Application StopCovid : la CNIL interpelle le gouvernement

application stop covid
securite-information - Sécurité de l'information
/
22/07/2020 - Magali Rossignol

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de  l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.


Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été pris en compte par le ministère des Solidarités et de la Santé.

Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. A ce jour, les deux versions de l’application coexistent.

La CNIL a notamment relevé les points suivants lors de ses contrôles :

  • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. Dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployé le 26 juin dernier. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
  • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Néanmoins, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
  • Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
  • Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points.

Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

BATISOLATION