Smartphones et coronavirus: une loi nécessaire en cas de recours à une application obligatoire selon la présidente de la Cnil

Le gouvernement serait contraint de passer par une mesure législative s'il voulait recourir à une application obligatoire de suivi des déplacements ou des contacts des citoyens, selon la présidente de la Cnil (Commission nationale de l'informatique et des libertés) Marie-Laure Denis.

LOIC VENANCE - AFP/Archives

Le gouvernement serait contraint de passer par une mesure législative s'il voulait recourir à une application obligatoire de suivi des déplacements ou des contacts des citoyens, selon la présidente de la Cnil (Commission nationale de l'informatique et des libertés) Marie-Laure Denis.

Question: Face au coronavirus, plusieurs pays ont mis en place des systèmes d'utilisation des données personnelles, dont Singapour où une app prévient son utilisateur s'il a rencontré une personne contaminée sur les deux dernières semaines. Est-ce possible en France ?

Réponse: Les textes qui protègent les données personnelles ne s’opposent pas à la mise en oeuvre de solutions de suivi numérique individualisé pour la protection de la santé publique, mais ils imposent de prévoir des garanties adaptées d'autant plus fortes que les technologies sont intrusives.

D'une manière générale, les applications qui s'appuient sur des données Bluetooth, qui sont chiffrées directement sur le téléphone sous le contrôle de son utilisateur, apportent plus de garanties que celles qui s'appuient sur un suivi géolocalisé (GPS) continu des personnes.

En tout état de cause, pour le collège de la Cnil, outre la question essentielle du caractère provisoire de l'utilisation de ce type de dispositif, il est aussi important qu'il repose sur le volontariat, c’est-à-dire sur un choix éclairé et libre, sans conséquence pour la personne en cas de refus.

Question: Le gouvernement a-t-il la possibilité d'imposer ce type d'app, ou d'autres app visant à imposer le respect du confinement ?

Réponse: En France, les pouvoirs publics ont exclu à ce jour l'éventualité d'un recours à un dispositif obligatoire.

S'il devait en aller autrement, il serait nécessaire d'adopter un texte législatif pour mettre en oeuvre ces dispositifs qui devraient en tout état de cause démontrer leur nécessité pour répondre à la crise sanitaire ainsi que leur proportionnalité par un respect des principes de la protection des données personnelles: la minimisation des données collectées, des finalités qui doivent être explicitées et précises, un caractère provisoire…

Question: Des médecins et des chercheurs réclament l'accès aux données de santé détenues par exemple par les hôpitaux pour faire des recherches sur la diffusion du virus, ses différents symptômes, sa morbidité. La législation sur la protection des données ne retarde-t-elle pas la circulation des données et les programmes de recherche?

Réponse: La législation permet la mise en place de programmes de recherche et plusieurs projets ou études sont déjà lancés.

La Cnil a d'ailleurs publié un communiqué indiquant la marche à suivre pour pouvoir mettre en oeuvre rapidement des projets de recherche portant sur le Covid-19.

La majorité des projets peuvent être mis en oeuvre sans autorisation dès lors qu'ils sont conformes à une des méthodologies de référence. Il suffit alors de faire une simple déclaration à la Cnil.

Pour ceux des projets qui nécessitent une autorisation, par exemple les études pour lesquelles les patients ne peuvent pas être informés individuellement de l'usage fait de leurs données, nous avons publié une adresse mail dédiée pour pré-instruire les demandes. Dès que les dossiers sont complets, les autorisations peuvent être accordées rapidement, parfois même en quelques heures

La Cnil a déjà délivré depuis le début de la crise une dizaine d'autorisations (...) à des acteurs comme l’AP/HP, l'Inserm, l'institut Pasteur, le CHU de Lille...

Ces études visent par exemple à tester des traitements, à étudier les facteurs de mortalité des patients âgés, ou encore à analyser l'évolution des formes graves de l’infection.

Question: La Cnil s'est-elle penchée sur les données agrégées et anonymisées de déplacements de la population, fournies par Orange et SFR à des organismes de recherche comme l'Inserm et l'Inria?

Réponse: Ces solutions ont été mises en place par Orange et SFR il y a quelques années, donc bien avant la crise, après des échanges avec la Cnil. Les deux opérateurs fournissent des données qui sont suffisamment agrégées pour être anonymisées. La Cnil avait alors veillé à ce qu'il n'y ait pas de risque de ré-identification des personnes.

(Propos recueillis par Laurent BARTHELEMY)

AFP / Paris (AFP) / © 2020 AFP