Pour permettre la réouverture de lieux accueillant du public, comme les restaurants et les salles de sport, le gouvernement planche depuis le début de l'année sur un système de code QR à numériser avec l'app TousAntiCovid. Si un client se déclare positif, une alerte est envoyée aux autres personnes (ayant flashé le code) présentes au même moment que lui (lire : TousAntiCovid : un code QR envisagé pour les salles de sport en plus des restaurants).
Mais avant de mettre en musique cette nouvelle fonction, le gouvernement devait obtenir le feu vert de la Cnil : c'est désormais chose faite. Dans son avis du jour, la Commission nationale informatique et libertés a estimé que l'utilité, au stade actuel de la lutte contre l’épidémie, « d'un dispositif complémentaire d’identification des contacts à risque de contamination est suffisamment démontrée ». Ce système vise les établissements recevant du public (ERP), comme les restaurants et les salles de sport donc, mais aussi les salles de spectacles.
Dans l'hypothèse où l'enregistrement des visites constituerait une obligation, la Cnil demande que soit mis en place deux dispositifs : l'un avec des codes QR, l'autre non numérique, par exemple un cahier de rappel comme cela avait été expérimenté l'an dernier dans des restaurants avant que ces derniers ne ferment pour une période indéterminée.
La Cnil émet cependant plusieurs recommandations. D'une part, le caractère obligatoire du dispositif — que ce soit via l'app TousAntiCovid ou un carnet de rappel — se limite aux ERP qui présentent un « risque élevé » : port du masque impossible et autres mesures barrières difficiles à mettre en œuvre. D'autre part, ce dispositif ne doit pas être obligatoire dans les lieux où « la fréquentation est susceptible de révéler des données sensibles », comme les églises par exemple.
La Commission pose aussi des garde-fous. Le dispositif ne doit pas avoir recours à une technologie de géolocalisation et elle ne doit pas non plus impliquer le suivi des déplacements des utilisateurs ; il ne faut pas qu'il y ait d'identifiant unique lié aux lieux contacts ; il importe enfin que les données soient séparées de celles traitées dans le cadre du protocole ROBERT, celui qui est au cœur de la technologie de suivi des contacts de TousAntiCovid.
Le dispositif ne saurait remettre en cause le caractère volontaire de l'utilisation de l'application, « dès lors que l’accès prioritaire aux examens et tests de dépistage ne [soit] pas réservé aux utilisateurs de l’application, mais ouvert à tous les "cas contacts" », conclut la Cnil.
