Bonnes pratiques pour les initiatives tech contre le COVID19

Annonce | 03 avril 2020

Objectif du document : proposer des bonnes pratiques pour le développement de services numériques et le bon usage des données personnelles et de santé dans la lutte contre le COVID19.

Public : porteurs d’initiatives contre le COVID19 qui seront amenés à collecter, traiter ou anonymiser et diffuser des données personnelles, notamment des données de santé

 

Vous développez un service numérique (app, site web…) pour lutter contre le COVID19 ? — Le CNNum recense ci-dessous les principales questions à se poser et les règles à respecter pour vous protéger et protéger les utilisateurs.

 

Ce document ne s’adresse pas spécifiquement aux applications de type backtracing, mais à toute application lié au COVID19 : solidarité, logistique, télétravail, tests…

 

Les recommandations ci-dessous ne recensent pas l’intégralité des obligations légales. Pour un rappel du cadre juridique autour des données, voir la FAQ.

Principes généraux

Compte-tenu du contexte, deux principes sont particulièrement importants : la transparence envers l’utilisateur et la responsabilité des développeurs de service.

 

Le CNNum tient à rappeler certains principes généraux :

  • Définir clairement l’objectif du service dans un langage simple pour l’utilisateur.
  • Ne pas se substituer à un avis médical (p. ex. de la recommandation de traitement).
  • Privilégier le traitement de données anonymes si l’objectif le permet, ou une démarche volontaire pour les dispositifs collectant des données individuelles
  • Vérifier qu’une initiative similaire n’existe pas déjà et si c’est le cas, envisager de la rejoindre plutôt que de faire un doublon (cf. recensement des initiatives dans la FAQ).
  • Ne pas tirer profit du service, qu’il soit gratuit ou non (p. ex. avec la vente ou l’exploitation a posteriori de données personnelles).
  • Indiquer clairement la personne (ou l’entreprise) à l’initiative du service, ainsi qu’un moyen de contact.
  • Si le projet a pour objectif l'intérêt collectif, ouvrir son code sous licence libre.
  • Privilégier les solutions les plus simples possibles (un chatbot ? pourquoi ne pas le rendre accessible par SMS ? une app native ? est-ce qu’un site web mobile ne suffirait pas ?).

 

Information de l’utilisateur

Dans le cadre d’un service luttant contre le COVID19, en plus de s’assurer du consentement de l’utilisateur, celui-ci devrait au moins être informé, avant de rejoindre le service :

  • De qui va traiter ses données
  • Des données personnelles voire de santé qui seront collectées
  • De l’usage qui sera fait de ses données
  • Du partage qui pourrait être fait de ses données
  • De la durée de conservation prévue pour ses données
  • De ses droit concernant ses données et d’un point de contact pour les exercer

 

Ces informations peuvent prendre la forme d’un message d’information lors de l’inscription ou sur la page d’accueil.

 

Collecte et traitement des données

Les bonnes pratiques en matière de collecte et de traitement des données continuent à s’appliquer pendant la crise du COVID19. Le CNNum tient à en rappeler certaines :

  • En plus de l’information lors de l’inscription, informer les personnes à l'issue de la crise sur l'utilisation qui a été faite de leurs données et leur rappeler comment exercer leurs droits.
  • Dans la mesure du possible, effectuer le traitement de données en local, sur l’équipement de l’utilisateur
  • Exploiter les données uniquement à des fins de gestion de la crise du COVID19.
  • Restreindre la collecte de données à celles nécessaires pour le fonctionnement du service.
  • Définir, dès le début, l’objectif de la collecte et du traitement des données et la durée de conservation de celles-ci.
  • Utiliser une infrastructure indépendante de l’infrastructure principale (s’il y a infrastructure principale, comme par exemple une app déjà existante et adaptée pour le COVID19).
  • Utiliser un hébergement en France ou à tout le moins dans l’UE. Pour des données de santé, utiliser un hébergeur agréé de données de santé (lien vers la liste)  
  • Restreindre l’accès aux données aux personnes absolument nécessaires.
  • Prévoir la possibilité de supprimer facilement les données personnelles d’un utilisateur.
  • Choisir des sous-traitants au même niveau d’exigence et respectant le RGPD.
  • Ne pas partager de données sans les anonymiser au préalable, ou le cas échéant, dans le strict respect du RGPD. 

Foire aux questions

Quel est le cadre juridique applicable ?

Si vous êtes amenés à traiter des données personnelles, le RGPD s’applique, que vous soyez une entreprise, un groupe bénévole ou un développeur seul. 

 

De plus, si vous traitez des données de santé, ces données sont considérées comme des “données sensibles” et sont soumises à un régime juridique plus contraignant.

Références : Article 9 du RGPD ; RGPD, par où commencer (CNIL) ; comment gérer des données de santé ? (CNIL) ; Guide (Commission Européenne) ; Principes du RGPD (Commission européenne)

 

Où trouver une liste des initiatives déjà existantes ?

Le CNNum tient à jour une liste des initiatives tech. D’autres initiatives de recensement existent ; celles connues du CNNum sont intégrées à cette liste.

 

Suis-je en train de traiter des données personnelles et notamment des données de santé ?

Les données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. Cela inclut le numéro de téléphone ou l’email, par exemple. Souvent, un identifiant unique rattaché à une personne et persistant dans le temps (comme un numéro de carte de fidélité, ou une adresse MAC pour un smartphone) sera aussi considéré comme une donnée personnelle.

 

Les données de santé constituent une catégorie particulière de données personnelles dites sensibles, ce sont notamment les données relatives à l’état de santé d’un utilisateur. Température, infection ou non par le COVID19, questionnaire médical sont par exemple des données de santé. Des précautions particulières s’appliquent pour collecte et leur manipulation (cf. lien ci-dessus).

 

J’ai un doute sur mon application, qui contacter ?

Sur la question des données, la CNIL est le bon interlocuteur. Vous pouvez consulter la fiche sur les rappels de la CNIL sur la collecte de données personnelles dans le cadre du COVID-19.  Pour vos projets de recherches dans le cadre du CoVid 19, vous pouvez consulter cette fiche sur le site de la CNIL. Vous pouvez aussi consulter le guide pour les développeurs édité par la CNIL.

Partager

Haut de la page

Voir aussi

Dématérialiser les services publics pour améliorer l’accès aux droits ?

Pour le 50e ASDN, nous avons reçu la sociologue Clara Deville pour échanger autour de son ouvrage L’Etat social à distance. Quels sont les impacts de la dématérialisation des services publics sur les demandeurs et demandeuses de droits sociaux ? Découvrez ses réponses à nos questions.

Paroles de | 15 avril 2024

Photo de Clara Deville en noir et blanc sur fond bleu

En savoir plus

Replongez dans les éditions passées !

Replongez dans les éditions passées ! Mais aussi : y a-t-il vraiment personne derrière les caisses ? Google devient payant, l’impact de l’apprentissage du code sur nos représentations, un concours de design et l’actu du Conseil en 1 min.

Lettre d'information | 12 avril 2024

Visuel Cénum 79 Replongez dans les éditions passées !

En savoir plus

IA et formation continue : intervention auprès du Garf de Paris

Le 7 mars, Olga Kokshagina, Agathe Bougon et Joséphine Hurstel sont intervenues auprès du GARF de Paris autour de l’intelligence artificielle et la formation. Que veut dire être expert de l’IA ? Comment parler de l’IA en entreprise ? Retour sur ces riches échanges. 

11 avril 2024

Photo de la salle de réunion avec les participants du Garf de Paris, Olga Kokshagina, Agathe Bougon et Joséphine Hurstel.

En savoir plus

Abonnez-vous à notre lettre d'information

En renseignant votre adresse email, vous acceptez de recevoir nos actualités occasionnellement par courrier électronique. Vous pouvez vous désinscrire à tout moment avec ce formulaire.