L’épidémie du coronavirus a engendré la mise en place de mesures exceptionnelles. L’application TousAntiCovid, l’une de ces mesures, a subi récemment plusieurs modifications de la part du gouvernement avec le décret n°2021-1584 du 7 décembre 2021. Ces modifications portent essentiellement sur le traitement des données à caractère personnel, ce qui a interrogé la Commission nationale de l’informatique et des libertés (Cnil) sur la légitimité de ces évolutions.
Application TousAntiCovid
Le gouvernement, pour organiser le suivi sanitaire des personnes durant cette crise, a instauré l’application TousAntiCovid
Pour rappel, cette application a été lancée officiellement le 22 octobre 2020, avec une durée temporaire jusqu’au 31 décembre 2021. En effet, cette application, dite de contact tracing, donne accès de manière exceptionnelle aux données sanitaires à caractère personnel. Elle permet à l’utilisateur d’être alerté ou d’alerter les autres utilisateurs d’un risque d’exposition à la Covid-19 et donc de possible contamination. Elle s’est, par ailleurs, enrichie de services d’information.
Il faut savoir que TousAntiCovid contient un service « Carnet » de test et de vaccination dans lequel il est possible de stocker son passe sanitaire et son attestation de vaccination numériquement certifiée. Ce service recueille donc des données à caractère personnel des utilisateurs.
Etude de la Cnil
Face à cette question de collecte de données personnelles, la Cnil a demandé plusieurs fois au gouvernement d’évaluer l’efficacité des systèmes d’information de lutte contre la Covid-19, dont TousAntiCovid, afin de garantir la protection de ces données. En effet, celles-ci sont protégées par le principe de respect de la vie privée, principe émanant de la loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978) qui impose une obligation de sécurité et de confidentialité dans le traitement des données personnelles.
Il faut relever que la Cnil, dans sa délibération n°2021-139 du 21 octobre 2021, attire l’attention du gouvernement sur la nécessité de produire des éléments permettant d’évaluer l’efficacité des dispositifs mis en œuvre pour lutter contre la violation des données privées.
Elle avait retenu :
- l’existence de transferts hors Union Européenne des données lors de la conversion d’un certificat au format européen. Le ministère des Solidarités et de la Santé, aussitôt alerté, a rectifié cette situation et mis en place les aménagements nécessaires pour mettre fin à ce transfert.
- l’ajout d’un module permettant la réalisation de statistiques sur l’utilisation des fonctionnalités de l’application. Il conduisait à une insuffisance de protection de données. Le ministère des solidarités et de la santé a réduit le risque d’exploitation malveillante des données collectées en mettant en place de nouvelles modalités.
Evolution de l’application TousAntiCovid
Aux vues de l’évolution de la crise, le décret n°2021-1584 du 7 décembre 2021, publié le 8 décembre 2021 au Journal Officiel, vient modifier le traitement de données à caractère personnel retenues dans l’application TousAntiCovid. Tout d’abord, il prolonge l’utilisation de l’application de lutte contre l’épidémie de Covid-19 jusqu’au 31 juillet 2022. En effet, c’est la nouvelle date prévue de fin du régime de sortie de la crise sanitaire. Comme il s’agit d’une situation exceptionnelle, les mesures mises en place sont exceptionnelles et donc temporaires. Il en résulte qu’à partir de cette date de fin du régime de la crise sanitaire, les données en question ne seront plus traitées.
Ensuite, le décret précise et complète les finalités du traitement. En effet, les utilisateurs de l’application peuvent stocker sur leur téléphone mobile les justificatifs relatifs au passe sanitaire et à l’obligation vaccinale. Cela leur permet d’être informés de la validité des documents mais aussi de leur faire part de recommandations sanitaires les concernant.
Enfin, ce décret précise quelles sont les données qui sont traitées à cette fin, leur durée de conservation ainsi que les modalités d’information des utilisateurs sur ces fonctionnalités.
Ce décret permet donc l’utilisation des données contenues dans le passe sanitaire pour afficher des recommandations sanitaires personnalisées mais aussi d’informer les personnes des mesures à prendre pour bénéficier d’un passe valide.
Avis de la Cnil
Comme ce décret apporte des modifications sur le traitement des données recueillies par l’application TousAntiCovid, la Cnil a fait une demande d’avis sur ces récentes évolutions, dans sa délibération n°2021-143 du 2 décembre 2021. Elle souligne que l’utilisation de données constitue un changement important de la fonctionnalité « Carnet ». En effet, comme il est possible d’utiliser ces données à caractère personnel pour pouvoir proposer un suivi sur la validité des documents et donner des recommandations, ces nouvelles dispositions doivent être accompagnées de garanties pour pouvoir être légitimes.
La Cnil relève plusieurs garanties :
- données nominatives permettant uniquement de repérer les certificats concernés par les recommandations personnelles
- vérification du passe sanitaire sur le terminal de l’utilisateur sans collecte des données
- données ciblées indépendantes des autres données (non associées avec d’autres traitements de données, notamment pour la fonctionnalité de l’application)
- informations des personnes de l’utilisation de leurs données personnelles pour afficher des notifications sanitaires personnalisées et leur permettant de s’y opposer
Ces interventions et vérifications de la Cnil permettent de clarifier l’utilisation exceptionnelle des données. Elle s’assure ainsi du principe de confidentialité de la vie privée. Elle se doit également de rester vigilante et de garder un droit de regard sur l’efficacité et la manipulation de ces données durant cette crise sanitaire et notamment concernant son évolution.