Attention car l’avis de la CNIL ne valide pas de but en blanc l’application StopCovid au regard du RGPD

L’avis de la CNIL pose la question de savoir si l’application StopCovid serait « nécessaire » pour lutter contre le coronavirus.

L’avis rendu le 26 avril 2020 est ici : https://www.cnil.fr/fr/publication-de-lavis-de-la-cnil-sur-le-projet-dapplication-mobile-stopcovid

Malgré les déclarations indiquant que la CNIL a validé l’appli StopCovid, ce n’est pas le cas.

C’est ce qu’elle dit explicitement puisqu’elle « souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale.

Et qu’elle « demande certaines garanties supplémentaires. »

Certes, la CNIL précise que le projet pourrait être « estime le dispositif conforme au Règlement général sur la protection des données (RGPD) », mais seulement « si certaines conditions sont respectées ».

Autrement dit, si la CNIL demande que des conditions soient respectées et qu’il y ait des garanties supplémentaires, c’est bien que le projet n’est pas validé en l’état.

Les raisons sont très intéressantes et laissent penser qu’il sera difficile de le valider.

En effet, la CNIL éclaire utilement la base légale correspondante à une telle application, c’est-à-dire le fondement offert par le RGPD pour réaliser le traitement – il y’en a six possibles.

Pour la CNIL, il ne s’agit pas du « consentement », mais de « l’intérêt public ».

Or, comme le rappelle une fiche de la CNIL, cette base légale est assez lourdement encadrée.

Il faut d’abord que le traitement soit prévu juridiquement – ce qui n’est pas le cas aujourd’hui, mais pourrait l’être prochainement.

Mais il faut surtout que ce traitement soit nécessaire à la mission d’intérêt public concernée.

Autrement dit, l’application StopCovid ne peut être légale que si elle est… nécessaire.

Or, rien ne permet aujourd’hui de démontrer que l’application StopCovid soit nécessaire – contrairement aux tests, aux masques et aux médicaments.

Et ce d’autant moins si elle est volontaire – ce qui est pourtant une condition imposée par la CNIL.

C’est d’ailleurs ce que dit la CNIL puisqu’elle souligne « que l’application ne peut être déployée que si son utilité est suffisamment avérée ».

L’utilité de l’application StopCovid est-t-elle aujourd’hui suffisamment avérée ?

A minima, le débat me semble ouvert.

C’est d’ailleurs la raison pour laquelle la CNIL réclame plus d’informations à ce sujet en recommandant « que l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée. »

A ce titre et pour conclure, il faudrait donc au minimum que la « nécessité » de l’application StopCovid soit démontrée en amont de son développement et de sa mise en oeuvre.

A défaut, il faudrait en conclure que tout traitement fondé sur l’intérêt public peut être mis en oeuvre sans contrôle préalable, et que l’autorité de régulation ne servirait qu’à en assurer la conformité en cours de route.

Autant dire, que ce ne serait ni très juridique – validant le règne du fait sur celui du droit, ni très protecteur des libertés publiques.