Audition de Mme Marie-Laure Denis, présidente de la CNIL

En bref

• La présidente de la CNIL a rappelé qu’il ne faut pas croire que l’application va tout résoudre, quand bien même les nouvelles technologies peuvent contribuer au déconfinement dans le cadre d’une stratégie globale. Cela pourrait nous faire baisser la garde par rapport à la nécessité des gestes barrières et cela ne prend pas en compte les cas asymptomatiques. Elle s’oppose à la tentation du « solutionnisme technologique ».
• La CNIL explorent les opportunités technologiques, mais aussi leurs limites et leurs risques pour les droits des personnes. Si elles peuvent être d’un grand secours dans la gestion de la crise sanitaire, il est encore difficile d’évaluer leurs bénéfices, d’autant plus que les usages varient selon le type de données collectées et les finalités poursuivies.

Sur le rôle de la CNIL durant la période sanitaire

Le rôle de la CNIL est de donner une double expertise :

• Donner les moyens de connaître et de comprendre, d’un point de vue technique, l’ensemble des dispositifs utilisés, des projets envisagés, des solutions imaginées pour lutter contre la pandémie. La CNIL, au contact des acteurs de la société civile, en lien avec nos homologues européens, assure une veille continue depuis la mi-mars.
• La seconde expertise peut paraître éloignée de la CNIL, mais elle est utile : c’est la compréhension de l’intérêt des solutions envisagées pour la santé publique, afin de mesurer la légitimité, la proportionnalité et la pertinence des traitements de données.

Sur les conditions du dispositif de traçing

• La présidente de la CNIL rappelle que les finalités du dispositif doivent être définies et limitées. Le traitement des données de localisation doit être adéquat, nécessaire et proportionné. L’instrument doit apparaître réellement utile. Les dispositifs les moins intrusifs doivent toujours être privilégiés. Ils doivent également avoir un caractère temporaire. Les données traitées doivent être limitées à ce qui est nécessaire, dans un objectif de « minimisation » des données collectées : certaines applications de suivi contact ne traitent pas d’informations nominatives, mais associent les données par le biais d’un identifiant unique créé lors de l’installation de l’application.

Interactions avec les sénateurs

• Question du sénateur Philippe BAS : Connaissez-vous le calendrier de saisine de la CNIL par le gouvernement sur un projet de dispositif ?

La décision de la création d’un tel dispositif n’est pas encore prise au Gouvernement. Marie-Laure DENIS constate qu’il est temps que la CNIL soit saisie mais pour l’instant ce n’est pas le cas. Si le dispositif doit être appliqué mi-mai, la CNIL a besoin de temps pour analyser le dispositif.

• Question du sénateur Philippe BAS : Comment définir le consentement à cette application ?

Il faut que le consentement soit éclairé. Les utilisateurs de l'application doivent avoir toutes les informations nécessaires pour faire leur choix. Le refus de consentir ne doit pas exposer la personne à des conséquences négatives. Il faut une information individualisée qui permet lorsque l’utilisateur la télécharge, de savoir quelles sont les données qui sont utilisées. Sur la pression sociale qui serait entraînée par une restriction de circulation dans certains lieux pour les non utilisateurs de la plateforme, il faut à tout prix éviter cette dérive. La CNIL veillera à ce que des plaintes puissent être déposées si des comportements d’exclusion étaient à l’œuvre.

• Questions du sénateur Jean-Yves LECONTE : L’application envisagée tracke t-elle l’appareil, les numéros ou les deux ? La CNIL a-t-elle déjà eu à traiter des fichiers basés sur le Bluetooth ? Sur les finalités, à partir du moment ou l’on crée un dossier, on peut changer la finalité du dossier. Cela n’est-il pas dangereux ?

Si c’est une application qui est sur le Bluetooth, il n’y aura pas de géolocalisation. La CNIL a l’expérience de ce type de fichiers basés sur le Bluetooth (la présidente citant le cas des panneaux publicitaires, les files dans les aéroports, etc..). La présidente de la CNIL ne décide pas de la mise en œuvre de ce dispositif, elle rappelle que la CNIL est là pour veiller à ce qu’il y ait suffisamment de garanties apportées pour les libertés individuelles.

• Question du sénateur Philippe BAS : Sur le volontariat, qui pourrait sanctionner des démarches de conditionnalité ?

Sur les sanctions, la CNIL a une grande habitude des sanctions pour les entreprises. La CNIL peut prendre des sanctions rapidement. Il n’y a pas de difficultés. Il y a des moyens juridiques que l’on pratique régulièrement.

• Question des sénateurs Philippe BAS et Esther BENBASSA : L’anonymat serait-t-il vraiment assuré ? N’y a-t-il pas un risque sur ce sujet si le lieu et l’horaire sont indiqués dans le cas d’une rencontre avec une personne infectée ?

La présidente de la CNIL rappelle qu’un dispositif par Bluetooth entraîne la génération d’un pseudonyme lors de l’utilisation de l’application. La condition pour l’application d’un tel dispositif est de ne pas pouvoir ré-identifier la personne. La présidente de la CNIL n’a pas connaissance encore du dispositif et ne sait pas si le lieu et l’horaire seront inclus dans le dispositif. La présidente de la CNIL admet que si ces données étaient incorporées, la ré-identification pourrait être, en conséquence, plus ou moins difficile selon la localisation de la personne (si la personne habite un village peu peuplé ou une grande ville, etc..)

• Question du sénateur Pierre-Yves COLOMBAT : Est-ce qu’il existe une instance de coordination des différentes obligations des structures travaillant sur le sujet car on constate que ces dernières utilisent la presse pour relayer leur position ?

La présidente de la CNIL rappelle qu’il y a une certaine vigueur du débat en France. Le débat a lieu et les autorités se coordonnent entre elles, par exemple entre la CNIL et l’INRIA. En termes de contrôle, il faut en effet une coordination forte et la CNIL jouera son rôle afin de s’assurer que les libertés sont bien respectées.

• Question de la sénatrice Marie MERCIER : Comment est-on sûr que ce côté temporaire sera respecté ?

Premièrement, il faut pouvoir désinstaller l’application. Deuxièmement, il est nécessaire que ce dispositif reste exceptionnel et s’inscrive dans une période donnée. La CNIL a l’expérience de s’assurer que les données ont bien été supprimées, ce qu’elle s’engagera à appliquer dans ce dispositif.

• Question du sénateur Philippe BAS : Pour les mineurs, ce traçage sera-t-il possible ?

Sur les mineurs, la présidente de la CNIL n’a pas d’information sur ce sujet.

Audition de MM. Jean-François Delfraissy et de Aymeril Hoang du Haut Conseil Scientifique

Sur le protocole de traçage actuellement en projet

« L’Institut national de recherche en sciences et technologies du numérique (INRIA) travaille sur un protocole en lien avec un institut allemand et l’école polytechnique de Lausanne. Le projet qui est développé est une application qui n’utilise que le Bluetooth et qui ne demande aucune donnée personnelle. Elle ne demande pas le numéro de téléphone pour l’instant. Il s’agit d’une application basée sur le volontariat qui permet d’enregistrer de manière anonyme les personnes rencontrées de manière qualifiée.

Le modèle de santé et de calibrage de cette qualification est encore en attente d’indications de la part de la communauté scientifique. Le protocole prévoit, si la personne se déclare positif au Covid-19 sur l’application, que les identifiants anonymes que cette personne testée positive a croisé soient remontés sur un serveur qui notifiera ces personnes. Le statut de séropositivité d’une personne n’est jamais transmis. Il reste sur le téléphone et disparaît lorsque l’application est supprimée ».

Interactions avec les sénateurs

• Question du sénateur Philippe BAS : « Aucune autre information que le fait d’avoir été en contact pendant une durée qui est prévue par l’application avec une personne qui s’est révélée séropositive ? Ni quand, ni où, ni dans quelles conditions évidemment ? »

« C’est exactement ça, cela ne servirait à rien sur le plan sanitaire ».

• Question du sénateur Dany WATTEBLED sur le caractère volontaire de l’application :

« Sur le caractère obligatoire, l’équipe projet n’a pas reçu de demande pour travailler sur ce caractère, sur un plan technique »

• Question du sénateur Loïc HERVÉ sur l’infomation déclenchante permettant à la personne de se déclarer sur l’application :

« Sur la question de l’information déclenchante, les choses ne sont pas arbitrées, le projet a commencé il y a moins de 10 jours. Nous travaillons à ce stade sur une hypothèse selon laquelle il y a un contrôle préalable du caractère de la suspicion de positivité de la personne. Elle ne pourrait donc déclencher l’alerte que sous contrôle, l’hypothèse envisagée étant qu’un médecin ou un laboratoire donne un code numérique ou un QR code à la personne pour qu’elle le rentre dans l’application. »

• Question de plusieurs sénateurs sur la garantie de la vie privée :

« Sur les garanties pour la vie privée, la recommandation que j’ai pu faire et qui a été reprise par le Gouvernement est que le code source soit publié à destination de tout le monde. »