La Cnil a validé pour l’essentiel la dernière version de StopCovid. Elle a également relevé quelques irrégularités. Le ministère de la Santé a été mis en demeure d’y remédier rapidement. Explications.
Validation pour l’essentiel de StopCovid
Le 2 juin 2020, le gouvernement a lancé une application appelée StopCovid visant à contenir la propagation du virus Covid-19. Dans ce but, les utilisateurs sont prévenus lorsqu’ils ont été en contact avec un malade diagnostiqué positif au Covid-19.
Pour cela, l’application n’utilise pas la géolocalisation du téléphone mais le système Bluetooth qui alertera l’utilisateur s’il a été en contact avec un porteur durant plus de 15min à moins d’un mètre. On a donc affaire ici à une récolte des données personnelles des utilisateurs qui pourraient en inquiéter plus d’un. Ainsi, ce système ne peut être imposé et fonctionne sur la base du volontariat. En outre, il est strictement encadré dans les traitement des données, leur conservation, la finalité de cette récolte, etc.
Néanmoins, depuis son lancement son succès est assez relatif avec moins de 1,5 million d’utilisateurs, selon un bilan du gouvernement établi le 23 juin.
Modifications exigées par la Cnil
L’application StopCovid a fait l’objet de différents contrôles depuis sa conception jusqu’à sa mise en œuvre. Ces derniers ont donc permis à la Cnil de constater que la plupart de ses préconisations ont bien été respectées par le ministère.
Mais le gardien des données personnelles des français a, tout de même, relevé quelques manquements qui subsiste sur l’application et justifie la mise en demeure :
- Contrat de sous-traitance conclu entre le ministère et l’INRIA : Il est nécessaire de préciser davantage certaines informations concernant les obligations du sous-traitant au regard du RGPD.
- Première version de l’application : le filtrage des contacts de l’utilisateur, qui permet de retenir uniquement ceux avec lequel il a été en contact à moins d’1m pendant au moins 15min, ne s’effectuait que dans un second temps par le serveur central. Hors, le décret prévoyait qu’il devait être effectué directement par le téléphone afin de limiter la collecte de données. Ce problème a été réglée par la deuxième version de l’application et la Cnil exige donc de généraliser cette version pour tous les utilisateurs.
- Protection des données traitées : La Cnil a relevé les efforts du ministère pour se mettre en conformité avec le RGPD. Cependant, la commission a aussi noté que les informations fournies aux utilisateurs devaient être encore complétées. En effet, l’information a été reconnu comme insuffisante concernant le destinataires des données récoltées mais aussi pour le recaptcha.
