Présentation des applications StopCovid

Afin de mieux comprendre ses points de vue et recommandations sur la mise en œuvre de l’application StopCovid, la CNIL répond à vos questions.
La CNIL a publié deux délibérations sur l’application StopCovid : ces deux délibérations, qui couvrent des domaines différents, se complètent et restent valables.
A voir aussi : Comment avoir la mâchoire carrée ?
Plan de l'article
- Quelle est l’application « StopCovid » ?
- Quel est le rôle de la CNIL ?
- Ce que nous entendons par « une demande de bénévolat » ?
- Mon anonymat est-il garanti si j’utilise l’application StopCovid ?
- Pourquoi la CNIL insiste-t-elle sur la question de l’utilité de la demande et de la proportionnalité du système ?
- Les mineurs sont-ils exclus du système ? Quels sont les points d’attention ?
- Qu’ adviendra-t-il de mes données ? Combien de temps seront-ils entreposés ?
- Les données sont-elles transférées en dehors de l’Union européenne ?
- Qui peut accéder aux données ?
- Comment la CNIL s’assurera-t-elle que l’application ne fonctionne plus après la crise alors que je l’ai encore sur mon smartphone ?
- Quels sont mes droits si je décide d’utiliser cette application ?
Quelle est l’application « StopCovid » ?
StopCovid est une application mobile mise à disposition par le gouvernement dans le cadre de sa stratégie globale de « déconfinement progressif ». Disponible sur les smartphones (smartphones), son objectif est d’alerter les utilisateurs sur le risque de contamination lorsqu’ils sont proches d’un autre utilisateur qui a été diagnostiqué ou testé positif pour COVID-19. Il s’agit d’un dispositif de suivi des contacts (suivi des contacts), qui est volontaire pour les personnes et utilise la technologie Bluetooth.
Lors de son utilisation, le smartphone stocke une liste des pseudonymes temporaires des appareils qu’il « a traversé » pendant 14 jours (c’est ce qu’on appelle « l’historique de proximité »). Lorsqu’un utilisateur est diagnostiqué ou testé positivement pour COVID-19, il peut choisir d’envoyer ses coordonnées (pseudonymes « cartes de visite ») à un serveur central. La transmission de ces données au serveur ne sera possible qu’avec un code à usage unique fourni par un prestataire de soins de santé à la suite d’un diagnostic clinique positif ou un code QR donné à la personne à la fin du test. L’application d’un utilisateur interroge périodiquement ce serveur pour voir si l’un des identificateurs associés à celui-ci a été signalé par une personne diagnostiquée ou testée avec COVID-19. Une fois informé qu’il s’agit d’un « contact », puis à risque, la personne est notamment invitée à consulter un médecin.
Lire également : Qu'est-ce que la coqueluche ?
Quel est le rôle de la CNIL ?
La CNIL a a émis deux avis (24 avril et 25 mai 2020), sur le principe d’application et sur le projet de décret mettant en œuvre le traitement. En particulier, il a recommandé que :
- la responsabilité des soins est confiée au ministère responsable de la politique sanitaire.
- Aucune conséquence négative n’est associée au choix de ne pas utiliser l’application. Cela signifie que le gouvernement n’attache aucune conséquence juridique défavorable au non-téléchargement ou à l’utilisation de l’application StopCovid et, au contraire, ne prévoit pas un droit réservé spécifique aux personnes qui décident de l’utiliser.
- Des mesures de sécurité techniques supplémentaires sont mises en œuvre.
- L’ implémentation des applications est limitée dans le temps.
- Les histoires de proximité sont conservées pendant une durée limitée.
Il a également formulé des recommandations sur :
- améliorer les informations fournies aux utilisateurs, notamment en ce qui concerne les conditions d’utilisation de l’application et la manière dont les données personnelles sont supprimées ;
- la nécessité de fournir des informations spécifiques aux mineurs et à leurs parents ;
- accès gratuit à tout le code source de l’application mobile et du serveur.
Une fois l’application déployée, la CNIL sera attentive aux conditions pratiques de mise en œuvre du système et notamment :
- à l’utilité réelle de l’appareil, qui devra être étudié plus précisément après son lancement. La durée de mise en œuvre de la demande doit être subordonnée aux résultats de ces évaluations périodiques.
- Respect de la durée prévue pour la mise en œuvre de l’appareil et la suppression des données à la fin.
Ce que nous entendons par « une demande de bénévolat » ?
Chaque personne est libre d’utiliser l’application ou non. Cela signifie que le fait de ne pas télécharger et utiliser l’application StopCovid ne peut pas avoir de conséquences juridiques défavorables et qu’aucun droit spécifique ne peut être réservé aux personnes qui décident de l’utiliser.
Mon anonymat est-il garanti si j’utilise l’application StopCovid ?
Si aucune information d’identification directe (comme le nom et le prénom) n’est traitée dans le cadre de l’application StopCovid, la CNIL a rappelé que la demande n’est pas nécessairement « anonyme » conformément à la législation applicable en matière de protection des données.
En effet, les smartphones échangent, entre eux et avec le serveur central, des identifiants pseudonymes (séquences de numéros uniques à chaque terminal mais sans signification directe) qui leur sont propres. Il est en fait des données personnelles conformément au RGPD.
Toutefois, si le dispositif est destiné au traitement de données à caractère personnel, la CNIL a estimé que l’utilisation d’identificateurs pseudonymes minimise la possibilité d’identifier les personnes concernées.
Pourquoi la CNIL insiste-t-elle sur la question de l’utilité de la demande et de la proportionnalité du système ?
La CNIL a rappelé, dans ses deux avis, que la protection du droit au respect de la vie privée et de la protection des données à caractère personnel exige que les atteintes à ces droits par les autorités publiques soient nécessaires et proportionnées à la réalisation de l’objectif poursuivi.
Par conséquent, l’application « StopCovid » ne peut être mise en œuvre que si son utilité pour la gestion des crises est suffisamment démontrée (nécessité), notamment dans le contexte du déconfinement, et si certaines garanties sont fournies (proportionnalité).
La CNIL note que, en ce qui concerne la proportionnalité, certaines garanties sont fournies :
- absence de conséquences négatives associées au choix de ne pas utiliser l’application ;
- nature temporaire de l’appareil ;
- la réduction au minimum des données collectées et traitées ;
- mise en œuvre de certaines mesures de sécurité.
Toutefois, la CNIL estime que l’impact réel du système sur la stratégie globale en matière de santé devrait être évalué régulièrement, afin de garantir son utilité dans le temps.
Les mineurs sont-ils exclus du système ? Quels sont les points d’attention ?
La possibilité que les mineurs puissent télécharger et utiliser l’application « StopCovid » a amené la CNIL à se rappeler qu’une attention particulière doit être accordée à l’information des personnes.
Dans sa délibération du 25 mai 2020, la CNIL invite donc le Ministère à intégrer, dans les informations fournies aux utilisateurs, les développements spécifiques tant pour les mineurs eux – mêmes que pour leurs parents.
Qu’ adviendra-t-il de mes données ? Combien de temps seront-ils entreposés ?
La durée de l’implémentation de l’appareil diffère de celle du stockage des données de l’utilisateur.
- La période de mise en œuvre est fixée à 6 mois à compter de la fin de l’état d’urgence sanitaire, tels que les traitements « Contact COVID » et « SI-DEP », dispositifs que vous avez l’intention de compléter. Dans le cadre d’une stratégie globale de « déconfinement ».
- Si certaines données doivent être conservées pendant toute la durée de mise en œuvre de l’application pour qu’elle fonctionne (clés et identificateurs associés aux applications), les histoires de proximité des personnes diagnostiquées ou testées positives, identificateurs temporaires échangés entre les questions et leurs horodatages sont conservées pendant 15 jours (recommandation de la Santé Publique France et du Ministère de la Santé).
À la fin de ces périodes, les données à caractère personnel doivent être supprimées .
Les données sont-elles transférées en dehors de l’Union européenne ?
Les données ne seront pas transférées en dehors de l’Union européenne et seront stockées sur le territoire de l’Union européenne.
Qui peut accéder aux données ?
Premièrement, la CNIL a noté dans ses avis que la question :
- utiliser des identificateurs pseudonymes ;
- ne signalera pas les identifiants des personnes contaminées par COVID-19 et qu’aucun lien ne sera maintenu entre les personnes contaminées et la liste des personnes susceptibles d’avoir été exposées.
Ainsi, il souligne que seuls certains sous-traitants sont autorisés à avoir accès aux données collectées sur le serveur central dans le cadre et dans les limites de l’exercice de leurs missions (logement, maintenance du système, etc.). Ces accès ne sont effectués que pour le compte et sur les instructions du ministère responsable de la santé, qui assure la responsabilité du traitement.
Comment la CNIL s’assurera-t-elle que l’application ne fonctionne plus après la crise alors que je l’ai encore sur mon smartphone ?
L’ utilisation de l’application est basée sur le service volontaire des personnes qui ont la possibilité, à tout moment, de se désabonner du serveur et/ou de le désinstaller de leur smartphone.
Ainsi, la CNIL se souvient qu’elle veillera à respecter la durée prévue pour la mise en œuvre du système et la suppression des données. En particulier, si elle le souhaite, elle peut effectuer les contrôles nécessaires dans le cadre de ses pouvoirs de contrôle.
Quels sont mes droits si je décide d’utiliser cette application ?
Puisque l’utilisation de l’application est basée sur le travail La CNIL a rappelé l’importance de pouvoir s’opposer au traitement des données à caractère personnel et la possibilité de demander leur suppression.
La CNIL a noté, dans son avis du 25 mai 2020, que les procédures d’exercice du droit d’opposition et de radiation ont déjà été prévues dans l’étude d’impact sur la protection des données (AIPD) qui lui a été soumise dans le cadre de l’examen des dossiers.
Cela prévoit que l’utilisateur peut demander la suppression de ses données stockées sur son smartphone ainsi que celles contenues dans le serveur central, directement via une fonctionnalité de l’application. En outre, vous pouvez également cesser d’utiliser l’application à tout moment en vous désabonnant au serveur ou en la désinstallant de votre smartphone afin d’exercer votre droit d’opposition.
SOURCE : Autorités POUR LA PROTECTION DES DONNÉES