TousAntiCovid : la CNIL déplore (encore) la tentation du « solutionnisme technologique »

Un nouveau décret vient modifier le traitement TousAntiCovid. C'est le dixième qui lui a été consacré. Pour la CNIL, qui en est à sa huitième délibération à son sujet, il apporte « une modification importante, qui change la portée du traitement ». Et celle-ci de réitérer ses interrogations quant à l’efficacité du dispositif, tout en alertant sur « la tentation du "solutionnisme technologique". »

C’est la quatrième fois depuis sa délibération du 10 septembre 2020 que la CNIL réclame bruyamment du gouvernement la démonstration que le passe sanitaire et les autres traitements ne baignent pas dans un « solutionnisme technologique ».

Ainsi, « la Commission rappelle que la multiplication des dispositifs numériques mis en œuvre dans le cadre de la gestion de l'épidémie rend absolument nécessaire une évaluation quantifiée et objective de leur efficacité dans la contribution à la lutte contre la COVID-19, ce qu'elle a rappelé à de nombreuses reprises depuis le début de l'épidémie, afin de s'assurer que le recours à ces dispositifs prendra fin dès que cette nécessité aura disparu ».

Or, la Commission « regrette qu'à ce jour, les études et évaluations demandées de façon réitérée ne lui aient pas été transmises ».

• Le gouvernement prive la CNIL des moyens d’évaluer l’efficacité du passe sanitaire

Le nouveau décret, publié hier matin au JO, « complète les finalités du traitement pour permettre aux utilisateurs de l'application de stocker sur leur téléphone mobile les justificatifs relatifs au passe sanitaire et à l'obligation vaccinale et d'être informés de leur validité ou des recommandations sanitaires qui les concernent ».

Il précise les données traitées à cette fin, leur durée de conservation ainsi que les modalités d'information des utilisateurs sur ces fonctionnalités.

Une nouvelle finalité​, qui change la portée du traitement

Dans un communiqué, la CNIL précise s’être prononcée « en urgence », le 2 décembre, d’un projet de décret visant à « faire évoluer les conditions de mise en œuvre des traitements de données de l'application TousAntiCovid ».

Il s’agit notamment de « permettre l’utilisation des données contenues dans le passe sanitaire, lorsque l’utilisateur l’a enregistré dans l’application, afin d’afficher aux utilisateurs des recommandations sanitaires personnalisées ou de les informer des mesures à prendre afin de bénéficier d’un passe sanitaire valide ».

En clair, permettre l’utilisation des données contenues dans les certificats composant le passe sanitaire afin d’afficher aux utilisateurs :

• des recommandations sanitaires ciblées (par exemple, l’attitude à tenir pour les personnes ayant intégré le résultat positif d’un examen de dépistage à la COVID-19) ;
• l’information sur les mesures à prendre afin de bénéficier d’un passe sanitaire valide (par exemple, en informant les personnes adultes de la nécessité d’une troisième dose afin de bénéficier d’un schéma vaccinal complet).

Dans son avis, elle précise que ces recommandations et mesures « doivent permettre d'améliorer la pédagogie sur les conduites à tenir, dont certaines auront un impact direct sur la validité des certificats (par exemple, en informant les personnes adultes de la nécessité d'une troisième dose afin de bénéficier d'un schéma vaccinal complet), et ce dans l'objectif de limiter la propagation du virus ».

Le projet, relève la CNIL, crée dès lors « une nouvelle finalité » au traitement mis en œuvre dans le cadre de l'application « TousAntiCovid » : 

« Celle-ci vise trois objectifs : le stockage des certificats composant le passe sanitaire, l'information des utilisateurs quant à la validité de leurs justificatifs et l'affichage de recommandations sanitaires ciblées et, le cas échéant, de mesures à prendre afin de bénéficier d'un passe sanitaire valide. »

La Commission souligne qu'il s'agit d'« une modification importante, qui change la portée du traitement ».

En effet, jusqu'ici le ministère se contentait de mettre à disposition des personnes, via la fonctionnalité « carnet », un outil numérique permettant un stockage local et une présentation aisée du passe sanitaire sans que les données figurant dans les codes QR fassent l'objet d'un traitement dans l'application « TousAntiCovid » relevant de sa responsabilité. 

Le traitement de ces données, qui constituent notamment des données sensibles, intervient pour le compte du ministère : « il s'agit de lire, en local sur le terminal de l'utilisateur, les données des certificats, à des fins déterminées par le ministère, à savoir, l'affichage de notifications sanitaires personnalisées ». Ceci dit, la Commission estime que cette finalité, qui répond à un motif important d'intérêt public, est légitime.

Quid du droit d'opposition ?

Dans son communiqué, la CNIL souligne (en gras) que « cette utilisation de données constitue un changement important de la fonctionnalité “Carnet” de l’application TousAntiCovid qui ne permettait, jusqu’à présent, que le stockage du passe sanitaire ».

Elle relève également que le fonctionnement apporte plusieurs garanties de nature à en assurer la proportionnalité :

• les données nominatives (nom, prénoms) doivent uniquement permettre de détecter quels certificats sont concernés par la recommandation ciblée lorsque l’utilisateur a intégré plusieurs certificats (famille, proches, etc.) au sein de l’application ;
• la lecture des données du passe sanitaire se fera sur le terminal de l’utilisateur sans qu’aucune donnée ne soit collectée, à cette fin, en dehors de l’application ;
• les données ne seront pas associées avec d’autres traitements de données, notamment ceux mis en œuvre dans le cadre des différentes fonctionnalités de l’application.

La CNIL souligne (toujours en gras) que « des garanties importantes ont été apportées », à mesure que « les données sont lues uniquement en local, sur le terminal de l’utilisateur, afin d’afficher des recommandations personnalisées et ne sont pas associées avec d’autres traitements de données ».

De plus, « les personnes doivent être informées pour l’affichage de notifications sanitaires personnalisées et pouvoir s’opposer à ce que leurs données soient utilisées pour ces nouvelles fonctionnalités. Le ministère de la Santé devra s’assurer de l’effectivité de ce droit ».

Dans son avis, elle « insiste sur la nécessité, pour le ministère, d'informer les personnes sur la possibilité de s'opposer au traitement de leurs données à ces fins et d'assurer l'effectivité de ce droit, conformément à l'article 21 du RGPD ».

À défaut de pouvoir consulter le projet de décret tel qu’il avait été soumis à la CNIL, nous n'avons pu comparer l'avis de la CNIL, comme nous l’avions déjà déploré dans notre article sur le FNAEG, qu'au seul décret tel qu'il a finalement été publié au JO.

• Extension du domaine du fichage (policier) génétique

En l'espèce, le gouvernement n'a de nouveau pas vraiment suivi l’avis de la CNIL. Il ne fait nullement mention du droit d’opposition, se bornant à préciser qu’« une information spécifique est mise à leur disposition concernant les modalités de traitement des données mis en œuvre aux fins d'assurer l'information ciblée », sans plus de précisions.

Un article est cela dit rajouté pour préciser que « les données et justificatifs [relatifs au passe sanitaire] peuvent être supprimés à tout moment par les personnes utilisatrices de l'application ».

De plus, et en l’état, la page consacrée aux données personnelles traitées par TousAntiCovid se borne à rappeler que « les droits d’accès, de rectification et de limitation ne peuvent s’exercer car les données traitées sont pseudonymisées afin d’éviter toute réidentification des personnes ».

Des « données anonymes » aux « données pseudonymisées »

Ses utilisateurs peuvent cela dit et « à tout moment exercer [leur] droit d’opposition à l’élaboration de statistiques anonymes en les désactivant dans les paramètres de l'application TousAntiCovid ».

La Commission prend acte des précisions du ministère selon lesquelles la réalisation des analyses statistiques prévoit désormais le traitement de « données pseudonymisées » en lieu et place de « données anonymes », mais également que « le traitement de données mis en œuvre pour lesdites analyses n'implique pas la remontée d'informations sur l'un de ces serveurs », ce qui ne lui pose donc pas de problème particulier.

L’article qui expliquait que « les données permettant l'identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement » est ainsi modifié pour y préciser « dans le cadre d’un des serveurs centraux du traitement ».

Le décret modifie par ailleurs la durée de validité des tests permettant de bénéficier du passe sanitaire, « qui passe de 72 heures à 24 heures ». Le journaliste Léo Caravagna relève par ailleurs sur Twitter que TousAntiCovid est prolongé de 7 mois, jusqu’au 31 juillet 2022.

Une réforme adoptée par le Parlement dans le cadre de la toute récente loi sur la Vigilance sanitaire, publiée au JO. Notre confrère note en outre que le décret est complété d’un nouvel article qui dispose que « le présent décret peut être modifié par décret ».

10. le décret de mai, qui vient d'être modifié par décret, peut désormais être modifié par décret !♻️

— Léo Caravagna (@LeoCaravagna) December 8, 2021