Trois contrôles et quelques irrégularités. La Commission nationale de l’informatique et des libertés (Cnil) a procédé courant juin à plusieurs vérifications quant au fonctionnement de l’application StopCovid, lancée le 2 juin par le gouvernement dans le cadre de la lutte contre la pandémie du Covid-19. Résultat : l’organisme a relevé plusieurs irrégularités, et met en demeure le ministère des Solidarités et de la Santé d’y remédier dans un délai d'un mois, selon un avis publié lundi 20 juillet.
Premier écueil : la première version de l’application, qui enregistre les identifiants des personnes croisées pour les informer d’un risque si l’utilisateur est testé positif au Covid-19 a posteriori, est toujours utilisée. Or cette version collectait plus de données que nécessaire – elle faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts susceptibles d’avoir été exposés au virus – ce qui n’est pas conforme au règlement européen du RGPD. Si ce problème a été résolu sur la nouvelle version de l’application, déployée fin juin, la Cnil demande que "cette nouvelle version soit généralisée à tous les utilisateurs de Stopcovid".
2 millions d’utilisateurs
Par ailleurs, plusieurs manquements aux dispositions du règlement européen de protection des données personnelles (RGPD) et de la loi Informatique et Libertés ont été relevés par la Cnil. Tout d’abord concernant l’information communiquée aux utilisateurs de l’application, qui doit être complétée concernant les destinataires des données, les opérations de lecture des informations présentes sur le smartphone et le droit de refuser ces opérations de lecture.
Souci d’exhaustivité aussi du côté de l’analyse d’impact relative à la protection des données, réalisée par le ministère de la Santé. Celle-ci est incomplète concernant les traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et re-captcha). Enfin, le contrat de sous-traitance conclu entre le ministère et l’Institut national de recherche en informatique et en automatique (Inria), qui a piloté le développement de l'application, nécessite d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
L’Etat a donc un mois pour mettre l’application, utilisée par près de 2 millions de personnes, en conformité total avec le cadre législatif européen en vigueur. La Cnil pourrait sinon prononcer une sanction.
