La CNIL a rendu sa Délibération n° 2021-143 du 2 décembre 2021 portant avis sur un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « TousAntiCovid ».  Le traitement « TousAntiCovid », initialement mis en œuvre jusqu’au 31 décembre 2021, sera prolongé jusqu’au 31 juillet 2022.

Principales évolutions envisagées

Les principales évolutions envisagées visent à permettre le traitement des données contenues dans les certificats composant le passe sanitaire afin d’afficher aux utilisateurs des recommandations sanitaires ciblées et, le cas échéant, des mesures à prendre afin de bénéficier d’un passe sanitaire valide. Ces recommandations et mesures doivent permettre d’améliorer la pédagogie sur les conduites à tenir, dont certaines auront un impact direct sur la validité des certificats (par exemple, en informant les personnes adultes de la nécessité d’une troisième dose afin de bénéficier d’un schéma vaccinal complet), et ce dans l’objectif de limiter la propagation du virus.

Les données seront traitées uniquement en local dans le terminal de l’utilisateur. Par ailleurs, les personnes concernées devront être informées de ces nouvelles fonctionnalités et pouvoir exercer leur droit d’opposition au traitement de leurs données pour ces nouvelles finalités.

Nouvelles finalités de TousAntiCovid

Le projet crée une nouvelle finalité au traitement mis en œuvre dans le cadre de l’application TousAntiCovid . Celle-ci vise trois objectifs : le stockage des certificats composant le passe sanitaire, l’information des utilisateurs quant à la validité de leurs justificatifs et l’affichage de recommandations sanitaires ciblées et, le cas échéant, de mesures à prendre afin de bénéficier d’un passe sanitaire valide.

L’ensemble des données contenues dans le passe sanitaire et le statut des certificats feront désormais l’objet d’un traitement de données. Jusqu’ici le ministère se contentait de mettre à disposition des personnes, via la fonctionnalité carnet , un outil numérique permettant un stockage local et une présentation aisée du passe sanitaire sans que les données figurant dans les codes QR fassent l’objet d’un traitement dans l’application TousAntiCovid relevant de sa responsabilité.

Le traitement de ces données, qui constituent notamment des données sensibles, intervient pour le compte du ministère : il s’agit de lire, en local sur le terminal de l’utilisateur, les données des certificats, à des fins déterminées par le ministère, à savoir, l’affichage de notifications sanitaires personnalisées. La Commission estime que cette finalité, qui répond à un motif important d’intérêt public, est légitime.

Information et opposition des personnes

La CNIL a insisté sur la nécessité, pour le ministère, d’informer les personnes sur la possibilité de s’opposer au traitement de leurs données à ces fins et d’assurer l’effectivité de ce droit, conformément à l’article 21 du RGPD.

S’agissant de l’information des personnes relative à la validité des certificats composant le passe sanitaire, le projet de décret prévoit notamment l’information des personnes quant à la validité des certificats. Le statut (valide ou révoqué) associé aux codes QR fera l’objet d’un traitement.

La validité des certificats se rattache au traitement mis en œuvre à des fins de lutte contre la fraude, sur laquelle la CNIL s’est déjà prononcée dans le cadre de la délibération n° 2021-103 du 9 septembre 2021.

_________________________________

CNIL, Délibération du 2 décembre 2021, n° 2021-143

La Commission nationale de l’informatique et des libertés,

Saisie par le ministre des solidarités et de la santé d’une demande d’avis relative au projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé TousAntiCovid ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la loi n° 2021-1465 du 10 novembre 2021 portant diverses dispositions de vigilance sanitaire ;

Vu le décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé TousAntiCovid ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission nationale de l’informatique et des libertés (ci-après la Commission ) a été saisie en urgence, le 16 novembre 2021, par le ministre des solidarités et de la santé, puis le 24 novembre 2021 par saisine rectificative, d’une demande d’avis relative à un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé TousAntiCovid .

Pour rappel, ce traitement se présente sous la forme d’une application mobile comprenant plusieurs fonctionnalités qui reposent, le cas échéant, sur des traitements de données poursuivant des finalités distinctes et dont les modalités de mise en œuvre sont propres à chacune d’entre elles. En particulier, elle permet une information des personnes lorsqu’elles présentent un risque d’avoir été contaminées à la COVID-19, soit en raison d’un contact avec une personne contaminée qui s’est déclarée comme telle dans l’application, soit en raison de la fréquentation de lieux sur la même plage horaire qu’une ou plusieurs personnes ultérieurement diagnostiquées positives à la COVID-19. Elle permet également, à partir d’informations renseignées ou intégrées par l’utilisateur, la génération et le stockage de certains justificatifs ou certificats officiels, notamment le passe sanitaire mis en place pour la gestion de la crise sanitaire.

La saisine s’inscrit, dans le cadre de l’évolution de la stratégie de lutte contre la COVID-19. Tout d’abord, l’adoption de la loi n° 2021-1465 du 10 novembre 2021, portant diverses dispositions de vigilance sanitaire, a pour effet de prolonger l’usage du passe sanitaire jusqu’au 31 juillet 2022. Ensuite, le gouvernement a récemment annoncé des évolutions, d’une part, quant à la campagne de vaccination qui prévoit la nécessité, pour certaines catégories de personnes, d’effectuer un rappel afin de bénéficier d’un schéma vaccinal complet et, d’autre part, une modification de la durée de validité des tests permettant de bénéficier du passe sanitaire, qui passe de 72 heures à 24 heures.

Dans ce contexte, les principales évolutions envisagées visent à permettre le traitement des données contenues dans les certificats composant le passe sanitaire afin d’afficher aux utilisateurs des recommandations sanitaires ciblées et, le cas échéant, des mesures à prendre afin de bénéficier d’un passe sanitaire valide. Ces recommandations et mesures doivent permettre d’améliorer la pédagogie sur les conduites à tenir, dont certaines auront un impact direct sur la validité des certificats (par exemple, en informant les personnes adultes de la nécessité d’une troisième dose afin de bénéficier d’un schéma vaccinal complet), et ce dans l’objectif de limiter la propagation du virus. A cet égard, la Commission prend acte de ce que les données seront traitées uniquement en local dans le terminal de l’utilisateur. Par ailleurs, elle rappelle que les personnes concernées doivent être informées de ces nouvelles fonctionnalités et pouvoir exercer leur droit d’opposition au traitement de leurs données pour ces nouvelles finalités.

Sur l’affichage de recommandations sanitaires ciblées et de mesures à prendre afin de bénéficier d’un passe sanitaire valide

Le projet prévoit l’ajout d’un 9° au II de l’article 1er du décret afin de créer une nouvelle finalité au traitement mis en œuvre dans le cadre de l’application TousAntiCovid . Celle-ci vise trois objectifs : le stockage des certificats composant le passe sanitaire, l’information des utilisateurs quant à la validité de leurs justificatifs et l’affichage de recommandations sanitaires ciblées et, le cas échéant, de mesures à prendre afin de bénéficier d’un passe sanitaire valide. A cet égard, le 14° du II de l’article 2, tel que modifié par le projet de décret, indique que l’ensemble des données contenues dans le passe sanitaire et le statut des certificats feront l’objet d’un traitement de données.

La Commission souligne qu’il s’agit d’une modification importante, qui change la portée du traitement. En effet, jusqu’ici le ministère se contentait de mettre à disposition des personnes, via la fonctionnalité carnet , un outil numérique permettant un stockage local et une présentation aisée du passe sanitaire sans que les données figurant dans les codes QR fassent l’objet d’un traitement dans l’application TousAntiCovid relevant de sa responsabilité. Le traitement de ces données, qui constituent notamment des données sensibles, intervient pour le compte du ministère : il s’agit de lire, en local sur le terminal de l’utilisateur, les données des certificats, à des fins déterminées par le ministère, à savoir, l’affichage de notifications sanitaires personnalisées. La Commission estime que cette finalité, qui répond à un motif important d’intérêt public, est légitime.

Les modalités du traitement appellent les observations suivantes.

S’agissant des données traitées à fins de recommandations sanitaires ciblées et de mesures à prendre afin de bénéficier d’un passe sanitaire valide

En premier lieu, la Commission relève que l’affichage des recommandations ciblées et des mesures à prendre afin de bénéficier d’un passe sanitaire valide implique le traitement de données nominatives (nom, prénoms). Elle prend acte des précisions du ministère selon lesquelles un tel traitement doit uniquement permettre de détecter et de préciser quels certificats sont concernés par la recommandation ciblée et si l’utilisateur a intégré plusieurs certificats de vaccination (famille, proches, etc.) au sein de l’application.

La Commission estime que les données à caractère personnel traitées dans le cadre de l’affichage des recommandations ciblées et des mesures ci-dessus mentionnées n’appellent pas d’observations complémentaires.

En deuxième lieu, la Commission constate que le 14° du I de l’article 2, tel que modifié par le projet de décret, précise que toutes les données figurant sur les certificats du passe sanitaire ne font l’objet d’aucun traitement sur les serveurs centraux de l’application (les serveurs dénommés ROBERT et Cléa ). Le ministère a confirmé que le traitement de données considéré dans le cadre de l’affichage des recommandations ciblées et de mesures à prendre afin de bénéficier d’un passe sanitaire valide s’effectuerait donc localement, sur le terminal de l’utilisateur, et qu’aucun recoupement de données n’est envisagé avec d’autres traitements de données, notamment ceux mis en œuvre dans le cadre des autres fonctionnalités de l’application.

Elle considère que ce fonctionnement apporte des garanties substantielles au dispositif, de nature à en assurer la proportionnalité.

S’agissant de l’information des personnes et l’exercice du droit d’opposition

L’alinéa 2 de l’article 4, tel que modifié par le projet de décret, prévoit une information spécifique des utilisateurs de l’application concernant les modalités du traitement mis en œuvre aux fins de l’affichage de recommandations ciblées et de mesures à prendre afin de bénéficier d’un passe sanitaire valide et ce, conformément à l’article 13 du règlement général sur la protection des données (RGPD).

La Commission insiste sur la nécessité, pour le ministère, d’informer les personnes sur la possibilité de s’opposer au traitement de leurs données à ces fins et d’assurer l’effectivité de ce droit, conformément à l’article 21 du RGPD.

Sur les autres modifications apportées au décret n° 2020-650 du 29 mai 2020

S’agissant de la prolongation de la durée du traitement

Le premier alinéa de l’article 3 tel que modifié par le projet de décret prévoit désormais que le traitement, initialement mis en œuvre jusqu’au 31 décembre 2021, sera prolongé jusqu’au 31 juillet 2022.

La Commission relève que la durée de mise en œuvre est cohérente avec celle prévue, d’une part, pour les traitements Contact Covid et SI-DEP et, d’autre part, pour l’obligation de présentation du passe sanitaire pour certains déplacements et activités conformément à la loi n° 2021-1465 du 10 novembre 2021 portant diverses dispositions de vigilance sanitaire, l’application n’ayant d’utilité qu’en lien avec la stratégie sanitaire globale.

Toutefois, elle réitère ses alertes afin qu’une vigilance particulière soit accordée vis-à-vis de la tentation du solutionnisme technologique . A cet égard, la Commission rappelle que la multiplication des dispositifs numériques mis en œuvre dans le cadre de la gestion de l’épidémie rend absolument nécessaire une évaluation quantifiée et objective de leur efficacité dans la contribution à la lutte contre la COVID-19, ce qu’elle a rappelé à de nombreuses reprises depuis le début de l’épidémie, afin de s’assurer que le recours à ces dispositifs prendra fin dès que cette nécessité aura disparu.

La Commission regrette qu’à ce jour, les études et évaluations demandées de façon réitérée ne lui aient pas été transmises.

S’agissant de la prise en charge des personnes identifiées comme cas contact dans l’application TousAntiCovid

A titre liminaire, la Commission rappelle que l’application TousAntiCovid a initialement été conçue pour informer ses utilisateurs en cas d’exposition à la COVID- 19 :

La fonctionnalité de suivi des contacts via la technologie Bluetooth vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes disposant de la même application et diagnostiquées positives à la COVID-19, cette proximité induisant un risque de contamination ;

Le dispositif numérique d’enregistrement des visites dans certains établissements recevant du public, via la mise à disposition par les responsables de ces lieux de codes QR que les personnes sont invitées à scanner, permet de faciliter l’alerte des personnes les ayant fréquentés en même temps qu’une ou plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la COVID-19.

Ces traitements de données reposent tous deux, d’une part, sur la collecte de données à caractère personnel en local sur le terminal de l’utilisateur (notamment une liste de pseudonymes temporaires dans le premier cas et la liste des codes QR scannés des lieux visités dans le second) et, d’autre part, sur l’envoi de ces données sur des serveurs centraux distincts (les serveurs ROBERT et Cléa ) lorsqu’un utilisateur se déclare positif dans l’application.

Le projet prévoit de modifier le 6° du II de l’article 1er du décret afin de préciser quelles personnes identifiées comme contact à risque de contamination via les deux fonctionnalités de l’application rappelées ci-dessus bénéficieront de tout droit, prestation ou service ouvert […] aux personnes identifiées comme cas contact mentionnées au IV de l’article 11 de la loi n° 2020-546 du 11 mai 2020.

La Commission prend acte des précisions apportées par le ministère selon lesquelles la modification du décret TousAntiCovid a pour objectif d’assurer une égalité de traitement entre toutes les personnes identifiées comme contact à risque de contamination, quel que soit le mode d’identification – par les enquêteurs sanitaires ou via l’application mobile – notamment dans le cadre de la prise en charge des tests de dépistage sans prescription médicale, tel que prévu par l’article 24 de l’arrêté du 1er juin 2021 modifié prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire.

Ces modifications n’appellent pas d’observations particulières.

S’agissant de la génération des justificatifs requis par les autorités publiques

A titre liminaire, la Commission rappelle que l’application TousAntiCovid permet aux personnes utilisatrices de l’application de stocker, localement sur le terminal de l’utilisateur, des données à caractère personnel en vue de générer des justificatifs requis par les autorités publiques. Pour ce faire, des données telles que le nom, les prénoms et l’adresse sont enregistrées par l’utilisateur sur le terminal, pour ne pas avoir à être renseignées à chaque génération d’un nouveau justificatif. Jusqu’à ce jour, seule l’attestation de déplacement dérogatoire avait été intégrée durant les périodes de confinement et celles au cours desquelles un couvre-feu avait été instauré.

Le 13° du I de l’article 2 du décret, tel que modifié par le projet, prévoit le stockage des données renseignées par l’utilisateur, afin de générer un code QR lui permettant de disposer de tout justificatif requis par les autorités publiques, au-delà de la seule attestation de déplacement dérogatoire initialement visée (par exemple, la déclaration sur l’honneur attestant d’une absence de symptôme d’infection à la COVID-19).

La Commission prend acte des précisions du ministère selon lesquelles, au même titre que l’attestation de déplacement dérogatoire, le traitement des données pertinentes sera effectué uniquement en local, sur le terminal de l’utilisateur.

Ces modifications n’appellent pas d’observations particulières.

S’agissant de l’information des personnes relative à la validité des certificats composant le passe sanitaire

Le 9° du II de l’article 1er du décret, tel que créé par le projet, prévoit notamment l’information des personnes quant à la validité des certificats. Le 14° du II de l’article 2 précise, à cet égard, que le statut (valide ou révoqué) associé aux codes QR fera l’objet d’un traitement.

Le ministère a précisé que la validité des certificats se rattache au traitement mis en œuvre à des fins de lutte contre la fraude, sur laquelle la Commission s’est prononcée dans le cadre de la délibération n° 2021-103 du 9 septembre 2021.

S’agissant de l’absence de remontée des identifiants au sein des serveurs centraux de l’application TousAntiCovid

Le premier alinéa du II de l’article 2 du décret est modifié afin de rappeler que les données permettant l’identification des personnes concernées et de leur terminal, ne peuvent être collectées ni enregistrées dans le cadre d’un des serveurs centraux du traitement .

Il ressort des échanges avec le ministère que ces dispositions font référence aux serveurs centraux de l’application, dénommés ROBERT et Cléa et visés au troisième alinéa du I de l’article 1er du décret.

La Commission prend acte des précisions du ministère selon lesquelles la réalisation des analyses statistiques, pour laquelle le 4° du II de l’article 1 modifié prévoit désormais le traitement de données pseudonymisées en lieu et place de données anonymes, ne remet pas en cause les dispositions ci-dessus mentionnées. En effet, le traitement de données mis en œuvre pour lesdites analyses n’implique pas la remontée d’informations sur l’un de ces serveurs.

La Présidente

Marie-Laure DENIS

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*