IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

TousAntiCovid : la CNIL donne son avis sur un projet de décret relatif au traitement de données
Introduisant un dispositif d'enregistrement des visites dans certains établissements recevant du public

Le , par Stéphane le calme

351PARTAGES

9  0 
La CNIL s’est prononcée, en urgence, le 17 décembre 2020, sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ». Ce projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application désormais dénommée « TousAntiCovid ».

L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la COVID-19.

Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.

L’avis de la CNIL sur le dispositif d’enregistrement des visites dans certains établissements recevant du public

L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.

Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :
  • le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
  • aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la COVID-19 ou à ceux transmis lors de l’interrogation du serveur central ;
  • les données sont séparées de celles traitées dans le cadre du protocole ROBERT. Le protocole ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont le but est de permettre le développement de solutions interopérables de suivi de contacts, respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie.

Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).

La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.

Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.


L’avis de la CNIL sur la priorisation des cas contacts dans l’accès aux examens et tests de dépistage

La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».

Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.

Dès les premiers pas de StopCovid, la CNIL a fait valoir que l’utilisation de l’application devrait rester sur la base du volontariat. En conséquence, il ne pourrait pas y avoir de différence de traitement, positif comme négatif, en fonction du téléchargement ou non de l’application par une personne. Un seul écart à noter à cette ligne éthique : la CNIL convenait en novembre 2020 qu’un restaurant pouvait offrir une promotion à ses clients ayant téléchargé TousAntiCovid.

Lors de la mise en place des cahiers de rappels dans les restaurants en octobre 2020, elle avait pris une position similaire, cette fois sur le recueil de données personnelles (prénom, nom, numéro de téléphone) possiblement papier, et non numérique.

Les « cahiers de rappel » : de quoi s’agit-il ? L’ouverture de certains établissements situés dans les zones d’alerte maximale dépend dorénavant du respect d’un protocole sanitaire renforcé. Il comprend notamment la tenue d’un « cahier de rappel » des clients, qui conditionnera leur accès à l’établissement. Ce « cahier » est destiné à collecter les coordonnées des clients présents dans le restaurant, la cafétéria ou l’établissement de restauration rapide, afin de les tenir à disposition des autorités de sanitaires en cas de contamination de l’un des clients.

Ce « cahier de rappel », qu’il s’agisse d’un registre / cahier « papier » ou non (ex. : formulaire en ligne, QR code, etc.), constitue un traitement de données personnelles soumis à la réglementation (RGPD et loi Informatique et Libertés).

Les établissements mettant en place ces « cahiers de rappel » doivent respecter les principes suivants :
  1. Collecter uniquement les données nécessaires : Pour les « cahiers de rappel », les données à collecter doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données.
  2. Limiter l’utilisation des données à la seule transmission aux autorités sanitaires : Les informations collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires en font la demande : agents des CPAM, de la CNAM, de l’ARS. Toute autre utilisation (ex. : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite.
  3. Informer les clients : Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données. Cette information doit être délivrée au moment de la collecte de ses données, et sous un format facilement accessible (ex. : une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.). Cette mention d’information doit être claire, précise et simple.
  4. Une durée de conservation limitée : Les données collectées dans le « cahier de rappel » devront être détruites au bout de 14 jours, conformément aux préconisations du ministère des Solidarités et de la Santé, quelle que soit leur modalité de collecte (formulaire papier, formulaire en ligne, QR code, etc.).
  5. Sécuriser les données : Le restaurateur devra assurer la confidentialité des données collectées sur ses clients : il ne s’agit pas que chacun ait accès aux coordonnées de l’ensemble des clients présents au même moment que lui !

La CNIL a estimé ceci : « Pour que le consentement recueilli soit valable, la personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus. En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données  ».

Avec le retour d’un dispositif de traçage dans les « établissements recevant du public » (ou « ERP »), l’autorité a décidé de modifier sa formulation : « La CNIL recommande d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de cultes notamment) »

Certains établissements pourraient donc être contraints de bloquer l’accès aux personnes qui refusent de participer au dispositif de traçage des contacts (qu’il soit fait grâce à un carnet papier ou une application). Ce serait une première en France depuis le début de la pandémie. Si obligation il y a, la CNIL souhaite qu’elle soit limitée aux « lieux les plus risqués ».

Quoi qu'il en soit, la CNIL a déjà annoncé qu'elle allait à nouveau prendre la parole sur le sujet : La CNIL a relevé que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation). Elle a reconnu l’intérêt du dispositif pour lutter contre l’épidémie de la COVID-19 et a souligné que l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues (liste précise des ERP concernés, caractère facultatif ou obligatoire du dispositif d’enregistrements des visites pour les établissements et les personnes concernées, etc.).

Sources : CNIL (1, 2), décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »

Et vous ?

Quelle lecture en faites-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 09/06/2021 à 20:48
Citation Envoyé par Stéphane le calme Voir le message
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises.
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !

Citation Envoyé par Stéphane le calme Voir le message
Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.

Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
10  1 
Avatar de ijk-ref
Membre confirmé https://www.developpez.com
Le 24/03/2021 à 17:00
Citation Envoyé par ddoumeche Voir le message
La France vient de perdre plus de 250 milliards à cause du covid et de la médiocrité intersidérale de la santé, et Anticor s'inquiète du coût dérisoire d'une application. Application qui ne sert probablement à rien mais qu'il serait bête de ne pas avoir dans le cas contraire. Ces associations n'ont plus les pieds sur terre elles non plus.
Rien ne tient dans tes propos. Anticor est une association anticorruption donc elle est dans son rôle de dénoncer une potentielle corruption. Sa fonction n'est pas de jouer aux cartes et de se plaindre du coût du Covid dû à sa gestion. C'est encore plus ridicule quand tu prétends qu'elle dénonce l'utilisation d'une telle application alors que c'est clairement écrit que ce n'est pas sa fonction.
7  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 24/03/2021 à 12:32
Les licences (69.676 € TTC/an), le support utilisateur (720.000€ TTC/an), l’animation du déploiement (432.000€ TTC/an), l’hébergement (576.000€ TTC/an)
Licences, ils utilisent un SGBD propriétaire à ce prix là ? Oracle ?
Support utilisateur : ça doit faire environ 25 personnes
Hébergement : le prix me parait beaucoup trop élevé
Animation du déploiement : le prix me parait beaucoup trop élevé aussi
6  0 
Avatar de skuatamad
Expert confirmé https://www.developpez.com
Le 23/03/2021 à 19:27
Citation Envoyé par Stan Adkens Voir le message
Elle estime qu’entre le lancement du projet et son aboutissement début juin, le gouvernement avait deux mois pour faire ces procédures jugées nécessaires.
Alors, une procédure d'appel d'offre public normale ça dure combien de temps ? A mon avis au moins 3 mois.

Il faut quand même que plusieurs entreprises prennent connaissance de l'appel d'offre, l'étudient (poser des questions et recevoir des réponses), poussent un dossier, que chacun des dossiers soit étudié, qu'il y ait une 1ere soutenance, puis une pré-sélection puis une 2eme soutenance... c'est long.

Alors si ANTICOR considère qu'une semaine suffit pour tout le process, ben c'est simple les appels d'offre c'est :
Entreprise A : Coucou
Entreprise B : Coucou, mon appli est super
Entreprise C : Coucou mon appli est super ++ et en plus on se connait !

Les 3 autres entreprises intéressées diront juste : Doh, j'ai même pas eu le temps de voir l'appel d'offre...

J'ai quand même un peu l'impression que leur reproche c'est qu'aucun appel d'offre BIDON n'est été émis...
6  1 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 20/04/2021 à 17:15
Citation Envoyé par tanaka59 Voir le message
De mémoire en France on est l'un des rares pays au monde, ou l'on peut acheter une carte SIM , sans avoir besoin de présenter un titre d'identité . En Espagne , ce n'est plus possible pour des questions de traçabilité depuis les attentats de 2005.
Alors il faudra que tu me donnes les noms des fournisseurs parce que la dernière fois que j'y suis passé, ce n'était plus comme ça depuis des années!

Citation Envoyé par Bill Fassinou Voir le message
Quel est votre avis sur le sujet ?
Toutes les raisons sont bonnes pour faire utiliser leur cochonnerie d'application mal foutue. Il y a tout un historiques de messages sur ce fil qui en parle déjà.

Citation Envoyé par Bill Fassinou Voir le message
Que pensez-vous de la nouvelle fonctionnalité de TousAntiCovid-Carnet ?


En Suisse, il y a environ un mois, on a eu une dizaine de cas de patients d'un EMS positifs au COVID, alors qu'ils avaient tous été vaccinés (Pfeizer, je crois). Du coup cette histoire de "passeport" vaccinal pour permettre de voyager donne un faux sentiment de sécurité: "chouette, je suis vacciné! Je vais pouvoir aller répandre le virus à l'étranger sans en voir les symptômes, et tant pis pour les prolos qui ne peuvent pas voyager et qui continuent de porter le masque!"
5  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 24/04/2021 à 4:25
En attendant l'intégration des données médicales non Covid (autres vaccins, grosses maladies déjà contractées comme la varicelle...) et les données non-médicales (infos fiscales, obligations vis-à-vis de la Défense Nationale, crédits bancaires en cours...).

Puis il faut aussi savoir parler vaccin au moins vieux. La pub (mensongère au demeurant) de la mamie vaccinée qui retrouve ses petits-enfants normalement comme avant la Covid ça va moins bien marcher sur les moins de 50 ans. Le chantage au vaccin pour avoir une vie sociale (restaurants, bars, voyages, sport, sorties culturelles...) sera beaucoup plus parlant auprès de ces gens là.

Citation Envoyé par tanaka59 Voir le message
2) Qu'elle fait doublon avec le DMP

https://www.dmp.fr/version

On se moque de qui ? On crée un webservice censé remplacer le carnet de santé bleu ... Qu'on doublonne d'une appli four tout . Faut qu'on m'explique la ?

Si je me fais vacciné, j'utiliserai mon DMP et pas "tousantimachin-truc" ... et leur nom à rallonge.
Il faut donner une impression d'action. Tu ne peux pas te contenter de rappeler qu'il existe déjà un dispositif utile pour ça, surtout quand il a été mis en place par un précédent gouvernement qui est désormais dans l'opposition. En Macronie, informatique + santé = TousAntiCovid, pas le DMP mis en place sous un gouvernement UMP de droite et déjà réformé par le PS de gauche.

De plus le DMP n'est pas exempt de polémiques, que l'opposition se ferait un plaisir de ressortir du tiroir pour son traditionnel plaisir de polémiquer pour polémiquer.

-----

Bref les joies de la tournure politique de la résolution du Covid, avec des chevaux de Troie (passeport vaccinal, travail dominical renforcé...) et des mesures sanitaires avec des relents de "surtout je ne me tire pas une balle dans le pied pour les Présidentielles dans 1 an" (qui ne va pas reconfiner cet été en pleine vague de variant indien parce que les gens ne voteront pas pour toi dans 9 mois si tu les interdis de s'entasser sur les plages cet été ? ).
5  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 08/06/2021 à 13:20
Citation Envoyé par AoCannaille Voir le message
Je comprends même pas que des devs acceptent ce genre de specs... Ya vraiment des têtes qui méritent du tomber, autant du côté des décideurs que du côté des devs immoraux qui acceptent ce genre de chose...
Si on affirme aux devs qu'ils ont à charge de structurer la donnée et que la partie protection est assurée par une autre équipe (potentiellement inexistente ou pas encore opérationelle), on arrive vite à une situation involontaire de la part des devs.

Ce sont en premier lieu les décideurs qui doivent tomber, ne serait-ce que parce qu'ils n'ont pas pris la mesure de leur incompétence technique à ne pas mettre dans la boucle les devs comme il se doit. La responsabilité n'incombe aux devs que s'ils ont effectivement participé au processus de décision (et donc être sanctionné en tant que décideur aussi).
7  2 
Avatar de Jeff_67
Membre éclairé https://www.developpez.com
Le 23/03/2021 à 18:00
C'est dans ces moments là qu'on se demande pourquoi l'administration n'internalise pas des équipes de développement, avec la grille de salaires ad-hoc bien entendu.
6  2 
Avatar de TotoParis
Membre averti https://www.developpez.com
Le 20/04/2021 à 20:11
Toujours la même question : quid de ceux qui n'ont pas de smartphone, ou de smartphone compatible ?
4  0 
Avatar de stigma
Membre expérimenté https://www.developpez.com
Le 17/02/2021 à 15:26
La possession d'un smartphone deviendrait obligatoire ?
3  0