Application StopCovid : clôture de la mise en demeure à l’encontre du ministère des Solidarités et de la Santé

04 septembre 2020

Par décision du 3 septembre 2020, la Présidente de la CNIL a décidé de procéder à la clôture de la mise en demeure du 20 juillet 2020 adressée au ministère des Solidarités et de la Santé.

Le 20 juillet 2020, la Présidente de la CNIL a rendu publique une mise en demeure à l’encontre du ministère des Solidarités et de la Santé concernant le traitement des données personnelles mis en œuvre dans le cadre de l’application StopCovid.

En effet, même si les trois opérations de contrôles réalisées par la CNIL au mois de juin 2020 avaient permis de constater que le fonctionnement de l’application StopCovid respectait pour l’essentiel les exigences de protection de la vie privée et des données personnelles des utilisateurs, la CNIL a néanmoins relevé plusieurs manquements aux dispositions du RGPD et à la loi Informatique et Libertés.

La Présidente avait donc mis en demeure le ministère de mettre l’application Stopcovid en conformité dans le délai d’un mois sur les points suivants :

  • veiller à ce que la nouvelle version de l’application, qui permet de n’envoyer que l’historique de proximité, soit généralisée ;
  • compléter l’information fournie aux utilisateurs de l’application sur les destinataires de ces données, sur les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via la technologie reCaptcha) et le droit de refuser ces opérations de lecture ;
  • compléter le contrat de sous-traitance conclu entre le ministère et INRIA conformément aux exigences du RGPD ;
  • compléter l’analyse d’impact relative à la protection des données (AIPD) sur des traitements de données réalisés à des fins de sécurité.

Les éléments de réponse apportés par le ministère au cours du mois d’août ont permis de démontrer que les manquements constatés lors du contrôle avaient cessé. Le ministère a en effet pris les mesures nécessaires pour se mettre en conformité avec les injonctions de la mise en demeure.

Tout d’abord, les utilisateurs disposant de la première version de l’application (v1.0) – dans laquelle le filtrage de l’historique de contacts de l’utilisateur s’effectuait au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur – se voient désormais afficher un écran de mise à jour les empêchant d’activer l’application ou de remonter leurs données de contact sans procéder à une mise à jour préalable. Cette nouvelle version de l’application (v1.1) impose quant à elle un préfiltrage de l’historique des contacts de l’utilisateur au niveau du téléphone. En conséquence, il est désormais impossible que l’intégralité de l’historique des contacts de l’utilisateur remonte vers le serveur central, sans préfiltrage au niveau du téléphone.

Ensuite, Le ministère n’a plus recours au système de « reCaptcha » proposé par la société Google. Il n’y a donc plus d’opérations de lecture et d’écriture sur le terminal en lien avec cette technologie, même pour les utilisateurs de la première version de l’application (v1.0).

Par ailleurs, le ministère a complété les mentions d’information fournies aux utilisateurs de l’application en mentionnant INRIA en qualité de destinataire des données personnelles.

Le ministère a également complété les clauses de son contrat de sous-traitance avec INRIA, afin qu’y figure l’ensemble des informations exigées par le RGPD.

Enfin, l’AIPD de l’application StopCovid a bien été complétée s’agissant des mesures de sécurité permettant de prévenir certaines attaques informatiques.

La Présidente de la CNIL a considéré que, dans ces conditions, le ministère des Solidarités et de la Santé s’était mis en conformité avec le RGPD et la loi Informatique et Libertés et a décidé de procéder à la clôture de la procédure.

Les mots clés associés à cet article