L’évolution principale vise à introduire au sein de l’application « TousAntiCovid », dans la perspective de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles, etc.), un dispositif numérique d’enregistrement des visites dans de tels lieux afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la COVID-19.
Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 le 22 octobre dernier.
L’avis de la CNIL sur le dispositif d’enregistrement des visites dans certains établissements recevant du public
L’introduction d’une telle fonctionnalité doit permettre de tenir compte des risques particuliers de contamination liés à la fréquentation des ERP et autres lieux accueillant plusieurs personnes. Elle complète la fonctionnalité de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth » qui permet d’évaluer proximité entre deux ordiphones. La CNIL a considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée.
Elle relève en outre que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles, de nature à en assurer la proportionnalité :
- le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
- aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la COVID-19 ou à ceux transmis lors de l’interrogation du serveur central ;
- les données sont séparées de celles traitées dans le cadre du protocole ROBERT. Le protocole ROBERT est une contribution conjointe dans le cadre de l'initiative PEPP-PT (Pan European Privacy-Preserving Proximity Tracing), dont le but est de permettre le développement de solutions interopérables de suivi de contacts, respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie.
Néanmoins, la CNIL précise, dans son avis, qu’elle n’est pas pleinement en mesure d’apprécier la proportionnalité de la collecte de données envisagée dès lors que certains éléments, nécessaires à son analyse, n’ont pas encore été définis (liste précise des établissements recevant du public concernés, caractère obligatoire ou facultatif du dispositif pour les établissements, obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination).
La CNIL prend acte de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel) seraient mis à leur disposition par les responsables des établissements visés.
Par ailleurs, la CNIL recommande, d’une part, que le caractère obligatoire d’un tel dispositif d’enregistrement des visites soit, le cas échéant, limité aux seuls ERP présentant un risque élevé et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de culte, lieux de réunion syndicale, etc.). Des mesures sanitaires appropriées, complémentaires au dispositif des enquêtes sanitaires de droit commun, devraient ainsi être prévues afin de limiter suffisamment le risque de contamination.
L’avis de la CNIL sur la priorisation des cas contacts dans l’accès aux examens et tests de dépistage
La CNIL a estimé, dans son avis, qu’un tel dispositif ne saurait remettre en cause le caractère volontaire de l’utilisation de l’application dès lors que l’accès prioritaire aux examens et tests de dépistage ne sera pas réservé aux utilisateurs de l’application, mais ouvert à tous les « cas contacts ».
Elle recommande néanmoins de clarifier ce point dans l’information fournie, notamment dans l’application elle-même.
Dès les premiers pas de StopCovid, la CNIL a fait valoir que l’utilisation de l’application devrait rester sur la base du volontariat. En conséquence, il ne pourrait pas y avoir de différence de traitement, positif comme négatif, en fonction du téléchargement ou non de l’application par une personne. Un seul écart à noter à cette ligne éthique : la CNIL convenait en novembre 2020 qu’un restaurant pouvait offrir une promotion à ses clients ayant téléchargé TousAntiCovid.
Lors de la mise en place des cahiers de rappels dans les restaurants en octobre 2020, elle avait pris une position similaire, cette fois sur le recueil de données personnelles (prénom, nom, numéro de téléphone) possiblement papier, et non numérique.
Les « cahiers de rappel » : de quoi s’agit-il ? L’ouverture de certains établissements situés dans les zones d’alerte maximale dépend dorénavant du respect d’un protocole sanitaire renforcé. Il comprend notamment la tenue d’un « cahier de rappel » des clients, qui conditionnera leur accès à l’établissement. Ce « cahier » est destiné à collecter les coordonnées des clients présents dans le restaurant, la cafétéria ou l’établissement de restauration rapide, afin de les tenir à disposition des autorités de sanitaires en cas de contamination de l’un des clients.
Ce « cahier de rappel », qu’il s’agisse d’un registre / cahier « papier » ou non (ex. : formulaire en ligne, QR code, etc.), constitue un traitement de données personnelles soumis à la réglementation (RGPD et loi Informatique et Libertés).
Les établissements mettant en place ces « cahiers de rappel » doivent respecter les principes suivants :
- Collecter uniquement les données nécessaires : Pour les « cahiers de rappel », les données à collecter doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données.
- Limiter l’utilisation des données à la seule transmission aux autorités sanitaires : Les informations collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires en font la demande : agents des CPAM, de la CNAM, de l’ARS. Toute autre utilisation (ex. : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite.
- Informer les clients : Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données. Cette information doit être délivrée au moment de la collecte de ses données, et sous un format facilement accessible (ex. : une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.). Cette mention d’information doit être claire, précise et simple.
- Une durée de conservation limitée : Les données collectées dans le « cahier de rappel » devront être détruites au bout de 14 jours, conformément aux préconisations du ministère des Solidarités et de la Santé, quelle que soit leur modalité de collecte (formulaire papier, formulaire en ligne, QR code, etc.).
- Sécuriser les données : Le restaurateur devra assurer la confidentialité des données collectées sur ses clients : il ne s’agit pas que chacun ait accès aux coordonnées de l’ensemble des clients présents au même moment que lui !
La CNIL a estimé ceci : « Pour que le consentement recueilli soit valable, la personne doit disposer d’un choix réel sans avoir à subir de conséquences négatives en cas de refus. En pratique, cela signifie que le responsable de traitement ne peut pas refuser l’accès à son établissement, si la personne refuse de communiquer ses données ».
Avec le retour d’un dispositif de traçage dans les « établissements recevant du public » (ou « ERP »), l’autorité a décidé de modifier sa formulation : « La CNIL recommande d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données faisant l’objet d’une protection particulière (lieux de cultes notamment) »
Certains établissements pourraient donc être contraints de bloquer l’accès aux personnes qui refusent de participer au dispositif de traçage des contacts (qu’il soit fait grâce à un carnet papier ou une application). Ce serait une première en France depuis le début de la pandémie. Si obligation il y a, la CNIL souhaite qu’elle soit limitée aux « lieux les plus risqués ».
Quoi qu'il en soit, la CNIL a déjà annoncé qu'elle allait à nouveau prendre la parole sur le sujet : La CNIL a relevé que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation). Elle a reconnu l’intérêt du dispositif pour lutter contre l’épidémie de la COVID-19 et a souligné que l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues (liste précise des ERP concernés, caractère facultatif ou obligatoire du dispositif d’enregistrements des visites pour les établissements et les personnes concernées, etc.).
Sources : CNIL (1, 2), décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
Et vous ?
Quelle lecture en faites-vous ?