En contrôlant la mise en œuvre de l’application StopCovid quant à « la conformité “de tout traitement de données à caractère personnel réalisé à partir de l’application” ou “portant sur des données à caractère personnel collectées” à partir de celle-ci », la Commission nationale informatique et libertés (CNIL) a identifié « des irrégularités au regard du RGPD et de la loi Informatique et libertés ». Suite à ce constat, elle a adressé une mise en demeure au ministère des Solidarités et de la Santé, dans une décision datée du 15 juillet. Il devra répondre aux différentes demandes sous un délai d’un mois.
Différents « manquements » ont été relevés. Même si, « pour l’essentiel », le fonctionnement de StopCovid respecte « les dispositions applicables relatives à la protection des données à caractère personnel », la CNIL note que « certaines dispositions prévues dans le règlement européen général de protection des données (RGPD) ne sont pas suivies ». Ainsi la Commission « demande au ministère de cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central “en méconnaissance du cadre légal défini par les dispositions du décret” mettant en place l’application ». Comme le rappelle l’organisme, la loi « prévoit normalement que l’historique de proximité se limite aux seules données de contacts de l’utilisateur avec d’autres utilisateurs pendant une durée déterminée et si la situation présente un risque de contamination » (cf. StopCovid : plus de données collectées qu’annoncé). La mise à jour de l’application doit être « forcée » selon Marie-Laure Denis, la présidente de la CNIL, car la nouvelle version est « davantage protectrice des données à caractère personnel ».
Concernant « la collecte des adresses IP lorsqu’un utilisateur se connecte à l’application », la CNIL ne la juge pas « irrégulière » mais indique qu’elle « doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement ». Il en va de même « pour la collecte d’informations présentes sur l’équipement mobile de l’utilisateur dans le cadre du Recaptcha de Google déployé dans la première version (v1.0), “dans l’hypothèse où ces données seraient encore collectées” ». Par ailleurs, le ministère devra « compléter l’information fournie aux utilisateurs de StopCovid dans les conditions prévues à l’article 13, “en fournissant aux utilisateurs une information complète sur les destinataires ou catégories de destinataires des données à caractère personnel” ».
Deuxième catégorie de manquements relevé par la CNIL, « un manquement au regard des dispositions de la loi Informatique et libertés ». Sur ce sujet, elle « demande de veiller “à informer et recueillir le consentement des personnes concernées aux actions de lecture et d’écriture des informations présentes sur les terminaux de communication électronique par la société Google dans le cadre de la technologie Recaptcha” dans sa première version ». En effet, « les utilisateurs de l’application ne sont pas informés de la collecte d’information stockées sur leurs équipements mobiles ni des moyens de refuser cette collecte ».
Enfin, la CNIL note que « l’évaluation formelle de l’effectivité de l’application n’avait pas débuté au moment des contrôles et que le calendrier de travail n’avait pas encore été établi par le ministère ». Une démarche que la présidente de la commission invite à engager « dans les meilleurs délais », avant de « lui rendre compte des résultats ».
Dans un communiqué, le ministère déclare que les améliorations requises par la CNIL « sont en ligne avec les travaux déjà engagés par le gouvernement » et qu’« afin de pouvoir mieux connaître ses modalités d’utilisation et évaluer son apport dans la lutte contre l’épidémie, un dispositif complet d’enquêtes va être lancé dans les prochaines semaines ».
Pour aller plus loin :
StopCovid : peu d’utilisateurs, beaucoup de frais et quelques arnaques
La CNIL donne son feu vert à l’application StopCovid mais des interrogations demeurent
Surveillance de l’épidémie ? Une atteinte au secret médical et à la vie privée
Recoverable fatal error : Argument 1 passed to xmlsitemap_node_create_link() must be an instance of stdClass, boolean given, called in /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module on line 28 and defined dans xmlsitemap_node_create_link() (ligne 194 dans /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module).
Hospimedia, Géraldine Tribault (20/07/2020) – Ministère des solidarités et de la santé (20/07/2020)