StopCovid : la CNIL constate des "irrégularités" et appelle le gouvernement à les corriger

20 juillet 2020 à 17h35
0
© Alexandre Boero pour Clubic

La Commission nationale de l'informatique et des libertés, qui avait promis de procéder à des vérifications poussées de l'application de suivi de contacts, a annoncé avoir mis en demeure le ministère des Solidarités et de la Santé.

Comme la présidente de la CNIL, Marie-Laure Denis, avait pu le promettre en mai dernier, le gendarme des données a procédé à plusieurs contrôles, les 9, 25 et 26 juin devant s'assurer du bon traitement de données à caractère personnel effectué au travers de l'exploitation de l'application de contact tracing StopCovid, dont on ne parle plus depuis le mois de juin et la levée progressive des mesures sanitaires fortes.

La CNIL veut forcer la mise à jour vers la deuxième version de StopCovid

Les contrôles effectués par la CNIL ont donné lieu à une délibération du 16 juillet, officialisant la décision rendue la veille et mettant en demeure le ministère des Solidarités et de la Santé, accusé de certaines irrégularités via l'application StopCovid, qui comptait près de 2 millions d'utilisateurs à la fin du mois de juin. Entrons un peu plus dans les détails.

Pour l'essentiel, l'autorité administrative indépendante admet que StopCovid respecte « les dispositions applicables relatives à la protection des données à caractère personnel », et salue que ses premières préconisations, remontant à ses avis des 24 avril et 25 mai, aient pu être prises en compte. Par exemple, désormais, seuls les contacts les plus susceptibles d'avoir été exposés au Covid-19 remontent vers le serveur central. Avant, c'était l'ensemble des contacts des utilisateurs qui remontaient. Mais pour elle, des manquements demeurent notamment vis-à-vis du RGPD et de la loi Informatique et Libertés, dont elle est la garante.

Si dans la version actuelle, l'historique de contacts ne conserve que les utilisateurs de l'application ayant été en contact à moins d'un mètre et durant au moins 15 minutes, la CNIL souhaite que cette deuxième version, déployée le 26 juin dernier, soit généralisée. En d'autres termes, l'autorité souhaite forcer la bascule de la version v.1.0 à la v.1.1.

La Commission demande à ce que l'information aux utilisateurs soit détaillée et renforcée

Un autre détail a chagriné la CNIL. Il s'agit de l'information apportée aux utilisateurs de StopCovid. L'autorité souhaite que celle-ci puisse être complétée au sujet des destinataires ou des catégories de destinataires des données à caractère personnel qui sont issues de l'application et sur les opérations de lecture des informations présentes sur les équipements terminaux, (reCaptcha de Google) ainsi que le droit de refuser ces opérations de lecture.

La Commission demande aussi au ministère de faire en sorte que le contrat de sous-traitance de l'application conclu avec INRIA, qui comporte de nombreuses informations exigées par le RGPD, soit aussi complété, pour y inclure les obligations du sous-traitant. Enfin, la CNIL demande à ce que l'analyse d'impact sur la protection des données personnelles de StopCovid puisse mentionner la collecte de l'adresse IP du smartphone de l'utilisateur, pour se conformer à la solution anti DDoS d'Orange, ainsi que la collecte de données éventuellement ponctionnées par Google via le reCaptcha, mais cela concernait davantage la version v.1.0.

Le gouvernement et le ministère ont ainsi été mis en demeure par la CNIL de se mettre en conformité avec ses exigences dans un délai d'un mois. Nous sommes dans le cadre d'une procédure très classique, ici. Rappelons qu'une mise en demeure n'équivaut pas à une sanction. Seule une absence d'alignement du ministère au-delà du délai pourrait conduire la formation restreinte de la CNIL à se réunir pour ainsi prononcer une sanction.

Source : CNIL

Modifié le 20/07/2020 à 17h36
10
9
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Vignette Crit'air : vers un durcissement des conditions d'obtention
Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Plus de 700 km d'autonomie annoncés pour la Mercedes EQS
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
AMD : fleuron de la future cuvée Zen 3, le Ryzen 9 4950X pourrait monter à 4,8 GHz
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales
scroll top