StopCovid : La CNIL pointe des manquements et met en demeure le ministère de la Santé

Publié le 21 Juil, 2020

En contrôlant la mise en œuvre de l’application StopCovid quant à « la conformité “de tout traitement de données à caractère personnel réalisé à partir de l’application” ou “portant sur des données à caractère personnel collectées” à partir de celle-ci », la Commission nationale informatique et libertés (CNIL) a identifié « des irrégularités au regard du RGPD et de la loi Informatique et libertés ». Suite à ce constat, elle a adressé une mise en demeure au ministère des Solidarités et de la Santé, dans une décision datée du 15 juillet. Il devra répondre aux différentes demandes sous un délai d’un mois.

 

Différents « manquements » ont été relevés. Même si, « pour l’essentiel », le fonctionnement de StopCovid respecte « les dispositions applicables relatives à la protection des données à caractère personnel », la CNIL note que « certaines dispositions prévues dans le règlement européen général de protection des données (RGPD) ne sont pas suivies ». Ainsi la Commission « demande au ministère de cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central “en méconnaissance du cadre légal défini par les dispositions du décret” mettant en place l’application ». Comme le rappelle l’organisme, la loi « prévoit normalement que l’historique de proximité se limite aux seules données de contacts de l’utilisateur avec d’autres utilisateurs pendant une durée déterminée et si la situation présente un risque de contamination » (cf. StopCovid : plus de données collectées qu’annoncé). La mise à jour de l’application doit être « forcée » selon Marie-Laure Denis, la présidente de la CNIL, car la nouvelle version est « davantage protectrice des données à caractère personnel ».

 

Concernant « la collecte des adresses IP lorsqu’un utilisateur se connecte à l’application », la CNIL ne la juge pas « irrégulière » mais indique qu’elle « doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement ». Il en va de même « pour la collecte d’informations présentes sur l’équipement mobile de l’utilisateur dans le cadre du Recaptcha de Google déployé dans la première version (v1.0), “dans l’hypothèse où ces données seraient encore collectées” ». Par ailleurs, le ministère devra « compléter l’information fournie aux utilisateurs de StopCovid dans les conditions prévues à l’article 13, “en fournissant aux utilisateurs une information complète sur les destinataires ou catégories de destinataires des données à caractère personnel” ».

 

Deuxième catégorie de manquements relevé par la CNIL, « un manquement au regard des dispositions de la loi Informatique et libertés ». Sur ce sujet, elle « demande de veiller “à informer et recueillir le consentement des personnes concernées aux actions de lecture et d’écriture des informations présentes sur les terminaux de communication électronique par la société Google dans le cadre de la technologie Recaptcha” dans sa première version ». En effet, « les utilisateurs de l’application ne sont pas informés de la collecte d’information stockées sur leurs équipements mobiles ni des moyens de refuser cette collecte ».

 

Enfin, la CNIL note que « l’évaluation formelle de l’effectivité de l’application n’avait pas débuté au moment des contrôles et que le calendrier de travail n’avait pas encore été établi par le ministère ». Une démarche que la présidente de la commission invite à engager « dans les meilleurs délais », avant de « lui rendre compte des résultats ».

 

Dans un communiqué, le ministère déclare que les améliorations requises par la CNIL « sont en ligne avec les travaux déjà engagés par le gouvernement » et qu’« afin de pouvoir mieux connaître ses modalités d’utilisation et évaluer son apport dans la lutte contre l’épidémie, un dispositif complet d’enquêtes va être lancé dans les prochaines semaines ».

 

 

Pour aller plus loin :

StopCovid : en chiffres

StopCovid : peu d’utilisateurs, beaucoup de frais et quelques arnaques

La CNIL donne son feu vert à l’application StopCovid mais des interrogations demeurent

Surveillance de l’épidémie ? Une atteinte au secret médical et à la vie privée

 

Recoverable fatal error : Argument 1 passed to xmlsitemap_node_create_link() must be an instance of stdClass, boolean given, called in /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module on line 28 and defined dans xmlsitemap_node_create_link() (ligne 194 dans /home/webs/genethique.org/html/sites/all/modules/contrib/xmlsitemap/xmlsitemap_node/xmlsitemap_node.module).

Hospimedia, Géraldine Tribault (20/07/2020) – Ministère des solidarités et de la santé (20/07/2020)

 

Partager cet article

Synthèses de presse

Carmat : un « risque de dysfonctionnement » des cœurs artificiels
/ Don d'organes

Carmat : un « risque de dysfonctionnement » des cœurs artificiels

La société Carmat indique avoir identifié « chez certains patients », un « risque de dysfonctionnement » de sa prothèse ...
Canada : plus de 15 000 euthanasies en 2023, un chiffre encore en augmentation
/ Fin de vie

Canada : plus de 15 000 euthanasies en 2023, un chiffre encore en augmentation

En 2023, 15 343 personnes sont décédées suite à une « aide médicale à mourir » au Canada, ce qui ...
HAS : vers un « service public de la transition de genre » ?
/ Genre

HAS : vers un « service public de la transition de genre » ?

La HAS est actuellement en train de finaliser ses recommandations en termes de prise en charge des personnes se déclarant ...

 

Textes officiels

 

Fiches Pratiques

Bibliographie

Lettres

Recevez notre lettre hebdomadaire

Recevez notre lettre hebdomadaire

Chaque semaine notre décryptage de l'actualité bioéthique et revue de presse.

Votre inscription a bien été prise en compte.