Après la publication de son avis du 24 avril 2020, sur la conformité générale aux règles de protection des données à caractère personnel d’un dispositif de « suivi de contacts » tel qu’envisagé alors par le Gouvernement, la CNIL a rendu le 25 mai 2020 un nouvel avis sur le projet de décret relatif à l’application « StopCovid », qui sera présentée au Parlement mercredi 27 mai.
Les observations générales de la CNIL
- La mise en œuvre d’un dispositif de suivi automatique des contacts des utilisateurs par la mise à disposition d’une application mobile par les autorités publiques est un processus sensible. Une telle collecte doit être envisagée avec prudence ;
- L’utilité de l’application et la nécessité du traitement projeté sont suffisamment démontrées en amont de la mise en œuvre du traitement ;
- La proportionnalité du dispositif projeté est respectée grâce aux nombreuses garanties prévues ;
Les principales recommandations de la CNIL, formulées dans son avis du 24 avril ont été suivies : définition précise des finalités du traitement projeté, responsabilité du traitement confiée au ministère en charge de la politique sanitaire, mise en œuvre de certaines mesures techniques de sécurité, pas de conséquences juridiques défavorables pour les non-utilisateurs.
Les recommandations de la CNIL
Sur la durée de l’application
- La CNIL recommande que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci, afin de s’assurer de son utilité au cours du temps.
Sur les données collectées
- Concernant la liste limitative des données qui pourront être collectées, la CNIL recommande que la collecte des dates de dernière interrogation du serveur y soient inscrites. La CNIL prend acte de l’engagement du ministère des Solidarités et de la Santé de modifier le projet de décret afin de mentionner dans la liste la collecte des périodes d'exposition des utilisateurs à des personnes contaminées ainsi que les codes pays.
Sur les destinataires et les accédants aux données
- La CNIL recommande que le projet de décret soit complété afin de préciser si les sous-traitants seront « accédants » ou « destinataires » des données à caractère personnel dont ils auront besoin de connaître ;
- La CNIL recommande que les conventions précisant les relations de sous-traitance inscrivent les obligations de chaque partie notamment en matière d'exercice des droits des personnes concernées et des mesures de sécurité.
Sur l’usage de l’application
- La CNIL recommande de conseiller aux utilisateurs de l'application de supprimer leurs données du serveur central préalablement à une éventuelle désinstallation de l'application.
- La CNIL recommande que les données collectées sur l’application puissent être supprimées au bout d'une période d'inactivité, pour garantir que des données devenues inutiles ne soient pas conservées.
Sur l'information des personnes
- La CNIL recommande que l'intégralité des informations soit mise à disposition de l'utilisateur au sein même de l'application. Une information conforme aux dispositions du RGPD doit être aisément accessible tant lors de l'installation de l'application que tout au long de son usage ;
- La CNIL recommande de livrer une information compréhensible par le plus grand nombre. L’information devrait également être mise à disposition dans des modalités permettant aux personnes en situation de handicap d’en prendre connaissance ;
- La CNIL recommande que soient intégrés dans l'information fournie aux utilisateurs des développements spécifiques pour les mineurs et leurs parents.
Sur les droits des personnes
- La CNIL recommande que le droit à l'effacement et le droit d'opposition soient pleinement applicables et prend acte de l’engagement du ministre des solidarités et de la santé à modifier le projet de décret pour faire respecter ces points.
Sur les mesures de sécurité
- Sur la mise en place d'un comité regroupant plusieurs entités auxquelles seraient confiés des fragments des clés de chiffrement, la CNIL recommande d’inclure des organismes de natures différentes et présentant un haut niveau d'indépendance. Elle recommande d’évaluer le niveau de garantie offert par une telle mesure dans l’AIPD, et à mettre en place des garanties supplémentaires le cas échéant ;
- La CNIL recommande que le décret soit modifié afin de rendre public l’intégralité du code source et respecter en conséquence l’engagement du ministère ;
- Sur le recours à un « captcha » lors de l’initialisation de l’application, la CNIL recommande que des développements ultérieurs de l’application permettent rapidement l’utilisation d’une technologie alternative ;
- La CNIL recommande que seul le minimum de données strictement nécessaire à la vérification du bon fonctionnement du système soit journalisé, et notamment que ces journaux soient exempts d'identifiants ou de clés cryptographiques relatives aux utilisateurs ;
- La CNIL recommande que la journalisation des actions réalisées par les administrateurs soit conservée pendant une durée de six mois dans des conditions permettant de garantir son intégrité, et que des mécanismes d'analyse automatiques soient mis en place afin de détecter toute opération anormale.