Constantin Pavléas, avocat spécialiste en droit des nouvelles technologies, dirigeant-fondateur du cabinet Pavléas Avocats, livre son analyse sur la récente mise en demeure adressée par la CNIL au Gouvernement, au sujet de l'application StopCovid.
Après avoir rendu un avis favorable au sujet de l'application StopCovid en mai dernier, la Commission Nationale de l'Informatique et des Libertés (CNIL), a demandé lundi au gouvernement de régler « plusieurs irrégularités » concernant cette même application. Elle s'interroge aussi sur l'efficacité de cette application. StopCovid, à la fois inefficace et problématique pour nos libertés fondamentales, cela était pourtant à prévoir…
Dans un communiqué publié hier, le lundi 20 juillet, la Commission Nationale de l'Informatique et des Libertés (CNIL), a demandé lundi au gouvernement de régler « plusieurs irrégularités » concernant la controversée application de traçage de contacts StopCovid. Le ministère des Solidarités et de la Santé est « mis en demeure d'y remédier dans un délai d'un mois », précise la CNIL. La CNIL pose aussi la question de l'efficacité de cette application.
La CNIL estime que pour l'essentiel, la nouvelle version de l'application respecte le règlement général sur la protection des données (RGPD), mais remarque cependant plusieurs irrégularités à la suite des résultats de trois contrôles réalisés en juin sur l'application. Elle a notamment relevé certains manquements ponctuels concernant l'analyse d'impact relative à la protection des données personnelles, au recours au re-captcha Google (le dispositif visant à empêcher les « robots » d'utiliser l'application) ainsi que dans l'information fournie aux utilisateurs et dans les contrats de sous-traitance.
Dans un second temps, la CNIL demande également au gouvernement de se prononcer sur l'efficacité de l'application dans la lutte contre l'épidémie de coronavirus. Comme elle l'avait souligné lors du lancement de StopCovid, l'application ne pouvait être déployée que si son utilité était suffisamment avérée.
Cela pose une question essentielle : pourquoi la CNIL avait-elle donné son feu vert en premier lieu ? Pour rappel, la CNIL avait estimé le 24 avril dernier que « le dispositif était conforme au RGPD si certaines conditions étaient respectées », puis le 25 mai, deux jours avant le vote au Parlement la Cnil avait validé le dispositif. Quelques jours après la sortie de StopCovid, elle avait annoncé qu'elle allait procéder à des vérifications dès le mois de juin pour s'assurer que ses recommandations en matière de recueil du consentement et d'information des utilisateurs ont été suivies à la lettre.
L'application dans tous les cas ne pouvait être efficace qu'en cas de dépistage massif de la population, ce qui est encore loin d'être le cas, et que si 60 % de la population non seulement avait téléchargé l'application et l'utilisait pleinement. En effet, d'après une étude parue dans la revue Science le 31 mars, une telle application ne serait efficace que si 60 % de la population l'utilise et qu'une campagne de dépistage y soit associée. Le 25 mai dernier, Monsieur Cédric O, Secrétaire d'Etat au Numérique estimait néanmoins que l'application StopCovid se révèlerait efficace « à partir de 10 % de personnes qui l'utilisent dans un bassin de vie ». Aujourd'hui, seulement un peu plus 3 % des Français l'ont téléchargée et il n'est pas établi que tous l'utilisent.
Étant donné les différentes couches de volontariat (pas d'obligation de la télécharger, pas d'obligation de s'en servir, pas d'obligation de signaler qu'on a été testé positif à la Covid-19, pas d'obligation d'envoyer l'information aux cas contacts…), bien nécessaire au maintien des libertés fondamentales, celle-ci ne pouvait être efficace.
Par ailleurs, depuis que le gouvernement a rendu le port du masque obligatoire pour tous dans les lieux clos, quelle est la place d'une application de traçage numérique à supposer qu'elle soit téléchargée et utilisée par un nombre suffisant d'utilisateurs ?
Enfin, l'application française, bâtie sur un protocole propriétaire et centralisé, n'est pas interopérable avec les applications similaires mises en œuvre dans d'autres pays européens, tels que l'Allemagne, l'Autriche, le Royaume-Uni… Même les applications de ces pays, bâties sur le protocole décentralisé proposé en commun par Apple et Google, n'interagissent pas entre elles.
Ce désordre montre donc la nécessité de développer une force européenne de la santé, avec une vision coordonnée avec un cadre réglementaire bien défini pour ce type d'applications, qui permette à la fois la préservation des libertés individuelles et de la santé publique. Il est regrettable que le plan de relance de l'Union européenne n'ait pas intégré cette dimension, alors que nous sommes encore en pleine crise sanitaire. J'appelle donc à la création d'une véritable Europe de la santé qui intégrerait la stratégie numérique et aurait un véritable pouvoir décisionnaire.
Constantin Pavléas, avocat spécialiste en droit des nouvelles technologies, dirigeant-fondateur du cabinet Pavléas Avocats et coordinateur du programme Droit du numérique & Propriété intellectuelle à l'HEAD