Articles

Application "StopCovid" : la CNIL tire les conséquences de ses contrôles

Rédigé par ID.CiTé le 21/07/2020



À la suite des contrôles diligentés par sa Présidente, la CNIL estime que la nouvelle version de l’application StopCovid respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier.

Conformément à ce qu’elle avait annoncé en mai dernier, la Présidente de la CNIL a décidé de diligenter des vérifications sur l’application StopCovid. Trois contrôles ont ainsi été organisés en juin afin de s’assurer que le fonctionnement de l’application "StopCovid France" répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.

Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus, la CNIL a constaté que ce problème était résolu sur la nouvelle version de l’application, déployée fin juin. Elle demande cependant à ce que cette nouvelle version soit généralisée à tous les utilisateurs de Stopcovid.

Pour le reste, la CNIL estime que cette nouvelle version respecte pour l’essentiel le RGPD et la loi Informatique et Libertés.

Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier. Elle a en particulier relevé certains manquements ponctuels relatifs à l’analyse d’impact, au recours au  re-captcha Google, dans l’information fournie au public et dans les contrats de sous-traitance.

La CNIL a notamment relevé les points suivants lors de ses contrôles :
- L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes…
- L’information fournie aux utilisateurs de l’application "StopCovid France" est quasiment conforme aux exigences du RGPD…
- Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
- Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points.

Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.


CNIL - Note complète - 2020-07-20