[Brèves] Application « StopCovid » : la CNIL tire les conséquences de ses contrôles

À la suite des contrôles diligentés par sa Présidente, la CNIL estime que la nouvelle version de l’application StopCovid respecte pour l’essentiel le « RGPD » (Règlement n° 2016/ du 27 avril 2016 N° Lexbase : L0189K8I) et la loi « Informatique et Libertés » (loi n° 78-17 du 6 juillet 1978 N° Lexbase : L8794AGS) ;  elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier.

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.

Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel. En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.

Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du « RGPD » et de la loi « Informatique et Libertés » dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. À ce jour, les deux versions de l’application coexistent.

La CNIL a notamment relevé les points suivants lors de ses contrôles :

• L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
• L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du « RGPD » mais devrait être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
• Le contrat de sous-traitance conclu entre le ministère et INRIA  nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
• L’analyse d’impact relative à la protection des données réalisée par le ministère est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points.

Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

© Reproduction interdite, sauf autorisation écrite préalable