La commission a rendu son avis en tout début de semaine, sur l’application annoncée par Cédric O et qui permettrait la mise en place d’un système de traçage des malades atteints par le virus.
Et cet avis se révèle à prime abord positif, au grand dam des défenseurs ardents de la protection des données personnelles, qui guettent avec attention le résultat du vote des parlementaires, dont l’intervention est programmée avant le 2 juin prochain.
Tout d’abord, la CNIL s’est félicitée de la publication du Code Source de l’application, à l’initiative conjointe d’Olivier Véran, pour la Santé et Cédric O, pour le secrétariat d’Etat au numérique.
Une initiative inédite, quand on s’attarde un peu sur la dimension du projet, d’autant plus que celui-ci institue « un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions« . En d’autres termes, le recueil des données sera bien réel, sous des couverts vertueux.
Concrètement, StopCovid obtient l’aval de la CNIL grâce à un système de contact tracing, initié par la collecte uniquement des contacts établis et dont les données resteraient anonymes. Un conditionnel qui pèse cependant lourd dans la balance.
Car dans quelle mesure ? en la matière, la seule anonymisation semble un peu légère mais par ailleurs, ce n’était pas ce qui était « vendu » au public ainsi qu’aux autorités lors de la création du consortium pourvoyant à sa conception.
Des « garde-fous suffisants » ou quelques difficultés relatives à la définition du concept de protection des données individuelles ?
Si la CNIL ne semble pas revenir sur le bien fondé et l’utilité d’une telle application, elle va plus loin dans le concept en lui conférant une place indispensable au sein du dispositif de lutte contre le Covid.
Une position justifiée par la réponse conforme au sein du cahier des charges préétabli, aux différents questionnements qui étaient posés, par les différents protagonistes à l’élaboration du système développé avec le concours de l’INRIA.
En d’autres termes et concrètement, l’application permettra à l’utilisateur de conserver dans ses archives numériques, la trace des autres usagers croisés à moins d’un mètre et pendant au moins une quinzaine de minutes.
Un stockage qui lui permet d’alerter ces mêmes personnes en cas de test positif ce qui pose quelques interrogations quant aux données recueillies ainsi que leur durée de conservation par tout un chacun.
Interrogations d’autant plus fortes si on s’intéresse de près à l’utilisation d’un captcha évoqué dans l’avis rendu, permettant le transfert de données hors de l’Union Européenne.
Quelques lignes simples mais qui prennent tout leur sens ainsi que le relève également la Quadrature du net.
Autre point majeur discutable : la balance conséquences / bénéfices de ce projet sur le quotidien des utilisateurs du système.
Et c’est là que le bat blesse également, car si la CNIL accorde du crédit à l’utilisation qui est faite des données collectées, elle reconnaît qu’un recueil est opéré, ce qui devrait emporter quelques réticences légitimes de sa part.
La CNIL rassure sur les points sensibles tout en attirant l’attention sur des détails …
La CNIL s’accorde sur la vérification préalable de 3 points :
- Une « amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles » ;
- « Une information spécifique pour les mineurs et les parents des mineurs » ;
- Le vote d’un texte relatif au « droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées ».
Or, l’ensemble de ces points ne sauraient faire l’objet d’une évaluation légale … qu’après le lancement de l’application et les premières utilisations.
Pour l’heure, l’application doit être fonctionnelle le 2 juin prochain, soit près de 3 semaines avant son vote définitif par le Parlement qui doit en limiter les contours. Un calendrier dirigé par l’urgence certes mais qui se positionne à l’envers.
Un avis bien léger quant à un dispositif aussi complexe sur l’utilisation de nos données personnelles.
Vous pouvez directement avoir accès à l’avis rendu ici.