Début

Application StopCovid : la Cnil met en demeure le ministère de généraliser la seconde version

Paris - Publié le lundi 20 juillet 2020 à 15 h 53 - n° 11318 « La plupart des préconisations formulées par la CnilCommission Nationale de l’Informatique et des Libertés dans ses avis des 24 avril et 25 mai 2020 ont été pris en compte par le ministère des Solidarités et de la SantéMinistère des Solidarités et de la SantéMinistère des Solidarités et de la Santé », et « la nouvelle version de l’application StopCovid respecte pour l’essentiel le RGPDRGPDRèglement Général relatif à la Protection des Données et la loi Informatique et Libertés », affirme la commission dans un communiqué diffusé le 20 juillet 2020 à la suite des 3 contrôles diligentés par sa présidente au cours du mois de juin.

La Cnil constate notamment que si la première version de l’application « faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus », ce problème a été « résolu sur la nouvelle version de l’application, déployée fin juin ». Selon la commission, l’historique de contacts de l’utilisateur est désormais filtré non plus au niveau du serveur central mais au niveau de son téléphone, comme le prévoit le décret du 29 mai 2020. Elle « demande cependant à ce que cette nouvelle version soit généralisée à tous les utilisateurs de Stopcovid » alors qu'« à ce jour, les deux versions de l’application coexistent ».

Sur la base de ces contrôles, le ministère des Solidarités et de la Santé a été « mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois » sur ce point en particulier.

Le ministère est également invité à engager dans les meilleurs délais « une démarche d’évaluation du dispositif » sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à « rendre compte régulièrement de ses résultats » à la Cnil.
© D.R.
© D.R.

Des manquements à la transparence, des lacunes dans le contrat de sous-traitance et les analyses d’impact

La Cnil estime que l’information fournie aux utilisateurs de l’application StopCovid France est « quasiment conforme aux exigences du RGPD » mais juge qu’elle « devrait encore être complétée » en ce qui concerne :

  • les destinataires de ces données, et notamment « l’existence d’un sous-traitant  », à savoir le centre de recherche InriaInria ;
  • les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le captcha de GoogleGoogle, qui permet « des opérations d’analyse de la part de cette société ») ;
  • le droit de refuser ces opérations de lecture.

Selon la Commission, le contrat de sous-traitance conclu entre le ministère et le centre de recherche Inria comporte « un grand nombre d’informations exigées par le RGPD » mais il « nécessite encore d’être complété », en particulier en ce qui concerne les obligations du sous-traitant.

Si une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère la Cnil la juge « incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité  » : solution anti-DDOS collectant l’adresse IP et le système recaptcha.

La nouvelle version corrigée est minoritaire parmi les applications en usage

La Cnil constate dans sa décision que la technologie « captcha » de Google « est désormais remplacée » dans la nouvelle version de l’application par « la technologie  »captcha«  développée par la société OrangeOrange ».

Interrogé par la Cnil, le ministère a déclaré le 10 juillet 2020 que le nombre d’applications « StopCovid France » installées et activées après la sortie de la nouvelle version s’élevait à environ 147 000. La Commission met ce chiffre en regard de ceux récupérés lors de ses contrôles des 25 et 26 juin 2020 : l’application avait alors été téléchargée « environ 1,9 million de fois » et activée « environ 1,5 million de fois ».

La mise en demeure demande au ministère de « cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central », par exemple « en forçant la mise à jour de l’application  »StopCovid France«  vers la nouvelle version v1.1. par le blocage de l’application dans sa version v1.0. »

La mise en demeure adressée au ministère : motivation et suites possibles

La Cnil souligne que son Bureau a décidé de rendre publique la mise en demeure adressée au ministère, « compte tenu du nombre particulièrement important de personnes concernées » (près de 2 millions d’utilisateurs) et du « caractère sensible des données personnelles » issues de l’application StopCovid France, qui portent sur l’état de santé des utilisateurs. La Commission estime que cette démarche de transparence « permet de sensibiliser les usagers de l’application à la nécessité d’accepter la mise à jour afin de disposer d’une application plus protectrice de leurs données ». 

La Commission rappelle cependant que cette mise en demeure « n’est pas une sanction  », car « aucune suite ne sera donnée à cette procédure » si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti. C’est dans le cas contraire que la présidente « pourra saisir la formation restreinte de la Cnil afin qu’une sanction soit prononcée ».

Fin
loader mask
1