La Commission nationale de l'informatique et des libertés, qui avait promis de procéder à des vérifications poussées de l'application de suivi de contacts, a annoncé avoir mis en demeure le ministère des Solidarités et de la Santé.
Comme la présidente de la CNIL, Marie-Laure Denis, avait pu le promettre en mai dernier, le gendarme des données a procédé à plusieurs contrôles, les 9, 25 et 26 juin devant s'assurer du bon traitement de données à caractère personnel effectué au travers de l'exploitation de l'application de contact tracing StopCovid, dont on ne parle plus depuis le mois de juin et la levée progressive des mesures sanitaires fortes.
La CNIL veut forcer la mise à jour vers la deuxième version de StopCovid
Les contrôles effectués par la CNIL ont donné lieu à une délibération du 16 juillet, officialisant la décision rendue la veille et mettant en demeure le ministère des Solidarités et de la Santé, accusé de certaines irrégularités via l'application StopCovid, qui comptait près de 2 millions d'utilisateurs à la fin du mois de juin. Entrons un peu plus dans les détails.
Pour l'essentiel, l'autorité administrative indépendante admet que StopCovid respecte « les dispositions applicables relatives à la protection des données à caractère personnel », et salue que ses premières préconisations, remontant à ses avis des 24 avril et 25 mai, aient pu être prises en compte. Par exemple, désormais, seuls les contacts les plus susceptibles d'avoir été exposés au Covid-19 remontent vers le serveur central. Avant, c'était l'ensemble des contacts des utilisateurs qui remontaient. Mais pour elle, des manquements demeurent notamment vis-à-vis du RGPD et de la loi Informatique et Libertés, dont elle est la garante.
Si dans la version actuelle, l'historique de contacts ne conserve que les utilisateurs de l'application ayant été en contact à moins d'un mètre et durant au moins 15 minutes, la CNIL souhaite que cette deuxième version, déployée le 26 juin dernier, soit généralisée. En d'autres termes, l'autorité souhaite forcer la bascule de la version v.1.0 à la v.1.1.
La Commission demande à ce que l'information aux utilisateurs soit détaillée et renforcée
Un autre détail a chagriné la CNIL. Il s'agit de l'information apportée aux utilisateurs de StopCovid. L'autorité souhaite que celle-ci puisse être complétée au sujet des destinataires ou des catégories de destinataires des données à caractère personnel qui sont issues de l'application et sur les opérations de lecture des informations présentes sur les équipements terminaux, (reCaptcha de Google) ainsi que le droit de refuser ces opérations de lecture.
La Commission demande aussi au ministère de faire en sorte que le contrat de sous-traitance de l'application conclu avec INRIA, qui comporte de nombreuses informations exigées par le RGPD, soit aussi complété, pour y inclure les obligations du sous-traitant. Enfin, la CNIL demande à ce que l'analyse d'impact sur la protection des données personnelles de StopCovid puisse mentionner la collecte de l'adresse IP du smartphone de l'utilisateur, pour se conformer à la solution anti DDoS d'Orange, ainsi que la collecte de données éventuellement ponctionnées par Google via le reCaptcha, mais cela concernait davantage la version v.1.0.
Le gouvernement et le ministère ont ainsi été mis en demeure par la CNIL de se mettre en conformité avec ses exigences dans un délai d'un mois. Nous sommes dans le cadre d'une procédure très classique, ici. Rappelons qu'une mise en demeure n'équivaut pas à une sanction. Seule une absence d'alignement du ministère au-delà du délai pourrait conduire la formation restreinte de la CNIL à se réunir pour ainsi prononcer une sanction.
Source : CNIL
