🟩 DĂ©libĂ©ration CNIL du 2 dĂ©cembre 2021 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret du 29 mai 2020 relatif au traitement de donnĂ©es dĂ©nommĂ© « TousAntiCovid »

Références

NOR : CNIX2136704V
Source : JORF n°0285 du 8 décembre 2021, texte n° 144

En-tĂȘte

La Commission nationale de l’informatique et des libertĂ©s,
Saisie par le ministre des solidaritĂ©s et de la santĂ© d’une demande d’avis relative au projet de dĂ©cret modifiant le dĂ©cret n° 2020-650 du 29 mai 2020 relatif au traitement de donnĂ©es dĂ©nommĂ© « TousAntiCovid » ;
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu la loi n° 2021-1465 du 10 novembre 2021 portant diverses dispositions de vigilance sanitaire ;
Vu le décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « TousAntiCovid » ;

AprÚs avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Avis

La Commission nationale de l’informatique et des libertĂ©s (ci-aprĂšs « la Commission ») a Ă©tĂ© saisie en urgence, le 16 novembre 2021, par le ministre des solidaritĂ©s et de la santĂ©, puis le 24 novembre 2021 par saisine rectificative, d’une demande d’avis relative Ă  un projet de dĂ©cret modifiant le dĂ©cret n° 2020-650 du 29 mai 2020 relatif au traitement de donnĂ©es dĂ©nommĂ© « TousAntiCovid ».

Pour rappel, ce traitement se prĂ©sente sous la forme d’une application mobile comprenant plusieurs fonctionnalitĂ©s qui reposent, le cas Ă©chĂ©ant, sur des traitements de donnĂ©es poursuivant des finalitĂ©s distinctes et dont les modalitĂ©s de mise en Ɠuvre sont propres Ă  chacune d’entre elles. En particulier, elle permet une information des personnes lorsqu’elles prĂ©sentent un risque d’avoir Ă©tĂ© contaminĂ©es Ă  la COVID-19, soit en raison d’un contact avec une personne contaminĂ©e qui s’est dĂ©clarĂ©e comme telle dans l’application, soit en raison de la frĂ©quentation de lieux sur la mĂȘme plage horaire qu’une ou plusieurs personnes ultĂ©rieurement diagnostiquĂ©es positives Ă  la COVID-19. Elle permet Ă©galement, Ă  partir d’informations renseignĂ©es ou intĂ©grĂ©es par l’utilisateur, la gĂ©nĂ©ration et le stockage de certains justificatifs ou certificats officiels, notamment le passe sanitaire mis en place pour la gestion de la crise sanitaire.

La saisine s’inscrit, dans le cadre de l’Ă©volution de la stratĂ©gie de lutte contre la COVID-19. Tout d’abord, l’adoption de la loi n° 2021-1465 du 10 novembre 2021 portant diverses dispositions de vigilance sanitaire a pour effet de prolonger l’usage du passe sanitaire jusqu’au 31 juillet 2022. Ensuite, le Gouvernement a rĂ©cemment annoncĂ© des Ă©volutions, d’une part, quant Ă  la campagne de vaccination qui prĂ©voit la nĂ©cessitĂ©, pour certaines catĂ©gories de personnes, d’effectuer un rappel afin de bĂ©nĂ©ficier d’un schĂ©ma vaccinal complet et, d’autre part, une modification de la durĂ©e de validitĂ© des tests permettant de bĂ©nĂ©ficier du passe sanitaire, qui passe de 72 heures Ă  24 heures.

Dans ce contexte, les principales Ă©volutions envisagĂ©es visent Ă  permettre le traitement des donnĂ©es contenues dans les certificats composant le passe sanitaire afin d’afficher aux utilisateurs des recommandations sanitaires ciblĂ©es et, le cas Ă©chĂ©ant, des mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide. Ces recommandations et mesures doivent permettre d’amĂ©liorer la pĂ©dagogie sur les conduites Ă  tenir, dont certaines auront un impact direct sur la validitĂ© des certificats (par exemple, en informant les personnes adultes de la nĂ©cessitĂ© d’une troisiĂšme dose afin de bĂ©nĂ©ficier d’un schĂ©ma vaccinal complet), et ce dans l’objectif de limiter la propagation du virus. A cet Ă©gard, la

Commission prend acte de ce que les donnĂ©es seront traitĂ©es uniquement en local dans le terminal de l’utilisateur. Par ailleurs, elle rappelle que les personnes concernĂ©es doivent ĂȘtre informĂ©es de ces nouvelles fonctionnalitĂ©s et pouvoir exercer leur droit d’opposition au traitement de leurs donnĂ©es pour ces nouvelles finalitĂ©s.

Sur l’affichage de recommandations sanitaires ciblĂ©es et de mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide :

Le projet prĂ©voit l’ajout d’un 9° au II de l’article 1er du dĂ©cret afin de crĂ©er une nouvelle finalitĂ© au traitement mis en Ɠuvre dans le cadre de l’application « TousAntiCovid ». Celle-ci vise trois objectifs : le stockage des certificats composant le passe sanitaire, l’information des utilisateurs quant Ă  la validitĂ© de leurs justificatifs et l’affichage de recommandations sanitaires ciblĂ©es et, le cas Ă©chĂ©ant, de mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide. A cet Ă©gard, le 14° du II de l’article 2, tel que modifiĂ© par le projet de dĂ©cret, indique que l’ensemble des donnĂ©es contenues dans le passe sanitaire et le statut des certificats feront l’objet d’un traitement de donnĂ©es.

La Commission souligne qu’il s’agit d’une modification importante, qui change la portĂ©e du traitement. En effet, jusqu’ici le ministĂšre se contentait de mettre Ă  disposition des personnes, via la fonctionnalitĂ© « carnet », un outil numĂ©rique permettant un stockage local et une prĂ©sentation aisĂ©e du passe sanitaire sans que les donnĂ©es figurant dans les codes QR fassent l’objet d’un traitement dans l’application « TousAntiCovid » relevant de sa responsabilitĂ©. Le traitement de ces donnĂ©es, qui constituent notamment des donnĂ©es sensibles, intervient pour le compte du ministĂšre : il s’agit de lire, en local sur le terminal de l’utilisateur, les donnĂ©es des certificats, Ă  des fins dĂ©terminĂ©es par le ministĂšre, Ă  savoir, l’affichage de notifications sanitaires personnalisĂ©es. La Commission estime que cette finalitĂ©, qui rĂ©pond Ă  un motif important d’intĂ©rĂȘt public, est lĂ©gitime.

Les modalités du traitement appellent les observations suivantes.

S’agissant des donnĂ©es traitĂ©es Ă  fins de recommandations sanitaires ciblĂ©es et de mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide

En premier lieu, la Commission relĂšve que l’affichage des recommandations ciblĂ©es et des mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide implique le traitement de donnĂ©es nominatives (nom, prĂ©noms). Elle prend acte des prĂ©cisions du ministĂšre selon lesquelles un tel traitement doit uniquement permettre de dĂ©tecter et de prĂ©ciser quels certificats sont concernĂ©s par la recommandation ciblĂ©e et si l’utilisateur a intĂ©grĂ© plusieurs certificats de vaccination (famille, proches, etc.) au sein de l’application.

La Commission estime que les donnĂ©es Ă  caractĂšre personnel traitĂ©es dans le cadre de l’affichage des recommandations ciblĂ©es et des mesures ci-dessus mentionnĂ©es n’appellent pas d’observations complĂ©mentaires.

En deuxiĂšme lieu, la Commission constate que le 14° du I de l’article 2, tel que modifiĂ© par le projet de dĂ©cret, prĂ©cise que toutes les donnĂ©es figurant sur les certificats du passe sanitaire ne font l’objet d’aucun traitement sur les serveurs centraux de l’application (les serveurs dĂ©nommĂ©s « ROBERT » et « ClĂ©a »). Le ministĂšre a confirmĂ© que le traitement de donnĂ©es considĂ©rĂ© dans le cadre de l’affichage des recommandations ciblĂ©es et de mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide s’effectuerait donc localement, sur le terminal de l’utilisateur, et qu’aucun recoupement de donnĂ©es n’est envisagĂ© avec d’autres traitements de donnĂ©es, notamment ceux mis en Ɠuvre dans le cadre des autres fonctionnalitĂ©s de l’application.

Elle considÚre que ce fonctionnement apporte des garanties substantielles au dispositif, de nature à en assurer la proportionnalité.

S’agissant de l’information des personnes et l’exercice du droit d’opposition

L’alinĂ©a 2 de l’article 4, tel que modifiĂ© par le projet de dĂ©cret, prĂ©voit une information spĂ©cifique des utilisateurs de l’application concernant les modalitĂ©s du traitement mis en Ɠuvre aux fins de l’affichage de recommandations ciblĂ©es et de mesures Ă  prendre afin de bĂ©nĂ©ficier d’un passe sanitaire valide et ce, conformĂ©ment Ă  l’article 13 du rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD).

La Commission insiste sur la nĂ©cessitĂ©, pour le ministĂšre, d’informer les personnes sur la possibilitĂ© de s’opposer au traitement de leurs donnĂ©es Ă  ces fins et d’assurer l’effectivitĂ© de ce droit, conformĂ©ment Ă  l’article 21 du RGPD.

Sur les autres modifications apportées au décret n° 2020-650 du 29 mai 2020 :

S’agissant de la prolongation de la durĂ©e du traitement

Le premier alinĂ©a de l’article 3 tel que modifiĂ© par le projet de dĂ©cret prĂ©voit dĂ©sormais que le traitement, initialement mis en Ɠuvre jusqu’au 31 dĂ©cembre 2021, sera prolongĂ© jusqu’au 31 juillet 2022.

La Commission relĂšve que la durĂ©e de mise en Ɠuvre est cohĂ©rente avec celle prĂ©vue, d’une part, pour les traitements « Contact Covid » et « SI-DEP » et, d’autre part, pour l’obligation de prĂ©sentation du passe sanitaire pour certains dĂ©placements et activitĂ©s conformĂ©ment Ă  la loi n° 2021-1465 du 10 novembre 2021 portant diverses dispositions de vigilance sanitaire, l’application n’ayant d’utilitĂ© qu’en lien avec la stratĂ©gie sanitaire globale.

Toutefois, elle rĂ©itĂšre ses alertes afin qu’une vigilance particuliĂšre soit accordĂ©e vis-Ă -vis de la tentation du « solutionnisme technologique ». A cet Ă©gard, la Commission rappelle que la multiplication des dispositifs numĂ©riques mis en Ɠuvre dans le cadre de la gestion de l’Ă©pidĂ©mie rend absolument nĂ©cessaire une Ă©valuation quantifiĂ©e et objective de leur efficacitĂ© dans la contribution Ă  la lutte contre la COVID-19, ce qu’elle a rappelĂ© Ă  de nombreuses reprises depuis le dĂ©but de l’Ă©pidĂ©mie, afin de s’assurer que le recours Ă  ces dispositifs prendra fin dĂšs que cette nĂ©cessitĂ© aura disparu.

La Commission regrette qu’Ă  ce jour, les Ă©tudes et Ă©valuations demandĂ©es de façon rĂ©itĂ©rĂ©e ne lui aient pas Ă©tĂ© transmises.

S’agissant de la prise en charge des personnes identifiĂ©es comme cas contact dans l’application « TousAntiCovid »

A titre liminaire, la Commission rappelle que l’application « TousAntiCovid » a initialement Ă©tĂ© conçue pour informer ses utilisateurs en cas d’exposition Ă  la COVID- 19 :
– la fonctionnalitĂ© de suivi des contacts via la technologie Bluetooth vise Ă  informer les personnes utilisatrices qu’elles ont Ă©tĂ© Ă  proximitĂ© de personnes disposant de la mĂȘme application et diagnostiquĂ©es positives Ă  la COVID-19, cette proximitĂ© induisant un risque de contamination ;
– le dispositif numĂ©rique d’enregistrement des visites dans certains Ă©tablissements recevant du public, via la mise Ă  disposition par les responsables de ces lieux de codes QR que les personnes sont invitĂ©es Ă  scanner, permet de faciliter l’alerte des personnes les ayant frĂ©quentĂ©s en mĂȘme temps qu’une ou plusieurs personnes ultĂ©rieurement dĂ©pistĂ©es ou diagnostiquĂ©es positives Ă  la COVID-19.

Ces traitements de donnĂ©es reposent tous deux, d’une part, sur la collecte de donnĂ©es Ă  caractĂšre personnel en local sur le terminal de l’utilisateur (notamment une liste de pseudonymes temporaires dans le premier cas et la liste des codes QR scannĂ©s des lieux visitĂ©s dans le second) et, d’autre part, sur l’envoi de ces donnĂ©es sur des serveurs centraux distincts (les serveurs « ROBERT » et « ClĂ©a ») lorsqu’un utilisateur se dĂ©clare positif dans l’application.

Le projet prĂ©voit de modifier le 6° du II de l’article 1er du dĂ©cret afin de prĂ©ciser queles personnes identifiĂ©es comme « contact Ă  risque de contamination » via les deux fonctionnalitĂ©s de l’application rappelĂ©es ci-dessus bĂ©nĂ©ficieront de « tout droit, prestation ou service ouvert [
] » aux personnes identifiĂ©es comme cas contact mentionnĂ©es au IV de l’article 11 de la loi n° 2020-546 du 11 mai 2020.

La Commission prend acte des prĂ©cisions apportĂ©es par le ministĂšre selon lesquelles la modification du dĂ©cret « TousAntiCovid » a pour objectif d’assurer une Ă©galitĂ© de traitement entre toutes les personnes identifiĂ©es comme contact Ă  risque de contamination, quel que soit le mode d’identification – par les enquĂȘteurs sanitaires ou via l’application mobile – notamment dans le cadre de la prise en charge des tests de dĂ©pistage sans prescription mĂ©dicale, tel que prĂ©vu par l’article 24 de l’arrĂȘtĂ© du 1er juin 2021 modifiĂ© prescrivant les mesures gĂ©nĂ©rales nĂ©cessaires Ă  la gestion de la sortie de crise sanitaire.

Ces modifications n’appellent pas d’observations particuliĂšres.

S’agissant de la gĂ©nĂ©ration des justificatifs requis par les autoritĂ©s publiques

A titre liminaire, la Commission rappelle que l’application « TousAntiCovid » permet aux personnes utilisatrices de l’application de stocker, localement sur le terminal de l’utilisateur, des donnĂ©es Ă  caractĂšre personnel en vue de gĂ©nĂ©rer des justificatifs requis par les autoritĂ©s publiques. Pour ce faire, des donnĂ©es telles que le nom, les prĂ©noms et l’adresse sont enregistrĂ©es par l’utilisateur sur le terminal, pour ne pas avoir Ă  ĂȘtre renseignĂ©es Ă  chaque gĂ©nĂ©ration d’un nouveau justificatif. Jusqu’Ă  ce jour, seule l’attestation de dĂ©placement dĂ©rogatoire avait Ă©tĂ© intĂ©grĂ©e durant les pĂ©riodes de confinement et celles au cours desquelles un couvre-feu avait Ă©tĂ© instaurĂ©.

Le 13° du I de l’article 2 du dĂ©cret, tel que modifiĂ© par le projet, prĂ©voit le stockage des donnĂ©es renseignĂ©es par l’utilisateur, afin de gĂ©nĂ©rer un code QR lui permettant de disposer de tout justificatif requis par les autoritĂ©s publiques, au-delĂ  de la seule attestation de dĂ©placement dĂ©rogatoire initialement visĂ©e (par exemple, la dĂ©claration sur l’honneur attestant d’une absence de symptĂŽme d’infection Ă  la COVID-19).

La Commission prend acte des prĂ©cisions du ministĂšre selon lesquelles, au mĂȘme titre que l’attestation de dĂ©placement dĂ©rogatoire, le traitement des donnĂ©es pertinentes sera effectuĂ© uniquement en local, sur le terminal de l’utilisateur.

Ces modifications n’appellent pas d’observations particuliĂšres.

S’agissant de l’information des personnes relative Ă  la validitĂ© des certificats composant le passe sanitaire

Le 9° du II de l’article 1er du dĂ©cret, tel que crĂ©Ă© par le projet, prĂ©voit notamment l’information des personnes quant Ă  la validitĂ© des certificats. Le 14° du II de l’article 2 prĂ©cise, Ă  cet Ă©gard, que le statut (valide ou rĂ©voquĂ©) associĂ© aux codes QR fera l’objet d’un traitement.

Le ministĂšre a prĂ©cisĂ© que la validitĂ© des certificats se rattache au traitement mis en Ɠuvre Ă  des fins de lutte contre la fraude, sur laquelle la Commission s’est prononcĂ©e dans le cadre de la dĂ©libĂ©ration n° 2021-103 du 9 septembre 2021.

S’agissant de l’absence de remontĂ©e des identifiants au sein des serveurs centraux de l’application « TousAntiCovid »

Le premier alinĂ©a du II de l’article 2 du dĂ©cret est modifiĂ© afin de rappeler que les donnĂ©es permettant l’identification des personnes concernĂ©es et de leur terminal « ne peuvent ĂȘtre collectĂ©es ni enregistrĂ©es dans le cadre d’un des serveurs centraux du traitement ».

Il ressort des Ă©changes avec le ministĂšre que ces dispositions font rĂ©fĂ©rence aux serveurs centraux de l’application, dĂ©nommĂ©s « ROBERT » et « ClĂ©a », et visĂ©s au troisiĂšme alinĂ©a du I de l’article 1er du dĂ©cret.

La Commission prend acte des prĂ©cisions du ministĂšre selon lesquelles la rĂ©alisation des analyses statistiques, pour laquelle le 4° du II de l’article 1er modifiĂ© prĂ©voit dĂ©sormais le traitement de donnĂ©es pseudonymisĂ©es en lieu et place de donnĂ©es anonymes, ne remet pas en cause les dispositions ci-dessus mentionnĂ©es. En effet, le traitement de donnĂ©es mis en Ɠuvre pour lesdites analyses n’implique pas la remontĂ©e d’informations sur l’un de ces serveurs.

Date et signature(s)

La présidente,
M.-L. Denis