Actualités

Application STOPCOVID : le Gouvernement mis en demeure par la CNIL

Le 20 juillet, la CNIL a rendu public les résultats des contrôles qu’elle a opérés sur l’application StopCovid afin de s’assurer que son fonctionnement répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.

Si l’application de contact tracing « respecte pour l’essentiel le RGPD et la loi Informatique et Libertés », la CNIL relève cependant dans une mise en demeure du 15 juillet adressée au ministère des solidarités et de la santé, plusieurs irrégularités :

  • A l’inverse de la seconde version de l’application sortie fin juin, la première version encore utilisée, fait remonter l’intégralité des données au serveur central de l’historique de contacts de l’utilisateur sans processus de pré-filtrage préalable des données, reposant sur des critères de distance et de durée du contact avec un autre utilisateur ;
  • L’information fournie aux utilisateurs relative aux destinataires/catégories de destinataires des données à caractère personnel ne mentionne pas l’existence de l’INRIA en tant que sous-traitant ;
  • Le contrat de sous-traitance conclu entre le ministère et l’INRIA ne précise pas (i) les obligations et les droits du ministère et (ii) les conditions dans lesquelles l’INIRA s’engage à effectuer pour le compte du ministère les opérations de traitement ;
  • L’analyse d’impact de l’application relative à la protection des données ne décrit pas la totalité des opérations de traitement réalisées par l’application et notamment (i) la collecte des adresses IP des utilisateurs et (ii) pour la première version de STOPCOVID,  la collecte d’informations stockées sur les équipements mobiles des utilisateurs en raison de l’usage de la technologie reCAPTCHA de GOOGLE ;

La CNIL invite également le gouvernement à procéder à l’évaluation formelle « de l’effectivité de l’application » dans la lutte contre l’épidémie. Celle-ci fait en effet débat dans la mesure où seules 14 personnes auraient été averties et 68 personnes se seraient signalées comme malades trois semaines après son déploiement.

Cette mise en demeure qui a été rendue publique compte-tenu du nombre de personnes concernées par l’application ne constitue toutefois pas une sanction. Le ministère a en effet un mois pour se conformer à la mise en demeure.

Aurélie BRÉGOU / Lucile Martin de Montchalin