Connexion
Abonnez-vous

TousAntiCovid : la CNIL déplore (encore) la tentation du « solutionnisme technologique »

Retour vers le futur S2E8

TousAntiCovid : la CNIL déplore (encore) la tentation du « solutionnisme technologique »

Le 09 décembre 2021 à 15h27

Un nouveau décret vient modifier le traitement TousAntiCovid. C'est le dixième qui lui a été consacré. Pour la CNIL, qui en est à sa huitième délibération à son sujet, il apporte « une modification importante, qui change la portée du traitement ». Et celle-ci de réitérer ses interrogations quant à l’efficacité du dispositif, tout en alertant sur « la tentation du "solutionnisme technologique". »

C’est la quatrième fois depuis sa délibération du 10 septembre 2020 que la CNIL réclame bruyamment du gouvernement la démonstration que le passe sanitaire et les autres traitements ne baignent pas dans un « solutionnisme technologique ».

Ainsi, « la Commission rappelle que la multiplication des dispositifs numériques mis en œuvre dans le cadre de la gestion de l'épidémie rend absolument nécessaire une évaluation quantifiée et objective de leur efficacité dans la contribution à la lutte contre la COVID-19, ce qu'elle a rappelé à de nombreuses reprises depuis le début de l'épidémie, afin de s'assurer que le recours à ces dispositifs prendra fin dès que cette nécessité aura disparu ».

Or, la Commission « regrette qu'à ce jour, les études et évaluations demandées de façon réitérée ne lui aient pas été transmises ».

Le nouveau décret, publié hier matin au JO, « complète les finalités du traitement pour permettre aux utilisateurs de l'application de stocker sur leur téléphone mobile les justificatifs relatifs au passe sanitaire et à l'obligation vaccinale et d'être informés de leur validité ou des recommandations sanitaires qui les concernent ».

Il précise les données traitées à cette fin, leur durée de conservation ainsi que les modalités d'information des utilisateurs sur ces fonctionnalités.

Une nouvelle finalité​, qui change la portée du traitement

Dans un communiqué, la CNIL précise s’être prononcée « en urgence », le 2 décembre, d’un projet de décret visant à « faire évoluer les conditions de mise en œuvre des traitements de données de l'application TousAntiCovid ».

Il s’agit notamment de « permettre l’utilisation des données contenues dans le passe sanitaire, lorsque l’utilisateur l’a enregistré dans l’application, afin d’afficher aux utilisateurs des recommandations sanitaires personnalisées ou de les informer des mesures à prendre afin de bénéficier d’un passe sanitaire valide ».

En clair, permettre l’utilisation des données contenues dans les certificats composant le passe sanitaire afin d’afficher aux utilisateurs :

  • des recommandations sanitaires ciblées (par exemple, l’attitude à tenir pour les personnes ayant intégré le résultat positif d’un examen de dépistage à la COVID-19) ;
  • l’information sur les mesures à prendre afin de bénéficier d’un passe sanitaire valide (par exemple, en informant les personnes adultes de la nécessité d’une troisième dose afin de bénéficier d’un schéma vaccinal complet).

Dans son avis, elle précise que ces recommandations et mesures « doivent permettre d'améliorer la pédagogie sur les conduites à tenir, dont certaines auront un impact direct sur la validité des certificats (par exemple, en informant les personnes adultes de la nécessité d'une troisième dose afin de bénéficier d'un schéma vaccinal complet), et ce dans l'objectif de limiter la propagation du virus ».

Le projet, relève la CNIL, crée dès lors « une nouvelle finalité » au traitement mis en œuvre dans le cadre de l'application « TousAntiCovid » : 

« Celle-ci vise trois objectifs : le stockage des certificats composant le passe sanitaire, l'information des utilisateurs quant à la validité de leurs justificatifs et l'affichage de recommandations sanitaires ciblées et, le cas échéant, de mesures à prendre afin de bénéficier d'un passe sanitaire valide. »

La Commission souligne qu'il s'agit d'« une modification importante, qui change la portée du traitement ».

En effet, jusqu'ici le ministère se contentait de mettre à disposition des personnes, via la fonctionnalité « carnet », un outil numérique permettant un stockage local et une présentation aisée du passe sanitaire sans que les données figurant dans les codes QR fassent l'objet d'un traitement dans l'application « TousAntiCovid » relevant de sa responsabilité. 

Le traitement de ces données, qui constituent notamment des données sensibles, intervient pour le compte du ministère : « il s'agit de lire, en local sur le terminal de l'utilisateur, les données des certificats, à des fins déterminées par le ministère, à savoir, l'affichage de notifications sanitaires personnalisées ». Ceci dit, la Commission estime que cette finalité, qui répond à un motif important d'intérêt public, est légitime.

Quid du droit d'opposition ?

Dans son communiqué, la CNIL souligne (en gras) que « cette utilisation de données constitue un changement important de la fonctionnalité “Carnet” de l’application TousAntiCovid qui ne permettait, jusqu’à présent, que le stockage du passe sanitaire ».

Elle relève également que le fonctionnement apporte plusieurs garanties de nature à en assurer la proportionnalité :

  • les données nominatives (nom, prénoms) doivent uniquement permettre de détecter quels certificats sont concernés par la recommandation ciblée lorsque l’utilisateur a intégré plusieurs certificats (famille, proches, etc.) au sein de l’application ;
  • la lecture des données du passe sanitaire se fera sur le terminal de l’utilisateur sans qu’aucune donnée ne soit collectée, à cette fin, en dehors de l’application ;
  • les données ne seront pas associées avec d’autres traitements de données, notamment ceux mis en œuvre dans le cadre des différentes fonctionnalités de l’application.

La CNIL souligne (toujours en gras) que « des garanties importantes ont été apportées », à mesure que « les données sont lues uniquement en local, sur le terminal de l’utilisateur, afin d’afficher des recommandations personnalisées et ne sont pas associées avec d’autres traitements de données ».

De plus, « les personnes doivent être informées pour l’affichage de notifications sanitaires personnalisées et pouvoir s’opposer à ce que leurs données soient utilisées pour ces nouvelles fonctionnalités. Le ministère de la Santé devra s’assurer de l’effectivité de ce droit ».

Dans son avis, elle « insiste sur la nécessité, pour le ministère, d'informer les personnes sur la possibilité de s'opposer au traitement de leurs données à ces fins et d'assurer l'effectivité de ce droit, conformément à l'article 21 du RGPD ».

À défaut de pouvoir consulter le projet de décret tel qu’il avait été soumis à la CNIL, nous n'avons pu comparer l'avis de la CNIL, comme nous l’avions déjà déploré dans notre article sur le FNAEG, qu'au seul décret tel qu'il a finalement été publié au JO.

En l'espèce, le gouvernement n'a de nouveau pas vraiment suivi l’avis de la CNIL. Il ne fait nullement mention du droit d’opposition, se bornant à préciser qu’« une information spécifique est mise à leur disposition concernant les modalités de traitement des données mis en œuvre aux fins d'assurer l'information ciblée », sans plus de précisions.

Un article est cela dit rajouté pour préciser que « les données et justificatifs [relatifs au passe sanitaire] peuvent être supprimés à tout moment par les personnes utilisatrices de l'application ».

De plus, et en l’état, la page consacrée aux données personnelles traitées par TousAntiCovid se borne à rappeler que « les droits d’accès, de rectification et de limitation ne peuvent s’exercer car les données traitées sont pseudonymisées afin d’éviter toute réidentification des personnes ».

Des « données anonymes » aux « données pseudonymisées »

Ses utilisateurs peuvent cela dit et « à tout moment exercer [leur] droit d’opposition à l’élaboration de statistiques anonymes en les désactivant dans les paramètres de l'application TousAntiCovid ».

La Commission prend acte des précisions du ministère selon lesquelles la réalisation des analyses statistiques prévoit désormais le traitement de « données pseudonymisées » en lieu et place de « données anonymes », mais également que « le traitement de données mis en œuvre pour lesdites analyses n'implique pas la remontée d'informations sur l'un de ces serveurs », ce qui ne lui pose donc pas de problème particulier.

L’article qui expliquait que « les données permettant l'identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement » est ainsi modifié pour y préciser « dans le cadre d’un des serveurs centraux du traitement ».

Le décret modifie par ailleurs la durée de validité des tests permettant de bénéficier du passe sanitaire, « qui passe de 72 heures à 24 heures ». Le journaliste Léo Caravagna relève par ailleurs sur Twitter que TousAntiCovid est prolongé de 7 mois, jusqu’au 31 juillet 2022.

Une réforme adoptée par le Parlement dans le cadre de la toute récente loi sur la Vigilance sanitaire, publiée au JO. Notre confrère note en outre que le décret est complété d’un nouvel article qui dispose que « le présent décret peut être modifié par décret ».

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

” 2 ans que cela dure, et le Virus est tjrs, là……..un peu long, non” ? :mad:

votre avatar

Je peux savoir ce que vient faire le lien sur le fichage génétique au milieu de cet article ?

votre avatar

Un bout de phrase avait sauté, désolé, j’ai rectifié :
À défaut de pouvoir consulter le projet de décret tel qu’il avait été soumis à la CNIL, nous n’avons pu comparer l’avis de la CNIL, comme nous l’avions déjà déploré dans notre article sur le FNAEG, qu’au seul décret tel qu’il a finalement été publié au JO.
En l’espèce, le gouvernement n’a de nouveau pas vraiment suivi l’avis de la CNIL.

votre avatar

Trois finalités seulement ?



TousantiCovid ne fait donc plus le traçage de contacts en mode centralisé ?



C’est quand même la première finalité (chronologique) et le premier gros bouton quand on ouvre l’appli “Activer TousAntiCovid”.



Sûr qu’on n’en entends plus du tout parler vu le fiasco que ça a été…

votre avatar

@cquest : je n’ai pas l’application donc difficile de jeter un œil mais c’est exactement la question que je me posais.

votre avatar

@manhack



Intéressant article , merci.
Le fait que l’appli soit opensource (https://gitlab.inria.fr/stopcovid19) permet une certaine confiance. Néanmoins est-ce que la CNIL s’assure que les sources publiés sont bien celles (et uniquement celles là) qui produisent l’APK disponible sur le Google Play Store (notamment via des build reproductibles), et dans ce cas comment peux-t-on en être sûr sur le long terme ?



On sens que , trèèèèès lentement, l’application progresse vers quelque chose qu’Attali a appelé les “surveilleurs” dans son livre note de cadrage au président de la république “une brève histoire de l’avenir.
On en est encore loin je l’admets.

votre avatar

Tous AntiCovid et leur fameux passe shadoc inutile, on va encore bien rigoler en 2022.

votre avatar

Aucun besoin de l’appli pour le passe.
J’ai un lien vers le pdf sur le bureau de mon téléphone.

votre avatar

lanoux a dit:


Tous AntiCovid et leur fameux passe shadoc inutile, on va encore bien rigoler en 2022.


Peut-être auras tu plus de temps pour rigoler quand tu seras hospitalisé ? 😊

votre avatar

Gna gna gna
Alors écoute quand je dis pass shadok c’est parce que c’est du shadok.
Triple vacciné de puis le 1/12…et toi?
Mais alors pourquoi ce foutu pass? Pour pas avoir d’emmerdes. On nous l’a vendu sous prétexte de plus de test pour les vacciné. Bun tu sais quoi? Je suis à l’aéroport sur Lisbonne départ Brésil et depuis 72h nos chers shadok oblige les ressortissants français rentrant de l’étranger à présenter un test pcr négatif youhoooou
ALORS TU M’EXPLIQUE À QUOI Y SERT TON FOUTU PASS?



Parce que quand on a pris nos billets avec ma femme pour aller voir la belle famille il était aucunement question de se revirement. En cas de fermeture des frontières tu es remboursé en cas de test positif non…mais je suis vacciné. Donc on arrête l’ipocrisie, oui au vaccin, non au pass, et ceux qui ne veulent pas se faire vacciner interdiction de sortir.

votre avatar

C’est donc une décision portugaise, demande-leur comment on dit Shadock en portugais.

votre avatar

ça se dirait de la même façon, la france n’a aucune exclusivité dans ce domaine.

votre avatar

Tu comprends quoi dans le gouvernement demande un test négatif pour rentrer sur le territoire nationale français à des triples vacciné ?
Français portugais ou brésilien?
Je décolle d’Orly et je reviens à Orly escale à Lisboa
Le gouvernement portugais n’a rien à voir l’a dedans
Par contre j’ai une traduction pour shadok en breton : Gros cons

votre avatar

je ne savais pas que sibeth ndiaye avait ouvert un compte sur pcinpact. Donc bienvenue à toi 😁

votre avatar

Une raison de plus pour ne pas installer ce spyware …

votre avatar

Rien à voir avec l’article, mais je suis le seul à m’étonner que les statistiques liées aux variants aient disparues de l’application ?

votre avatar

lanoux a dit:


Tu comprends quoi dans le gouvernement demande un test négatif pour rentrer sur le territoire nationale français à des triples vacciné ? Français portugais ou brésilien? Je décolle d’Orly et je reviens à Orly escale à Lisboa Le gouvernement portugais n’a rien à voir l’a dedans Par contre j’ai une traduction pour shadok en breton : Gros cons


C’est une sécurité supplémentaire pour le gouvernement. Etre vacciné diminue fortement les risques d’être infecté, d’être malade avec symptômes, d’être gravement malade, et de contaminer les autres. Le pb est que “diminue fortement” ne signifie pas “élimine”. Et ils se méfient encore beaucoup du variant Omicron, à raison, car on ne sait toujours pas grand chose à ce jour, faut de recul.




lanoux a dit:


Tu devrais éviter de parler ainsi de sujets que tu ne maîtrises absolument pas, Marlène…

votre avatar

Donc pourquoi un pass?
Je décolle de Belfast pour paris test négatif pour rentrer en France (pays hors UE)
Je décolle de Dublin pour paris pass sanitaire seulement .



Tu m’explique ça comment ? On a dorénavant un hard border en Irlande ? Première nouvelle

votre avatar

Il a pas tord c est quand meme contraire à ce qui a été annoncé au moment de sa mise en place et les regles sont toujours aussi floues et absurde.



Il y a qu a voir les écoles ….

votre avatar

lanoux a dit:


Tu comprends quoi dans le gouvernement demande un test négatif pour rentrer sur le territoire nationale français à des triples vacciné ?


J’ai déjà pas compris où tu étais, d’où tu partais et où tu allais…
Le Portugal demande ce test de ce que j’en ai lu. La France ne le demande pas pour les vaccinés venant d’un État membre de l’UE.




lanoux a dit:


Tu m’explique ça comment ? On a dorénavant un hard border en Irlande ? Première nouvelle


L’UE n’a aucune compétence en matière de santé, chaque membre décide dans son coin.
De plus, il ne t’a pas échappé que Dublin est dans l’UE, pas Belfast. Provenance différente, règle différente.

votre avatar

Je suis français partant de France et revenant dans 3 semaines en France (par contre au moment de mon post j’étais en pleine escale sur le Portugal) mais peut importe. Le fait est que pour ces histoires de tests rien à voir avec les compétences européennes d’où mon interrogation entre Belfast et Dublin un pays dans l’UE et un autre hors et n’ayant pas de frontières entre les 2 (ça n’a pas du t’échapper vue le bordel que foutent les roast beef). Le truc incompréhensible. De plus apparemment c’est très grave on doit tester les gens vacciné (c’était pas le deal de base). Alors okay c’est grave test obligatoire pour rentrer en France depuis n’importe quel pays même européen…à moins qu’on fasse un remake de Tchernobyl le virus s’arrête aux frontières européennes ????

votre avatar

Tu as l’air bien énervé, ce que je peux comprendre. Ca rend ton discours un peu confus, c’est dommage.



Pour Belfast et Dublin (tu aurais parlé de Gibraltar, c’était pareil), c’est très clair: l’une des destinations est en UE, pas l’autre. La France ne demande pas de test pour les arrivants d’un pays membre de l’UE.



Pour Lisbonne, c’est bien le Portugal qui demande ces tests, d’où ma remarque sur l’UE: tous les Etats membres de l’UE n’appliquent pas les mêmes règles, on est d’accord, c’est le bordel. Et tu parlais du Brésil aussi, si tu y es passé, i me semble tout à fait légitime de te demander un test, vacciné ou pas. Si le vaccin te rendait à coup sûr 100% non malade ou 100% non porteur, ça ce saurait.



Mais non, tu n’as pas besoin, normalement, de présenter un test si tu es vacciné en arrivant en France, d’un Etat membre de l’UE: “A partir du 4 décembre 2021 à minuit, toute personne de 12 ans et plus entrant sur le territoire français doit présenter un test PCR ou antigénique négatif de moins de 24h ou 48h en fonction du pays de provenance. Seule exception, les personnes présentant un schéma vaccinal complet arrivant d’un État membre de l’Union européenne”. C’est [là.](diplomatie.gouv.fr République Française

votre avatar

Non ce n’est pas le portugal qui le demande mais bien le gouvernement français depuis le 4 décembre



Tous les voyageurs de douze ans ou plus, indépendamment du statut vaccinal, en provenance de ces pays/territoires doivent présenter à l’embarquement, le résultat négatif d’un test PCR ou d’un test antigénique (TAG) réalisé moins de 48 heures avant le vol. Les voyageurs vaccinés pourront faire l’objet d’un test antigénique à l’arrivée.



france diplomatie



Effectivement bien énervé et en plus j’étais en plein jet lag.
Remarque si on me dit de rester 15 jours de plus à la plage à boire de la caipirinha je signe

votre avatar

Parce que tu viens du Brésil. Je ne sais pas si ce test a été suspendu depuis les premières mesures de restrictions aux frontières.
Pour l’UE, ce n’est pas le cas en France. Contrairement à l’Italie par exemple qui demande un test à tout le monde à partir de demain.

votre avatar

La je suis entièrement d’accord avec les italiens. La France nous la rejoue Tchernobyl et c’est ça qui me gonfle. Pas faire un test. J’en ai bien fait un au départ. Et aussi le fait que depuis le début c’est géré en mode shadok avec une communication de mer

votre avatar

ben5757 a dit:


Il a pas tord c est quand meme contraire à ce qui a été annoncé au moment de sa mise en place et les regles sont toujours aussi floues et absurde.


ils s’adaptent aux connaissances du moment, comme tous les pays. Là, on a un nouveau variant en train de s’imposer, dont on ne sait toujours pas s’il est plus, moins ou aussi dangereux que les précédents. La seule chose qu’on sait, c’est qu’il semble plus contagieux (et encore, ca reste à confirmer). Donc normal qu’il y ait méfiance.




Il y a qu a voir les écoles ….


Je ne vois pas le rapport entre les écoles et les déplacements à l’étranger.

votre avatar

Patch a dit:



Je ne vois pas le rapport entre les écoles et les déplacements à l’étranger.


Le rapport est la cohérence des règles. Il n y en a pas …

votre avatar

ben5757 a dit:


Le rapport est la cohérence des règles. Il n y en a pas …


Il faudrait faire des tests PCR quand on change décole? :keskidit:
C’est un cas qui arrive rarement, tu en conviendras.

votre avatar

ben5757 a dit:


Il a pas tord c est quand meme contraire à ce qui a été annoncé au moment de sa mise en place et les regles sont toujours aussi floues et absurde.



Il y a qu a voir les écoles ….


Il n’y a jamais eu (si je me trompe, n’hésite pas à me donner une source) de règle sur le passe au niveau européen. Déjà, tous les Etats membres ne l’ont pas adopté dans les mêmes conditions.



C’est le bordel dans les règles, on est d’accord, difficile de voir une grande cohérence (j’ai bien des exemples en tête). Mais il est normal que les règles changent en fonction de la situation. Là on est dans une phase haute de contamination, les hôpitaux commencent à se remplir de nouveaux, c’est logique que les règles ne soient plus les mêmes qu’il y a 3 mois.



On ne t’a pas entendu râler en août/septembre quand les règles étaient différentes, ais dans l’autre sens, parce que la courbe de contamination était au lus bas. Pourtant, ces règles avaient aussi et encore changé, non ?

votre avatar

Cumbalero a dit:


Il n’y a jamais eu (si je me trompe, n’hésite pas à me donner une source) de règle sur le passe au niveau européen. Déjà, tous les Etats membres ne l’ont pas adopté dans les mêmes conditions.



C’est le bordel dans les règles, on est d’accord, difficile de voir une grande cohérence (j’ai bien des exemples en tête). Mais il est normal que les règles changent en fonction de la situation. Là on est dans une phase haute de contamination, les hôpitaux commencent à se remplir de nouveaux, c’est logique que les règles ne soient plus les mêmes qu’il y a 3 mois.



On ne t’a pas entendu râler en août/septembre quand les règles étaient différentes, ais dans l’autre sens, parce que la courbe de contamination était au lus bas. Pourtant, ces règles avaient aussi et encore changé, non ?


Certe oui mais comment expliqué qu’à certains endroits les regles se durcissent et dans d’autres elles se relachent.



Exemple : Le virus continu de circuler, on ne ferme plus de classe s’il y’a seulement un élève positif ( il en faut 3) . C’est absurde.



Je râle souvent contre les changements de règle mais je me sens pas forcément obligé de le faire ici :D. J’ai beaucoup râler sur le pass vaccinal par exemple ( je suis pour une obligation vaccinal plus dur avec très forte amende plutôt que de faire peser la charge du contrôles sur les commerçants / organisateur d’évènements ).




Patch a dit:


Il faudrait faire des tests PCR quand on change décole? :keskidit: C’est un cas qui arrive rarement, tu en conviendras.


Je ne sais pas si je suis pas clair ou si tu me prends juste pour un con mais je vais développer dans le doute . Je pointe du doigt le manque de cohérence des règles en Général. Et je prenais l’exemple de l’école où les règles changent souvent et parfois de façon totalement stupide et incohérente ( voir l’exemple ci dessus).

votre avatar

ben5757 a dit:


Je ne sais pas si je suis pas clair ou si tu me prends juste pour un con mais je vais développer dans le doute . Je pointe du doigt le manque de cohérence des règles en Général. Et je prenais l’exemple de l’école où les règles changent souvent et parfois de façon totalement stupide et incohérente ( voir l’exemple ci dessus).


Tu n’étais pas clair, du coup j’ai joué dessus :D
Chercher une cohérence dans les règles dans l’école, c’est le truc que je refuse strictement. Je préfère encore visiter les enfers. Faut pas oublier que c’est Blanquer qui est sinistre de l’EN.

TousAntiCovid : la CNIL déplore (encore) la tentation du « solutionnisme technologique »

  • Une nouvelle finalité​, qui change la portée du traitement

  • Quid du droit d'opposition ?

  • Des « données anonymes » aux « données pseudonymisées »

Fermer