Application « StopCovid » : du mieux mais encore des manquements dit la CNIL

Posted on 10 août 2020

Tiré de la page facebook de Patrick Allemand du 10 août 2020.

À la suite des contrôles diligentés par sa Présidente, la CNIL a estimé que la nouvelle version de l’application StopCovid respectait pour l’essentiel le RGPD et la loi Informatique et Libertés. Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier.
Trois contrôles ont ainsi été organisés en juin afin de s’assurer que le fonctionnement de l’application « StopCovid France » répondait aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.
Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus, la CNIL a constaté que ce problème était résolu sur la nouvelle version de l’application, déployée fin juin. Elle demande cependant à ce que cette nouvelle version soit généralisée à tous les utilisateurs de StopCovid.
La CNIL a notamment relevé les points suivants lors de ses contrôles :
  • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes.
  • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD.
  • Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
  • Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère mais est incomplète en ce qui concerne des traitements de données réalisés à des fins de sécurité.
Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points.