La Commission nationale de l'informatique et des libertés (CNIL) est un organisme indépendant qui a pour rôle de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques., cadre dans lequel elle a été saisie au sujet de l'app StopCovid présentée hier soir à la presse.
Dans l'ensemble, la CNIL valide le projet, et garantit que ce dernier respecte à la fois le RGPD européen, mais aussi la protection de la vie privée sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées. Seule réserve, la commission estime qu'il est nécessaire que l'ensemble du code source du programme soit disponible en ligne, par souci de transparence. C'est déjà le cas pour une bonne partie du projet, mais il manque encore une partie du programme pour être vraiment complet -rappelons qu'en face, Apple et Google ne publient aucune sources de leurs API.
La CNIL s’est prononcée lundi 25 mai 2020, en urgence, sur un projet de décret relatif à l’application mobile « StopCovid ». Cette application vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et utilisant la même application, cette proximité induisant un risque de contamination.
Cette saisine fait suite à l’avis rendu par la CNIL le 24 avril 2020 sur le principe même du déploiement d’une telle application. Compte tenu du contexte exceptionnel de gestion de la crise sanitaire, la CNIL avait considéré possible la mise en œuvre de « StopCovid », sous réserve qu’elle soit utile à la stratégie de déconfinement et qu’elle soit conçue de façon à protéger la vie privée des utilisateurs.
L’application utilisera des données pseudonymisées, sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées. La CNIL constate que ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre.
Afin d’assurer la pleine conformité du traitement au règlement général sur la protection des données (RGPD), elle a néanmoins émis plusieurs observations sur le projet de décret qui lui a été soumis et sur les conditions opérationnelles de déploiement de l’application.
