TousAntiCovid : la CNIL favorable au QR code dans les lieux recevant du public

Dans la perspective d’une réouverture des restaurants, des salles de sport ou des salles de spectacle, un décret du 12 février 2021 autorise les codes à scanner (QR code) permettant l’identification des personnes à partir de l’application TousAntiCovid. La CNIL estime que le dispositif respecte les règles de la protection des données personnelles.

Temps de lecture  3 minutes

Vue sur un smartphone présentant l'application Tousanticovid.
La CNIL recommande que l’utilisation de l’application TousAntiCovid ne soit pas une obligation pour fréquenter des établissements recevant du public (ERP). © Romain Talon - stock.adobe.com

Le décret du 12 février 2021 modifie le nom de l’application Stopcovid qui devient TousAntiCovid. L’application a été téléchargée par 12,8 millions de personnes depuis sa création.

La Commission nationale de l'informatique et des libertés (CNIL) saisie du projet de décret avait rendu son avis le 17 décembre 2020. Cet avis a été rendu public le 15 février 2021. La CNIL s'est notamment prononcée sur l'introduction d'un dispositif d’enregistrement des visites dans certains établissements recevant du public (restaurants, salles de sport, salles de spectacles, etc.) au sein de l’application TousAntiCovid via un QR code.

QR code et respect de la vie privée

La CNIL estime que la conception technique de la fonctionnalité qui repose sur un QR code apporte des garanties de protection des données personnelles aux utilisateurs de TousAntiCovid :

  • il n’y a ni géolocalisation, ni suivi des déplacements de l’utilisateur ;
  • les données recueillies via les QR codes sont hébergées sur un serveur distinct du serveur qui recueille les autres données de l’application TousAntiCovid. En outre, le protocole informatique d’enregistrement des données des codes QR est distinct du protocole d’enregistrement des autres données ;
  • les données sont stockées de manière temporaire.

Toutefois, la Commission aurait souhaité bénéficier de l’intégralité des informations nécessaires à la mise en œuvre du dispositif afin d’apprécier la proportionnalité du dispositif au regard de l’intérêt général.

Les recommandations de la CNIL

La Cnil relève qu’un certain nombre de précisions restent à définir concernant les QR codes. Il s’agit de :

  • la liste précise des établissements recevant du public (ERP) concernés ;
  • du caractère obligatoire ou facultatif du dispositif pour les établissements ;
  • de l’obligation faite aux personnes concernées d’enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination.

Afin de combler ces carences, la commission recommande que :

  • le dispositif soit limité aux seuls ERP présentant un risque élevé c’est-à-dire les lieux qui sont susceptibles de présenter un risque élevé d'exposition au virus, lorsque les personnes qui les fréquentent ne sont pas en mesure de s'assurer du respect des gestes barrières (salles de sport, restaurants, bars, etc.) ;
  • l’utilisation de l’application TousAntiCovid ne soit pas une obligation pour fréquenter des ERP. Ces établissements peuvent par exemple mettre en place un cahier de rappel papier dans lequel les utilisateurs notent leurs coordonnées, comme cela se pratiquait avant la fermeture des restaurants et des bars ;
  • les QR codes ne soient pas rendus obligatoires dans certains établissements, tels que les lieux de culte ou les lieux de réunion syndicale.