Bonnes pratiques pour les initiatives tech contre le COVID19
Objectif du document : proposer des bonnes pratiques pour le développement de services numériques et le bon usage des données personnelles et de santé dans la lutte contre le COVID19.
Public : porteurs d’initiatives contre le COVID19 qui seront amenés à collecter, traiter ou anonymiser et diffuser des données personnelles, notamment des données de santé
Vous développez un service numérique (app, site web…) pour lutter contre le COVID19 ? — Le CNNum recense ci-dessous les principales questions à se poser et les règles à respecter pour vous protéger et protéger les utilisateurs.
Ce document ne s’adresse pas spécifiquement aux applications de type backtracing, mais à toute application lié au COVID19 : solidarité, logistique, télétravail, tests…
Les recommandations ci-dessous ne recensent pas l’intégralité des obligations légales. Pour un rappel du cadre juridique autour des données, voir la FAQ.
Principes généraux
Compte-tenu du contexte, deux principes sont particulièrement importants : la transparence envers l’utilisateur et la responsabilité des développeurs de service.
Le CNNum tient à rappeler certains principes généraux :
- Définir clairement l’objectif du service dans un langage simple pour l’utilisateur.
- Ne pas se substituer à un avis médical (p. ex. de la recommandation de traitement).
- Privilégier le traitement de données anonymes si l’objectif le permet, ou une démarche volontaire pour les dispositifs collectant des données individuelles
- Vérifier qu’une initiative similaire n’existe pas déjà et si c’est le cas, envisager de la rejoindre plutôt que de faire un doublon (cf. recensement des initiatives dans la FAQ).
- Ne pas tirer profit du service, qu’il soit gratuit ou non (p. ex. avec la vente ou l’exploitation a posteriori de données personnelles).
- Indiquer clairement la personne (ou l’entreprise) à l’initiative du service, ainsi qu’un moyen de contact.
- Si le projet a pour objectif l'intérêt collectif, ouvrir son code sous licence libre.
- Privilégier les solutions les plus simples possibles (un chatbot ? pourquoi ne pas le rendre accessible par SMS ? une app native ? est-ce qu’un site web mobile ne suffirait pas ?).
Information de l’utilisateur
Dans le cadre d’un service luttant contre le COVID19, en plus de s’assurer du consentement de l’utilisateur, celui-ci devrait au moins être informé, avant de rejoindre le service :
- De qui va traiter ses données
- Des données personnelles voire de santé qui seront collectées
- De l’usage qui sera fait de ses données
- Du partage qui pourrait être fait de ses données
- De la durée de conservation prévue pour ses données
- De ses droit concernant ses données et d’un point de contact pour les exercer
Ces informations peuvent prendre la forme d’un message d’information lors de l’inscription ou sur la page d’accueil.
Collecte et traitement des données
Les bonnes pratiques en matière de collecte et de traitement des données continuent à s’appliquer pendant la crise du COVID19. Le CNNum tient à en rappeler certaines :
- En plus de l’information lors de l’inscription, informer les personnes à l'issue de la crise sur l'utilisation qui a été faite de leurs données et leur rappeler comment exercer leurs droits.
- Dans la mesure du possible, effectuer le traitement de données en local, sur l’équipement de l’utilisateur
- Exploiter les données uniquement à des fins de gestion de la crise du COVID19.
- Restreindre la collecte de données à celles nécessaires pour le fonctionnement du service.
- Définir, dès le début, l’objectif de la collecte et du traitement des données et la durée de conservation de celles-ci.
- Utiliser une infrastructure indépendante de l’infrastructure principale (s’il y a infrastructure principale, comme par exemple une app déjà existante et adaptée pour le COVID19).
- Utiliser un hébergement en France ou à tout le moins dans l’UE. Pour des données de santé, utiliser un hébergeur agréé de données de santé (lien vers la liste)
- Restreindre l’accès aux données aux personnes absolument nécessaires.
- Prévoir la possibilité de supprimer facilement les données personnelles d’un utilisateur.
- Choisir des sous-traitants au même niveau d’exigence et respectant le RGPD.
- Ne pas partager de données sans les anonymiser au préalable, ou le cas échéant, dans le strict respect du RGPD.
Foire aux questions
Quel est le cadre juridique applicable ?
Si vous êtes amenés à traiter des données personnelles, le RGPD s’applique, que vous soyez une entreprise, un groupe bénévole ou un développeur seul.
De plus, si vous traitez des données de santé, ces données sont considérées comme des “données sensibles” et sont soumises à un régime juridique plus contraignant.
Références : Article 9 du RGPD ; RGPD, par où commencer (CNIL) ; comment gérer des données de santé ? (CNIL) ; Guide (Commission Européenne) ; Principes du RGPD (Commission européenne)
Où trouver une liste des initiatives déjà existantes ?
Le CNNum tient à jour une liste des initiatives tech. D’autres initiatives de recensement existent ; celles connues du CNNum sont intégrées à cette liste.
Suis-je en train de traiter des données personnelles et notamment des données de santé ?
Les données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. Cela inclut le numéro de téléphone ou l’email, par exemple. Souvent, un identifiant unique rattaché à une personne et persistant dans le temps (comme un numéro de carte de fidélité, ou une adresse MAC pour un smartphone) sera aussi considéré comme une donnée personnelle.
Les données de santé constituent une catégorie particulière de données personnelles dites sensibles, ce sont notamment les données relatives à l’état de santé d’un utilisateur. Température, infection ou non par le COVID19, questionnaire médical sont par exemple des données de santé. Des précautions particulières s’appliquent pour collecte et leur manipulation (cf. lien ci-dessus).
J’ai un doute sur mon application, qui contacter ?
Sur la question des données, la CNIL est le bon interlocuteur. Vous pouvez consulter la fiche sur les rappels de la CNIL sur la collecte de données personnelles dans le cadre du COVID-19. Pour vos projets de recherches dans le cadre du CoVid 19, vous pouvez consulter cette fiche sur le site de la CNIL. Vous pouvez aussi consulter le guide pour les développeurs édité par la CNIL.