La CNIL revient sur la nouvelle fonctionnalité TousAntiCovid Signal
Pour encadrer la réouverture de certains lieux, le Gouvernement met en œuvre, mercredi 9 juin, TousAntiCovid Signal. La CNIL revient sur cette fonctionnalité et les garanties qui doivent accompagner son déploiement.
TousAntiCovid Signal : qu’est-ce que c’est ?
Dans le cadre de la troisième phase de déconfinement, mercredi 9 juin, les bars, restaurants et salles de sport auront l’obligation de mettre en œuvre un dispositif d’enregistrement des visites. Celui-ci doit permettre d’alerter les personnes ayant fréquenté ces lieux sur une plage horaire similaire à celle d’une ou de plusieurs personnes testées positives à la COVID- 19 du risque de contamination, afin qu’elles puissent s’isoler et se faire tester.
Ce dispositif sera disponible en version numérique par la fonctionnalité TousAntiCovid Signal ou en version papier avec la réintégration des cahiers de rappel.
En pratique, la fonctionnalité TousAntiCovid Signal repose sur la mise à disposition, par les responsables des lieux concernés, de codes QR que les personnes sont invitées à scanner depuis leur application TousAntiCovid :
- Les établissements concernés peuvent générer, à partir d’un site web déployé par le Gouvernement, un code QR à imprimer puis à afficher à l’entrée ou à l’intérieur de leurs locaux ;
- Les clients utilisant TousAntiCovid seront invités à scanner ce code QR pour enregistrer un identifiant spécifique correspondant au lieu ainsi que l’heure et la date de passage.
Lorsqu’un utilisateur est ultérieurement testé positif à la COVID-19, il peut choisir d’envoyer la liste des codes QR scannés et l’horodatage à un serveur central (distinct du serveur utilisé par la fonctionnalité initiale de suivi des contacts reposant sur l’utilisation de la technologie « Bluetooth »). Cet historique de lieux contacts est alors enregistré sur le serveur.
En parallèle, les téléphones sur lesquels est installée l’application TousAntiCovid téléchargent régulièrement cette liste pour la comparer avec les codes QR enregistrés et correspondant aux établissements visités par leur propriétaire. Si une correspondance est trouvée, l’utilisateur est notifié du fait qu’il a pu être exposé dans un des lieux qu’il a fréquentés.
La nature de cette notification varie en fonction du nombre de personnes qui se sont déclarées positives après avoir fréquenté le lieu concerné :
- si une seule personne s’est déclarée positive, une alerte orange lui sera envoyée avec une incitation à se faire tester immédiatement, de limiter ses contacts et de surveiller ses symptômes ;
- en revanche, en cas de détection d’un potentiel foyer épidémique (« cluster ») la notification prendra la forme d’une alerte rouge et l’utilisateur aura pour consigne de s’isoler et se faire tester immédiatement.
Pour plus d’informations sur le fonctionnement de l’application TousAntiCovid, voir la FAQ du Gouvernement.
Les garanties pour assurer le respect des droits et libertés fondamentaux des utilisateurs
La CNIL rappelle que le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application.
Il n’est pas non plus possible de rattacher un historique des lieux fréquentés à une personne. À cet égard, la CNIL relève que l’architecture technique et fonctionnelle du dispositif apporte plusieurs garanties substantielles de nature à réduire le risque :
- L’historique des visites, stocké sur le téléphone de l’utilisateur, est composé d’identifiants des établissements fréquentés qui rend difficile de retrouver le nom ou l’adresse des lieux visités.
- Lorsqu’un utilisateur choisit volontairement de se déclarer positif à la COVID-19 dans l’application, seuls les identifiants des lieux qu’il a fréquentés, associés à un horodatage, sont remontés au serveur à l’exclusion d’un identifiant de l’utilisateur ;
- Conformément aux recommandations de la CNIL, le protocole de TousAntiCovid Signal a évolué afin d’éviter que l’historique des lieux visités par les utilisateurs soit systématiquement envoyé au serveur central de l’application. Désormais, avec le protocole dénommé Cléa, l’application télécharge régulièrement la liste des lieux à risques, enregistrée au sein du serveur central, afin que la comparaison avec l’historique des lieux visités par l’utilisateur soit réalisée directement sur son téléphone. Le serveur central n’enregistre donc que la liste des lieux visités par des personnes testées positives.
Par ailleurs, l’alerte adressée aux utilisateurs ne contient ni le nom du lieu (ou son identifiant) ni celui de la personne qui s’est déclarée positive dans l’application.
Enfin, à des fins de sécurité, les établissements concernés sont invités à changer régulièrement leurs codes QR pour réduire le risque d’attaques visant notamment à tracer les utilisateurs de l’application.
Un dispositif obligatoire pour certains établissements uniquement
Le dispositif d’enregistrement des visites n’est obligatoire que dans certains lieux susceptibles de présenter un risque élevé d'exposition à la COVID-19, lorsque les personnes qui les fréquentent ne sont pas en mesure de respecter des gestes barrières. C’est le cas des restaurants, bars et salles de sport.
La CNIL relève que, conformément à son avis en date du 17 décembre dernier, les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes notamment) ne font pas partie des établissements concernés par l’obligation.
Une utilisation toujours basée sur le volontariat
La CNIL rappelle le caractère volontaire de l’utilisation de TousAntiCovid et, donc, de sa fonctionnalité TousAntiCovid Signal. Il s’agit d’une garantie essentielle du dispositif : l’utilisation de cette application ne peut donc constituer une condition pour accéder à un établissement recevant du public.
Pour garantir ce volontariat, les établissements concernés par l’obligation devront mettre à la disposition de leurs clients une alternative non numérique tel qu’un cahier de rappel papier.
Les autres garanties
D’autres garanties doivent être mises en œuvre afin que l’utilisateur de TousAntiCovid Signal garde le contrôle sur ses données.
Tout d’abord, l’utilisateur doit être informé, de manière claire et précise du dispositif mis en place. Cette information doit être disponible et visible par un affichage sur les lieux concernés et depuis le site web dédié à l’application. Les gérants des établissements devront placer ces informations à l’endroit du code QR afin que les personnes puissent aisément en prendre connaissance au moment de le scanner.
Enfin, les identifiants temporaires des lieux sont stockés pour une durée limitée tant sur le téléphone de l’utilisateur que sur le serveur (15 jours à compter de leur enregistrement sur le smartphone de l’utilisateur). L'utilisateur a la possibilité de supprimer les lieux scannés dans l’application.
TousAntiCovid Signal, TousAntiCovid Carnet, passe sanitaire : quelles différences ?
Ces derniers mois, l’application TousAntiCovid, initialement dédiée au suivi des cas contacts avec la technologie « Bluetooth », a évolué vers un portail comprenant plusieurs fonctionnalités différentes. Si les dispositifs s’inscrivent tous dans un objectif d’accompagnement de la levée de certaines restrictions (réouverture de certains lieux, reprises de certaines activités, déplacements à l’étranger, etc.), ils n’ont pas tous la même utilité d’un point de vue sanitaire et ne concernent pas les mêmes usages.
La fonctionnalité TousAntiCovid Signal doit permettre d’alerter un nombre plus élevé de personnes des contacts à risques qu’elles ont croisées en tenant compte des risques particuliers que font peser la fréquentation de certains établissements recevant du public. Elle concerne les lieux de la vie quotidienne qui présentent des risques particuliers de transmission du virus (restaurants, bars, salles de sport).
Le passe sanitaire, qui pourra utiliser la fonctionnalité TousAntiCovid Carnet, sera obligatoire pour certains grands rassemblements à partir du 9 juin prochain. Il doit permettre de limiter le risque de contamination en n’autorisant l’accès qu’aux personnes vaccinées, récemment testées négatives ou encore celles qui se sont rétablies à une infection antérieure à la COVID-19. Contrairement au dispositif d’enregistrement des visites évoqué ci-dessus, le passe sanitaire ne devrait pas pouvoir être utilisé pour l’accès aux lieux, établissements et événements de la vie quotidienne (commerces, restaurants, etc.).
Le passe sanitaire , sera également utilisée pour faciliter la libre circulation au sein de l’Union européenne dans le cadre du certificat numérique Covid de l’Union européenne.
Pour aller plus loin
- Le protocole sanitaire pour les bars et restaurants - site du ministère de l'Économie, des Finances et de la Relance
- Le protocole sanitaire pour les salles de sport - site du ministère chargé des Sports
- TousAntiCovid, cahiers de rappel, codes QR, passe sanitaire : quelles garanties pour la protection des données personnelles ?