Saisie par le secrétaire d'Etat chargé du Numérique Cédric O, la Commission nationale de l'informatique et des libertés (Cnil) a rendu son avis le 24 avril 2020 sur l'application StopCovid en cours de développement. Ce dispositif devra permettre d'identifier les chaînes de transmission du virus pour réussir le déconfinement prévu à partir du 11 mai 2020. Dès le début de son avis, la Cnil est très claire : "ce projet pose des questions inédites en termes de protection de la vie privée".
La Cnil estime que le dispositif traitera bien de données personnelles. En effet, il y a un lien entre les pseudonymes attribués à chaque utilisateur et l'application, "chaque application étant elle-même installée sur un terminal qui correspond généralement à une personne physique déterminée". Conséquence de quoi, les obligations du Règlement général sur la protection des données (RGPG) s'appliquent pleinement. Néanmoins, l'autorité protectrice de la vie privée rappelle que "la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en œuvre du dispositif". Cela signifie également que le projet doit prévoir des garanties fortes.
Une finalité limitée
Premièrement, les données ne doivent être utilisées que pour "un objectif précis et déterminé à l'avance". En l'espèce, StopCovid doit seulement servir à informer un utilisateur de l'application que son téléphone s'est trouvé à proximité de celui d'une personne diagnostiquée positive au Covid-19 de sorte qu'il existe un risque qu'il ait été contaminé à son tour. La Commission prend acte que StopCovid ne servira pas à surveiller le respect des mesures sanitaires ou pour réaliser un suivi du nombre de personnes infectées. "Un enrichissement des finalités de l'application nécessiterait de prendre en compte le juste équilibre entre ces nouveaux objectifs et la protection de la vie privée", écrit la Cnil.
Deuxièmement, la Commission rappelle que l'utilisation de l'application doit reposer sur le volontariat qui devra être prévu dans "les textes juridiques régissant ce dispositif comme dans l'information du public". A ce titre, le volontariat ne doit pas uniquement se traduire par le choix pour l'utilisateur de télécharger puis de mettre en œuvre l'application ou de la désinstaller. Mais cela signifie qu'aucune conséquence négative ne doit être attachée à l'absence de téléchargement ou d'utilisation de l'application. Par exemple, l'accès aux tests et aux soins ne saurait en aucun cas être conditionné à l'installation de l'application.
Une atteinte à la vie privée proportionnée
Troisièmement, l'autorité française note que le gouvernement doit veiller à ce que l'atteinte portée à la vie privée demeure proportionnée. Le respect de ce principe se traduira par "une collecte et une conservation des données limitées à ce qui est strictement nécessaire". Cela implique également que toutes les données soient supprimées dès le moment où l'utilisation de l'application ne sera plus avérée, soit une fois la crise sanitaire terminée. Par ailleurs, la Commission estime que l'atteinte à la vie privée ne sera admissible que si le gouvernement est sûr que StopCovid est "utile à la gestion de la crise et notamment à la sortie du confinement de la population". Or la Cnil émet de nombreux doutes sur l'efficacité de l'application.
Elle note que l'efficacité de StopCovid dépendra de la possibilité pour une proportion suffisante de la population d'accéder à l'application et l'utilisation dans de bonnes conditions. Cela signifie que StopCovid doit être disponible sur "suffisamment de magasins d'applications mobiles" et "compatible avec la majorité des téléphones". Par ailleurs, la Cnil note que la concurrence de plusieurs applications de suivi de contacts est "susceptible de nuire à l'efficacité du dispositif". Se pose également la question des personnes qui ne disposent pas de smartphones ou qui ne savent pas en utiliser un. Or "certaines des personnes les plus vulnérables à la maladie, ainsi que les personnes les plus jeunes n’ayant pas de téléphone, qui pourraient jouer un rôle sensible dans la propagation de celle-ci, sont particulièrement concernées", s'inquiète la Commission.
Elle indique également que StopCovid n'est pas une solution miracle pour la sortie de crise mais un élément à replacer dans une stratégie plus globale qui comprendra différentes actions comme la disponibilité des masques, la mobilisation du personnel de santé… "L'utilisation d'applications de suivi des contacts ne saurait être une mesure autonome et appelle, sur ce point, à une vigilance particulière contre la tentation du solutionnisme technologique", alerte-t-elle.
Des chercheurs lancent une pétition
Ce n'est pas la première fois que la Cnil se prononce sur l'application StopCovid. Auditionnée par la Sénat mi-avril 2020, sa présidente Marie-Laure Denis avait exprimé un grand nombre d'inquiétudes notamment sur l'adhésion de la population et la fracture numérique. Des craintes qui sont partagées par des chercheurs qui ont lancé une pétition en ligne le 26 avril 2020. Ils affirment que StopCovid pourrait provoquer une surveillance de masse et que le recours au Bluetooth ne constitue en rien une garantie contre les intrusions volontaires. "Les risques d'atteinte à la vie privée liés aux technologies Bluetooth sont reconnus depuis bien avant la crise sanitaire, c'est la raison pour laquelle les OS en restreignent fortement l'utilisation par les applications", indiquent-ils.
Au-delà des critiques, l'avis de la Cnil a un impact limité pour deux raisons au moins. Premièrement, elle se prononce alors que l'application n'est pas encore déployée car encore en cours de développement. D'ailleurs, nous en savons désormais un peu plus sur les acteurs qui contribuent à StopCovid. L'Institut national de recherche en informatique et en automatique (Inria), l'Agence nationale de la sécurité des systèmes d'information, Capgemini, Dassault Systèmes, l'Institut national de la santé et de la recherche médicale, Lunabee Studio, Orange, Santé Publique France et Withings ont lancé l’équipe-projet StopCovid le 26 avril 2020. Deuxième limite : la Commission demande à être de nouveau consultée si après la tenue du débat et du vote au Parlement – prévus le 28 et 29 avril 2020 – il était décidé de recourir à un tel instrument. Il ne s'agit donc pas d'avis définitif mais seulement d'une première ébauche.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
