Evolutions de l’application « TousAntiCovid » : avis de la CNIL et publication du décret
Dans sa délibération en date du 17 décembre 2020, la CNIL s’est prononcée sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ».
Dans sa délibération en date du 17 décembre 2020, la CNIL s’est prononcée sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z368819U) ; les évolutions visent principalement à alerter les utilisateurs de l’application désormais dénommée « TousAntiCovid » lorsqu’elles ont été présentes dans un établissement recevant du public en même temps qu’une ou plusieurs personnes ultérieurement diagnostiquées ou dépistées positives à la covid-19. Réf. : CNIL, délibération n° 2020-135, 17 décembre 2020 (N° Lexbase : X7938CMX) ; décret n° 2021-157, du 12 février 2021, modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z310331C)
Le contexte
Le projet de décret vise à faire évoluer les conditions de mise en oeuvre des traitements de données nécessaires au fonctionnement de l’application désormais dénommée « TousAntiCovid ». L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la covid-19. Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.
L’avis de la CNIL
Concernant le dispositif d’enregistrement des visites dans certains établissements recevant du public. L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer la proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.
Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :
– le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
– aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;
– les données sont séparées de celles traitées dans le cadre du protocole ROBERT.
Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).
La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.
Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.
Concernant la priorisation des cas contacts dans l’accès aux examens et tests de dépistage. La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».
Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.
Le décret
Publication. Le décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » est publié au JO du 14 février 2021.
Objet. Le décret modifie la dénomination de l’application « StopCovid » qui devient « TousAntiCovid » et complète ses finalités pour permettre aux utilisateurs de faire état de leur statut de « contacts à risque de contamination » afin de bénéficier d’un test ou d’un examen de dépistage de la covid-19 et d’accéder à des informations complémentaires sur la situation sanitaire. Le texte permet en outre la collecte de la date du dernier contact avec une personne diagnostiquée ou dépistée positive au virus covid-19 et prolonge la durée de mise en oeuvre de l’application jusqu’au 31 décembre 2021.
Entrée en vigueur. Les dispositions du décret entrent en vigueur le lendemain de sa publication, soit le 1 5 février 2021, à l’exception de celles relatives à l’information de l’utilisateur sur la période au cours de laquelle il a eu un contact avec une personne diagnostiquée ou dépistée positive au virus covid-19, ainsi que celles portant sur la conservation de ces informations, qui entrent en vigueur le seizième jour suivant celle-ci.
Marie-Lou HARDOUIN-AYRINHAC
> Pour faire le point sur l’évolution de l’application « TousAntiCovid » : v. ÉTUDE : L’application « TousAntiCovid » (anciennement « StopCovid »), in Covid-19, Lexbase (N° Lexbase : 69653MW).
N.B. : le protocole ROBERT est une contribution conjointe dans le cadre de l’initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing ), dont le but est de permettre
le développement de solutions interopérables de suivi de contacts, respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité,
dans le cadre d’une réponse plus globale à la pandémie.