CNIL – Projet de décret TousAntiCovid – 2020-135

Décision

Autorité:

CNIL ou équivalent

Numéro:

Avis 2020-135

Nom:

Projet de décret TousAntiCovid

Date:

17 décembre 2020

Pays:

France

Lien:

Cliquer ici

Contexte

La Commission a été saisie en urgence, par le ministre des solidarités et de la santé, d’une demande d’avis relative à un projet de décret modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé StopCovid . Le projet de décret vise à faire évoluer les conditions de mise en œuvre des traitements de données nécessaires au fonctionnement de l'application désormais dénommée TousAntiCovid , notamment dans la perspective d’un nouveau déconfinement et de la réouverture de certains établissements recevant du public (ERP).

Les évolutions envisagées visent principalement à introduire dans l’application TousAntiCovid un dispositif numérique d’enregistrement des visites dans de tels lieux, afin de faciliter l’alerte des personnes les ayant fréquentés sur une plage horaire similaire à celle d’une ou de plusieurs personnes ultérieurement dépistées ou diagnostiquées positives à la COVID19. Le projet de décret a également vocation à permettre la collecte et le traitement de nouvelles données nécessaires à la lutte contre l’épidémie et à intégrer les évolutions successives de l’application depuis le déploiement de sa version 2.0 en octobre dernier.

Apport(s)
Responsable de traitement - Personne mettant à disposition du public un logiciel - Exclusion sous conditions Extrait(s) pertinent(s)D’autre part, les données personnelles étant stockées et traitées uniquement localement, à la discrétion et pour le compte du seul utilisateur, il ne semble pas que les autorités publiques soient responsables de ces traitements, la seule mise à disposition d’un logiciel au public ne constituant pas la mise en œuvre d’un traitement de données à caractère personnel. En ce sens, il convient de relever que les dispositions du décret relatives à ces traitements ne sont pas conformes aux exigences de la Commission (durée de conservation, liste des destinataires, etc.) mais qu’il n’apparaît pas opportun de réglementer ces aspects qui, dans le cadre du fonctionnement du logiciel en cause, doivent rester à la discrétion du particulier qui utilise l’application. Article(s) du RGPD Article 4 – Définitions Fait référence à Autres informations

Apport(s)

Responsable de traitement - Personne mettant à disposition du public un logiciel - Exclusion sous conditions

Extrait(s) pertinent(s)D’autre part, les données personnelles étant stockées et traitées uniquement localement, à la discrétion et pour le compte du seul utilisateur, il ne semble pas que les autorités publiques soient responsables de ces traitements, la seule mise à disposition d’un logiciel au public ne constituant pas la mise en œuvre d’un traitement de données à caractère personnel. En ce sens, il convient de relever que les dispositions du décret relatives à ces traitements ne sont pas conformes aux exigences de la Commission (durée de conservation, liste des destinataires, etc.) mais qu’il n’apparaît pas opportun de réglementer ces aspects qui, dans le cadre du fonctionnement du logiciel en cause, doivent rester à la discrétion du particulier qui utilise l’application.
Article(s) du RGPD Article 4 – Définitions
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion