Après son lancement le 2 juin dernier, l’application StopCovid a été contrôlée par la Commission nationale de l’informatique et des libertés (Cnil). Dans son communiqué du 15 juillet, cette dernière la déclare conforme « pour l’essentiel au RGPD » dans sa dernière version v1.1.
Il est donc recommandé à tous les utilisateurs de mettre à jour leur appli. Néanmoins, certains manquements pointés par la Cnil n’ont pas été corrigés. Dès lors, elle a mis en demeure le ministère, qui a un mois pour mettre en conformité l’appli.
Des informations de traitement « incomplètes »
Les points problématiques sont essentiellement relatifs au traitement des données à caractère personnel, qui sont dans ce cas qualifiées de « sensibles » puisqu’elles ont trait à la santé.
La Cnil estime, sur ce point, que les informations sont « incomplètes ». Dans l’onglet « confidentialité » de la page officielle de l’appli destinée aux utilisateurs, l’Inria (Institut national de recherche en informatique et en automatique), partie prenante du projet depuis le début, n’est pas pourtant mentionné en tant que sous-traitant.
À la lecture, il semble que seul le ministère traite les données personnelles alors que l’Inria y a aussi accès. Un « manquement » évident au RGPD.
« Les informations fournies aux utilisateurs de l’application StopCovid […] devraient mentionner l’existence d’un sous-traitant », souligne la mise en demeure datée du 15 juillet.
Ce manque de transparence se reflète également dans certaines clauses du contrat passé avec l’Inria. La Cnil constate que les informations sur les « obligations », les « droits » et les « conditions » relatives à cette sous-traitance sont, elles-aussi, « incomplètes ».
Un consentement récolté de manière « irrégulière »
Autre révélateur d’opacité du dispositif : la Cnil met en exergue le manque de précisions de l’étude d’impact menée par le ministère de la Santé sur les « les mesures pour limiter les risques ».
Cependant, la mise en demeure précise que la collecte d’adresses IP via la solution DDOS (étudiée dans cette étude d’impact) n’a pour objectif que « d’assurer la sécurité du dispositif », dès lors, elle n’est pas « irrégulière » aux yeux de la Cnil.
Le gendarme de la protection des données tique également sur le mode de recueil du consentement des utilisateurs. « Le consentement de l’utilisateur portant sur l’accès aux informations stockées sur son équipement mobile ou sur l’inscription d’informations sur son équipement mobile n’est recueilli à aucun moment du parcours d’activation de l’application StopCovid », pointe la Cnil. Au moment du contrôle, aucune correction n’avait été observée dans la dernière version de l’appli.
La fonction pré-filtrage activée
Toutefois, l’autorité remarque certaines corrections, notamment sur le « pré-filtrage » de l’historique. Dans la première version (v1.0), lorsqu’un utilisateur se déclarait positif au virus Covid-19, l’ensemble de son historique de contacts remontait au serveur central géré pour le compte du ministère, sans processus de filtrage préalable des données, « reposant sur des critères de distance et de durée du contact [1 mètre et 15 minutes, NDLR] », a signalé la Cnil. Or, poursuit-elle, ce traitement « doit procéder à un premier filtrage au niveau du téléphone ». Dans la version 1.1, la Cnil note l’effort fourni par les autorités.
« La dernière version disponible de l’application – dans laquelle la fonctionnalité de pré-filtrage des données de l’historique de contacts est active au niveau du téléphone de l’utilisateur – est […] davantage protectrice des données à caractère personnel », tranche l’autorité indépendante.
La Cnil exhorte donc le gouvernement à « compléter » les informations relatives au traitement des données, à la sous-traitance par l’Inria et au mode de consentement des utilisateurs d’ici le 15 août 2020. Elle demande également de « forcer la mise à jour » de l’appli afin que la remontée disproportionnée d’informations relatives à l’historique de l’utilisateur ne soit plus automatique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.