Pour la Cnil, StopCovid respecte désormais la législation en vigueur
Mis en demeure fin juillet par la Cnil, le ministère de la Santé a finalement démontré que les manquements au RGPD avaient cessé. L'application StopCovid respecte désormais pleinement la législateur en vigueur, conclut le gendarme de la vie privée qui clôture sa procédure de contrôle.
Alice Vitard
Mis à jour
04 septembre 2020
[Mise à jour le 04/09/2020] La Commission nationale de l'informatique et des libertés annonce la clôture de la mise en demeure adressée au ministère de la Santé pour non-respect du RGPD. "Les éléments de réponse (…) ont permis de démontrer que les manquements constatés avaient cessé", indique l'autorité qui avait lancé une procédure de contrôle sur l'application StopCovid. Parmi les éléments modifiés par le gouvernement, se trouvent la mise en place d'un préfiltrage de l'historique des contacts, l'abandon du "reCaptcha" de Google et l'ajout de mentions dans le contrat de sous-traitance.
Article original : La Commission nationale de l'informatique et des libertés (Cnil) avait promis qu'elle allait diligenter des contrôles sur StopCovid. Dans un avis rendu le 20 juillet, elle pointe une série de manquements au Règlement général sur la protection des données (RGPD) et à la Loi Informatique et Libertés.
Face à des irrégularités, le gendarme de la vie privée met en demeure le ministère de la Santé et des Solidarités qui a désormais un mois pour modifier l'application de contact tracing. Le gendarme de la vie privée l'invite également à engager "dans les meilleurs délais" une démarche d'évaluation de la contribution de StopCovid à la stratégie sanitaire globale. Durant ces trois contrôles, la Cnil a relevé quatre problématiques.
UNE ANALYSE D'IMPACT INCOMPLÈTE
La première concerne l'historique de contacts. "L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes", indique l'autorité. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur, contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application, déployée le 26 juin dernier. La Cnil demande à ce que l'utilisation de cette nouvelle version soit généralisée.
La deuxième irrégularité est liée à l'information fournie aux utilisateurs de StopCovid. Elle doit être complétée sur "les destinataires de ces données", "les opérations de lecture des informations présentes sur les équipements terminaux" et "le droit de refuser ces opérations de lecture".
De plus, le contrat de sous-traitance conclu entre le ministère de la Santé et l'Institut national de recherche en sciences et technologies du numériques (Inria) nécessite d'être complété avec les obligations du sous-traitant. Enfin, la Cnil estime que l'analyse d'impact relative à la protection des données est incomplète "en ce qui concerne des traitements de données réalisées à des fins de sécurité" tel que la solution anti-DDOS collectant l'adresse IP.
Une application au centre des polémiques
Alors qu'elle pointe de nombreuses irrégularités, la Cnil affirme que tout de même que "la version de StopCovid respecte pour l'essentiel le RGPD et la Loi Informatique et Liberté". C'est le nombre d'utilisateurs de l'application, près de deux millions, qui justifie d'après la Commission de rendre public cette mise en demeure.
Un chiffre qui reste très bas par rapport aux autres pays ayant également déployé une application pour détecter les chaînes de transmission et lutter contre la propagation du Covid-19.Le spécialiste du marketing des applications mobiles Sensor Tower a publié le 14 juillet le taux d'adoption des applications proposées dans 13 pays de plus de 20 millions d'habitants. Ce classement est dominé par l'Australie, dont 21,6% des habitants ont adopté l’appli COVIDSafe, suit la Turquie (17,3%) puis l'Allemagne (14,4%).
La France est à la 9ème place avec environ 3% des habitants qui ont téléchargé StopCovid. D'après une étude publiée dans la revue Science, un taux d'adoption en dessous de 60 % empêche une application de contact tracing d'être efficace. Une inquiétude soulevée maintes fois par la Cnil.
Au-delà de son inefficacité, c'est le coût de StopCovid supporté par l'Etat qui soulève des inquiétudes. L'Obs a révélé le 10 juin que l'association de lutte contre la corruption Anticor a déposé un signalement au procureur de la République craignant "un risque de surfacturation" en l'absence de marché public.
Quelques jours plus tard, lors d'une conférence de presse, le secrétaire d'Etat au Numérique Cédric O a promis de faire toute la transparence sur le coût et les modalités d'hébergement de l'application confié à Outscale, filiale de Dassault Systèmes.
SUR LE MÊME SUJET
1Commentaire
Réagir
