Article en accès libre Article n° 11052
  Article en accès libre Article n° 11052
Début

StopCovid : le décret publié ne prévoit pas de droit d’effacement des données personnelles

Paris - Publié le lundi 1 juin 2020 à 14 h 05 - n° 11052 L’application de suivi des contacts StopCovid est mis en œuvre pour une durée « ne pouvant excéder six mois après la cessation de l'état d’urgence sanitaire », annonce le décret du 29 mai 2020 « relatif au traitement de données dénommé  »StopCovid«  », publié au Journal OfficielJournal Officiel (JO) du 30 mai. Il est à noter que les recommandations de la CnilCommission Nationale de l’Informatique et des Libertés, présentées dans son avis du 25 mai, n’ont pas toutes été entendues  :

• le décret ne mentionne pas de droit à l’effacement  ;
• reconnu, le droit d’opposition n’entraîne pas l’effacement de toutes les données  ;
• le texte ne prévoit pas d'évaluation régulière de l’impact sanitaire de l’application ;
• le décret ne contient pas de mesures sur le « captcha » ou sur une fonctionnalité de désactivation temporaire.

Le secrétaire d’État au Numérique Cédric OCédric OCédric O a annoncé le 31 mai sur RadioJ que l’application Stopcovid serait téléchargeable « à partir de mardi 2 juin à midi ».
© Bercy
© Bercy

Déconfinement : les mesures de l’acte 2 dévoilées, E. Philippe invite à recourir à l’appli StopCovid

Lancement de l’application StopCovid ; fin de la limite de déplacement de 100 kilomètres ; réouverture progressive de toutes les écoles ; réouverture des cafés, bars et restaurants en zone verte mais seulement des terrasses en zone orange… Telles sont les principales annonces relatives au…
Sélection n° 11042 • 29/05/20 à 11:25

StopCovid : l’application est opérationnelle annonce Bercy / la Cnil donne son feu vert

« L’utilité de l’application et la nécessité du traitement projeté pour accomplir la mission d’intérêt public sont suffisamment démontrées en amont de la mise en œuvre du traitement », affirme la Cnil dans son avis daté du 25 mai 2020 sur « les conditions de mise en œuvre » de l’application…
Sélection n° 11019 • 26/05/20 à 14:56

Appli StopCovid : quels sont les grands principes de fonctionnement et les prochaines étapes ? (Inria)

« En amont de toute décision politique, l’objectif du projet [StopCovid] est de pouvoir rendre possible la mise à disposition d’une application permettant d’informer les usagers s’ils ont été en contact avec une personne ayant été testée positive au Covid-19, et de leur proposer des conduites …
Sélection n° 10944 • 13/05/20 à 15:10

Covid-19 / Contact tracing : le Sénat pose des garde-fous et s’apprête à les défendre en commission

Le Sénat a adopté en première lecture, par 240 voix pour et 25 voix contre, le projet de loi « prorogeant l'état d’urgence sanitaire et complétant ses dispositions », annonce la Chambre haute dans un communiqué daté du 5 mai 2020. Le débat en séance publique a permis d’apporter des modifications…
Actualité n° 10913 • 06/05/20 à 16:23

Conservation des données : pas de droit d’effacement, droit d’opposition limité

  • Le décret énonce que la « clé d’authentification partagée » et l'« identifiant aléatoire permanent  » sont conservés « jusqu'à ce que l’utilisateur désinstalle l’application StopCovid », et au plus tard pour 6 mois après la fin de l’état d’urgence sanitaire.
  • En revanche « les données de l’historique de proximité enregistrées par l’application sur le téléphone mobile » sont conservées « quinze jours à compter de leur enregistrement par cette application », et le texte ne prévoit pas d’exception en cas de désinstallation de l’application.
  • Quand la personne utilisant l’application a été « dépistée ou diagnostiquée positive au virus du covid-19 », les données de l’historique de proximité « partagées sur le serveur central » y sont conservées « quinze jours à compter de leur enregistrement par l’application du téléphone mobile » de cet utilisateur, sans exception non plus en cas de désinstallation.
  • L’Analyse d’impact sur la protection des données (AIPD) réalisée conformément au règlement RGPDRGPDRèglement Général relatif à la Protection des Données estimait selon l’avis de la Cnil que le « désabonnement » devait conduire à «  l’effacement des données tant en local que sur le serveur central » et la « désinstallation » à « l’effacement des données en local » de sorte que » les données potentiellement présentes sur le serveur central » ne pourraient alors « plus être rattachées à un utilisateur ».
  • Le texte ne prévoit pas non plus comme le voulait la Cnil que l’utilisateur puisse « demander l’effacement de ces données directement via l’application tant en ce qui concerne les données stockées sur le terminal que celles disponibles sur le serveur central ».
    • La Cnil note dans son avis que l’exécutif invoque sur ce point l’article 17.3 (b et c) du règlement RGPD selon lequel les droits en question « ne s’appliquent pas dans la mesure où [le] traitement est nécessaire pour exécuter une mission d’intérêt public » ou « pour des motifs d’intérêt public dans le domaine de la santé publique ».

Évaluation du dispositif : un seul rapport publié après la fin de sa mise en œuvre

Le décret énonce que le responsable de traitement doit rendre public « un rapport sur le fonctionnement  » de StopCovid « dans les trente jours suivant le terme de la mise en œuvre de l’application, et au plus tard le 30 janvier 2021 ».

La Cnil demandait « que l’impact effectif du dispositif sur la stratégie sanitaire globale » soit « étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci, indépendamment du rapport d’évaluation prévu par le décret » afin de « s’assurer de son utilité au cours du temps ». Elle jugeait cette évaluation « essentielle », dès lors qu’un tel outil n’était « admissible  », selon elle, « que s’il [contribuait] utilement à la politique sanitaire ». La Commission demandait de plus « que ces rapports de suivi lui soient communiqués au fur et à mesure de leur établissement ».

Code source et critères de proximité

La Cnil relevait que, selon le projet de décret, « certains éléments » du « code informatique » de l’application ou du serveur central « ne [seraient] pas rendus publics, car cela mettrait en danger l’intégrité et la sécurité de l’application ». Elle demandait que « l’intégralité du code source » soit rendu public, « [accueillait] favorablement l’engagement du ministère » en ce sens.

Le décret prévoit que « le code source mis en œuvre dans le cadre de StopCovid est rendu public » et « accessible à partir des sites internet du ministre des solidarités et de la santé et du ministre de l'économie et des finances ainsi que du site internet www.stopcovid.gouv.fr ».

Un arrêté paru au JO du 31 mai énonce que « deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l’un de l’autre » quand ils se trouvent « à moins d’un mètre pendant au moins 15 minutes entre les utilisateurs de l’application  »StopCovid«  ». Ces critères sont ceux mentionnés dans le dossier de presse diffusé le 21 mai par Bercy.

Fin
loader mask
1