, en l’espèce, la CNIL indique sa préférence pour une autre base légale, celle de la mission d’intérêt public visé à l’article 6.1.e) du RGPD « car cette base légale permet (…) de concilier en toute sécurité juridique le caractère volontaire de l’utilisation de cette application et les éventuelles incitations des pouvoirs publics à une telle utilisation, afin de promouvoir son utilisation la plus large possible » ; et ce en dépit du fait que la personne concernée disposera de sa liberté de choix.  Dans ses lignes directrices du 21 avril 2020, le CEPD estime lui aussi que la base légale la plus adéquate est celle du l’intérêt public
[14]. Mais la motivation retenue par la CNIL mentionnant les incitations des pouvoirs publics à utiliser l’application StopCovid pourrait poser question à l’avenir. Cette approche conduirait-elle, par exemple, à exclure la base légale du consentement (au profit uniquement de celle de l’intérêt légitime) lorsqu’un employeur, qui ne serait pas légalement tenu de le faire, mettra en place un dispositif d’alerte professionnelle dont l’usage est facultatif et ce, en l’accompagnant des messages promotionnels requis par les exigences de conformité ?
 
Contrairement au consentement, le constat d’un « intérêt public important » attaché à un traitement de données de santé, en tant que données sensibles, ne suffit pas pour rendre ce dernier conforme au RGPD. Encore faut-il que cet intérêt public soit expressément reconnu dans un texte du droit de l’Union ou du droit national en vertu de l’article 9.2.g) du RGPD. En France, les pouvoirs publics ont décidé de faire adopter un texte sur StopCovid par le Parlement. Retenir la base légale de l’intérêt public n’ajoutera pas donc une condition supplémentaire. Mais dans les Etats membres de l’Union européenne où une loi ou un règlementation spécifique n’a pas été jugé nécessaire, cette base légale ne sera sans doute pas retenue par les pouvoirs publics
[15] (par exemple, Autriche, Islande ou Bulgarie).
 
Enfin, parmi les bases légales possibles, la CNIL passe sous silence une autre base légale, celle de la « sauvegarde des intérêts vitaux » de la personne concernée
[16], en l’occurrence la personne alertée grâce à StopCovid de ce qu’elle a côtoyé des personnes infectées. Certes, le considérant 46 du RGPD indique que cette base légale doit être retenue « lorsque le traitement ne peut manifestement pas être fondé sur une autre base légale ». Certains Etats membres semblent néanmoins s’appuyer sur ce motif pour justifier la mise en place d’un système de traçage numérique lié au Covid-19.
 
Exclusivité de la finalité « traçage numérique » et exigences de proportionnalité
 
La CNIL a limité la finalité du traitement au seul traçage numérique. Elle rappelle « le principe de limitation des finalités consacré par l’article 5.1.b) du RGPD impliquant que les données soient utilisées pour un objectif précis et déterminé à l’avance ». Seul, selon la CNIL, est valable l’objectif de « suivi de contacts » consistant à alerter un utilisateur qu’il a été en contact avec des personnes infectées. Est rejetée toute utilisation du système pour le contrôle du respect des obligations sanitaires, le suivi du nombre de personnes infectées ou pour l’identification des zones de leur déplacement.
 
S’agissant de l’exploitation statistique ou à des fins de recherche scientifique des données du traitement, la CNIL préconise d’utiliser des données anonymisées, soit un traitement qui ne rentre pas dans le champ d’application du RGPD. Il conviendra d’examiner si cette restriction est compatible avec les nécessités statistiques ou de la recherche.
 
Concernant la proportionnalité, la CNIL évoque la durée limitée du traitement dont la mise en œuvre est liée à la crise actuelle. Elle note que le confinement en effet « porte une atteinte très forte à la liberté d’aller et venir », donnant ainsi le primat à la liberté de l’individu sur la discipline collective qu’implique la protection de la santé d’une population.
 
Les préconisations en matière de transparence
 
Compte tenu de la sensibilité pour l’opinion publique du traçage numérique, la CNIL donne des indications très précises sur l’information à fournir au public et sur la transparence du traitement. Déjà, un protocole dit « ROBERT » a été publié par l’Inria
[17] en charge de la mise au point du système. Il décrit de façon extrêmement pédagogique le fonctionnement de l’application et donne en outre le lien de la description des spécifications techniques du protocole[18]. Jamais depuis l’expérience de Parcoursup[19], une telle transparence n’avait été prévue.
 
Il semble acquis que l’algorithme du système, à l’instar de ce qui avait été fait pour Parcoursup
[20], intégrant le code source sera publié (sous la réserve d’éviter les actes de malveillance qui pourrait en résulter si l’ensemble du code source était publié). La CNIL enfin recommande la publication de l’analyse d’impact qu’elle préconise concernant l’application.
 
La transparence est devenue un volet important de la bonne compréhension des systèmes informatiques, notamment lorsqu’ils s’adressent à une large population, comme ce fut le cas des quelque 900 000 candidats à l’entrée dans l’enseignement supérieur inscrits sur la plateforme Parcoursup avec un fichier central à la clé. Ici, il y aura un serveur central, mais pas à proprement parler un fichier central. Il reste que le dispositif de suivi des déplacements mis en place peut susciter la méfiance, même s’appliquant sur une base purement volontaire. Aussi la transparence du système a-t-il été un point important de la délibération de la CNIL.  
 

Pour conclure 
 
La CNIL elle-même reconnaît que le succès de StopCovid est lié au nombre de personnes qui téléchargeront l’application, les plus récentes études montrant que sans utilisateurs représentant au moins deux tiers, voire trois quarts de la population, un tel dispositif est inefficace, comme en témoigne l’exemple de Singapour.
 
Par ailleurs, la CNIL observe à bon droit qu’un tel dispositif nécessite un encadrement humain (par exemple, possibilité pour les personnes alertées d’échanger avec un personnel qualifié), des moyens médicaux (tests à suffisance) et des moyens humains d’aider les intéressés à se confiner dans des conditions efficaces et psychologiquement viables.
 
Mais cette efficacité dépend également de la performance technique du système, sachant que le Bluetooth ne donne pas d’informations aussi précises que la géolocalisation. Le Bluetooth appréhende des contacts à relativement grande distance, alors que par définition la géolocalisation est très précise. C’est toute la question de l’équilibre entre efficacité d’une application informatique et protection du droit à la vie privée, entre liberté individuelle et contraintes du vivre-ensemble, qui se trouve de nouveau posée à travers le projet du StopCovid.
 
[1] Recherches sur le COVID-19 : la CNIL se mobilise, 26 mars 2020 : https://www.cnil.fr/fr/recherches-sur-le-covid-19-la-cnil-se-mobilise.
[2] Salariés en télétravail : quelles sont les bonnes pratiques à suivre ?, 1er avril 2020 : https://www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre.
[3] Délibération n° 2020-044 du 20 avril 2020 portant avis sur un projet d'arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.
[4] La CNIL considère possible l’utilisation du fichier de la taxe d’habitation pour la distribution des masques par les collectivités territoriales, 1er mai 2020 : https://www.cnil.fr/fr/la-cnil-considere-possible-utilisation-fichier-taxe-dhabitation-pour-distribution-des-masques.
[5] Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs, 7 mai 2020, https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les.
[6] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[7] CEPD, Lignes directrices 04/2020 du 21 avril 2020 sur l’utilisation des données de géolocalisation et contact tracing tools dans le contexte du Covid-19.
[14] CEPD, Lignes directrices 04/2020 du 21 avril 2020 sur l’utilisation des données de géolocalisation et contact tracing tools dans le contexte du Covid-19, para 29.
[15] Dans ces pays, il s’agit de consentement (article 9.2.a) du RGPD).
[16] Article 6.1.d) du RGPD.
[19] Parcoursup est la plateforme internet nationale de préinscription en première année de l’enseignement supérieur en France.
[20] Rapport du Comité Ethique et Scientifique de Parcoursup, 2018, p.39.