« StopCovid » : se conformer au Règlement sur la Protection des Données

Proportionnalité et minimisation des données

Les gouvernements et les acteurs privés se tournent de plus en plus vers l’utilisation de solutions informatiques basées sur la collecte de données à caractère personnel pour la gestion de la crise sanitaire liée au Covid-19, ce qui soulève des problématiques sur le plan de la protection des données.

En effet, si la finalité de ses solutions informatique est fondé sur l’intérêt de santé publique, certaines solutions informatiques incluant par exemple la géolocalisation des individus peuvent faire craindre l’établissement de manière pérenne d’un État « Big Brother », fondé sur une surveillance accrue des individus sacrifiant par là même le droit à la vie privée et la liberté de circulation.

Pour faire face à ces craintes, les institutions en charge de la protection des données au sein de l’Union Européenne (le « Comité Européen de la Protection des Données » ou « CEPD ») ainsi que les autorités de contrôles nationales, telles que la CNIL en France, œuvrent aux côtés des gouvernements des États Membres afin encadrer les projets nationaux de solutions informatiques en conformité avec le Règlement sur la Protection des Données (« RGPD »).

À cet égard, le CEPD comme la CNIL confirment l’application du RGPD à toute collecte de données à caractère personnel d’individus (y compris les données de connexion informatique et/ou de localisation) utilisées dans le cadre d’une solution informatique relative au Covid-19, qu’elle soit mise en œuvre par un État Membre ou un acteur privé.

Par conséquent, la solution devra impérativement répondre à tous les principes établis par le RGPD et en particulier la proportionnalité et la minimisation des données. Ces principes requièrent une collecte et une conservation des données limitées à ce qui est strictement nécessaire pour les besoins de la solution. En pratique, l’utilisation de données des individus devra se faire sur la base du consentement et en évitant l’utilisation de

technologies de suivi des déplacements, comme la géolocalisation.

En France, le gouvernement a proposé la mise en place d’une application « StopCovid » qui permet d’informer les personnes l’ayant téléchargée et qui ont été à proximité d’une personne ayant été testé positif au Covid-19 dans un passé proche.

L’application « StopCovid » présente déjà certaines garanties de protection de la vie privée des personnes :

  • Une finalité de l’application limitée à l’alerte de personnes exposées au risque de contamination. Aucune finalité de suivi des personnes exposées au Covid-19 n’est prévue ;
  • Le téléchargement et activation de l’application basés sur volontariat ;
  • L’utilisation de pseudonymes permettant de limiter le risque de réidentification des individus et d’empêcher la création d’une liste de personnes contaminées ;
  • L’utilisation de la technologie Bluetooth pour un « suivi des contacts » plutôt qu’un « suivi des déplacements » des personnes exposées au Covid-19. L’application ne permet donc pas la géolocalisation des individus.


Même si l’application présente ces garanties, le gouvernement à encore beaucoup de travail pour implémenter les principes du RGPD jusqu’au déploiement effectif de la solution.

L’importance de l’adhésion massive de la population française

Ceci étant dit, la CNIL estime, dans sa délibération du 24 avril 2020 portant avis sur l’application « StopCovid », que le déploiement de cette application en conformité avec le RGPD nécessite la mise en place des actions suivantes de la part du gouvernement :

  • La démonstration de l’utilité de l’application pour la gestion de la crise. À cet égard la CNIL recommande que « l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien ». Ce point est essentiel compte tenu notamment du fait que certaines personnes plus vulnérables à la maladie ne détiennent pas de smartphone et qu’il existe des cas asymptomatiques ;
  • L’adoption d’une disposition législative comme base légale à l’utilisation de telles solutions informatiques pour lutter contre les crises sanitaires sur la base du volontariat ;
  • La mise en place de garantie de protection des données supplémentaires :
    • L’identification du responsable du traitement des données auprès duquel les personnes peuvent exercer leur droits (accès, suppression, etc.) ;
    • L’utilisation de l’application doit rester temporaire ;
    • Les données collectées doivent être conservées de manière limitée dans le temps et ensuite supprimées ;
    • Une information doit être apportée aux utilisateurs de l’application sur les modalités de traitement des données ;
    • Le recours à toute forme d’automatisation de la décision d’informer des personnes exposées doit être associé à la possibilité pour ces personnes d’échanger avec un personnel qualifié ;
    • La mise en place d’une analyse d’impact sur la protection des données ;
    • La mise en place de mesures de sécurité appropriées et de vérification de l’exactitude des données.
    • La saisie de la CNIL pour une nouvelle fois afin d’étudier la conformité du projet de norme encadrant la mise en œuvre de l’application, dès que le projet aura été précisé.


L’application « StopCovid » étant fondée sur le volontariat, il sera particulièrement important qu’elle emporte l’adhésion massive de la population française. Dans ce contexte, la mise en place de garanties de protection telles que prévues par le CEPD et la CNIL en conformité avec le RGPD sera essentielle.

Yaël Hirsch

Avocat à la Cour (Paris) | Attorney at Law (New York)

 

 

 

 

Il convient de tout faire pour que le Covid-19 ne contamine pas notre vie démocratique alors qu’il doit au contraire en aviver les significations. Cette exigence éthique inspire la création de notre site ethique-pandemie.com

© 2021