Selon l’analyse de la Cnil, StopCovid traitera bien de données de santé

La Commission nationale de l’informatique et des libertés (Cnil) a mis en ligne le 26 avril son avis sur le projet d’application mobile StopCovid, avis qu’elle a rendu deux jours plus tôt. Dans son propos préliminaire, elle souligne “que ce projet pose des questions inédites en termes de protection de la vie privée”. Son analyse confirme que l’application doit être soumise au Règlement général sur la protection des données (RGPD), voire du Code de la santé publique, parce qu’elle traitera bien de données personnelles mais aussi de données de santé : “d’une part, le déclenchement d’une alerte par une personne infectée est directement lié à l’état de santé de celle-ci. D’autre part, l’information selon laquelle une personne présente un risque suffisamment élevé d’avoir contracté une maladie, et conduisant notamment à ce qu’elle en soit informée par l’application, est une donnée concernant la santé (…). Cette information sera présente dans le serveur central”. En l’état, la Cnil estime en tout cas le projet conforme au RGPD “si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées”, comme une utilisation temporaire et une conservation limitée des données. Elle s’élève en revanche contre l’idée d'”introduire des faux positifs dans les notifications transmises aux personnes afin de limiter les risques de ré-identification dans certains types d’attaques” et relève que l’algorithme cryptographique 3DES, “envisagé à ce stade, ne devrait en principe plus être utilisé” selon le référentiel de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Elle demande enfin “à pouvoir se prononcer à nouveau après le débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir”.

À noter : Selon Les Échos, les présidents des régions Hauts-de-France, Île-de-France et Auvergne-Rhône-Alpes “auraient été approchés pour expérimenter une application rivale” de StopCovid, “développée par six sociétés françaises (Orange, Dassault Systèmes, Capgemini, Sopra Steria, SIA Partners, Accenture)” sachant que les trois premières travaillent également sur le projet gouvernemental. L’Île-de-France “confirme être en train d’organiser le déploiement de cette application ‘privée'” sur une intercommunalité des Yvelines.