StopCovid : La CNIL pointe des manquements et met en demeure le ministère de la Santé

Publié le : 21 juillet 2020

En contrôlant la mise en œuvre de l’application StopCovid quant à « la conformité « de tout traitement de données à caractère personnel réalisé à partir de l’application » ou « portant sur des données à caractère personnel collectées » à partir de celle-ci », la Commission nationale informatique et libertés (CNIL) a identifié « des irrégularités au regard du RGPD et de la loi Informatique et libertés ». Suite à ce constat, elle a adressé une mise en demeure au ministère des Solidarités et de la Santé, dans une décision datée du 15 juillet. Il devra répondre aux différentes demandes sous un délai d’un mois.

Différents « manquements » ont été relevés. Même si, « pour l’essentiel », le fonctionnement de StopCovid respecte « les dispositions applicables relatives à la protection des données à caractère personnel », la CNIL note que « certaines dispositions prévues dans le règlement européen général de protection des données (RGPD) ne sont pas suivies ». Ainsi la Commission « demande au ministère de cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central « en méconnaissance du cadre légal défini par les dispositions du décret » mettant en place l’application ». Comme le rappelle l’organisme, la loi « prévoit normalement que l’historique de proximité se limite aux seules données de contacts de l’utilisateur avec d’autres utilisateurs pendant une durée déterminée et si la situation présente un risque de contamination » (cf. StopCovid : plus de données collectées qu’annoncé). La mise à jour de l’application doit être « forcée » selon Marie-Laure Denis, la présidente de la CNIL, car la nouvelle version est « davantage protectrice des données à caractère personnel ».

Concernant « la collecte des adresses IP lorsqu’un utilisateur se connecte à l’application », la CNIL ne la juge pas « irrégulière » mais indique qu’elle « doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement ». Il en va de même « pour la collecte d’informations présentes sur l’équipement mobile de l’utilisateur dans le cadre du Recaptcha de Google déployé dans la première version (v1.0), « dans l’hypothèse où ces données seraient encore collectées » ». Par ailleurs, le ministère devra « compléter l’information fournie aux utilisateurs de StopCovid dans les conditions prévues à l’article 13, « en fournissant aux utilisateurs une information complète sur les destinataires ou catégories de destinataires des données à caractère personnel » ».

Deuxième catégorie de manquements relevé par la CNIL, « un manquement au regard des dispositions de la loi Informatique et libertés ». Sur ce sujet, elle « demande de veiller « à informer et recueillir le consentement des personnes concernées aux actions de lecture et d’écriture des informations présentes sur les terminaux de communication électronique par la société Google dans le cadre de la technologie Recaptcha » dans sa première version ». En effet, « les utilisateurs de l’application ne sont pas informés de la collecte d’information stockées sur leurs équipements mobiles ni des moyens de refuser cette collecte ».

Enfin, la CNIL note que « l’évaluation formelle de l’effectivité de l’application n’avait pas débuté au moment des contrôles et que le calendrier de travail n’avait pas encore été établi par le ministère ». Une démarche que la présidente de la commission invite à engager « dans les meilleurs délais », avant de « lui rendre compte des résultats ».

Dans un communiqué, le ministère déclare que les améliorations requises par la CNIL « sont en ligne avec les travaux déjà engagés par le gouvernement » et qu’« afin de pouvoir mieux connaître ses modalités d’utilisation et évaluer son apport dans la lutte contre l’épidémie, un dispositif complet d’enquêtes va être lancé dans les prochaines semaines ».

 

Complément du 10/09/2020 :

Le 4 septembre, la présidente de la Commission nationale de l’informatique et des libertés (Cnil), Marie-Laure Denis, a fait savoir dans un communiqué de presse avoir « « décidé de procéder à la clôture de la mise en demeure adressée au ministère des solidarités et de la santé » concernant StopCovid ».

Le communiqué précise que « les éléments de réponse apportés par le ministère au cours du mois d’août ont permis de démontrer que les manquements constatés lors du contrôle avaient cessé ». « Le ministère a en effet pris les mesures nécessaires pour se mettre en conformité avec les injonctions de la mise en demeure ».

« StopCovid a alerté 81 cas contacts en un peu moins de trois mois, selon les dernières données communiquées par la direction générale de la santé (DGS) ».

 

Pour aller plus loin :

 

Sources : Hospimedia, Géraldine Tribault (20/07/2020) – Ministère des solidarités et de la santé (20/07/2020) – Tic Santé, Léo Caravagna (09/09/2020)

 

Partager cet article

Synthèse de presse

Chronique audio

Textes officiels

ressources

Fiches pratiques

Bibliographies

S'abonner aux lettres