Application « StopCovid » : la CNIL tire les conséquences de ses contrôles

20 juillet 2020

À la suite des contrôles diligentés par sa Présidente, la CNIL estime que la nouvelle version de l’application StopCovid respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier.

L’essentiel

  • Conformément à ce qu’elle avait annoncé en mai dernier, la Présidente de la CNIL a décidé de diligenter des vérifications sur l’application StopCovid. Trois contrôles ont ainsi été organisés en juin afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. 
  • Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus, la CNIL a constaté que ce problème était résolu sur la nouvelle version de l’application, déployée fin juin. Elle demande cependant à ce que cette nouvelle version soit généralisée à tous les utilisateurs de Stopcovid.
  • Pour le reste, la CNIL estime que cette nouvelle version respecte pour l’essentiel le RGPD et la loi Informatique et Libertés.
  • Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier. Elle a en particulier relevé certains manquements ponctuels relatifs à l’analyse d’impact, au recours au  re-captcha Google, dans l’information fournie au public et dans les contrats de sous-traitance.

 

Dans le contexte de l’état d’urgence sanitaire liée à l’épidémie de COVID-19 et de la stratégie de déconfinement, le ministère des Solidarités et de la Santé propose, depuis le 2 juin 2020, l’application mobile « StopCovid France », disponible sur ordiphones (smartphones).

Il s’agit d’une application de suivi de contacts qui permet à l’utilisateur de se déclarer diagnostiqué positif au virus SARS-CoV-2. Elle permet également aux utilisateurs d’être informés qu’ils ont été à proximité d’un autre utilisateur diagnostiqué positif au virus SARS-CoV-2 et d’être invités à se rapprocher d’un professionnel de santé pour être pris en charge le plus rapidement possible. 

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs.  Ils ont débuté le 9 juin dernier par un contrôle en ligne de l’application et l’envoi d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre. Ils se sont poursuivis par des contrôles sur place les 25 et 26 juin 2020.

Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été pris en compte par le ministère des Solidarités et de la Santé.

En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.

Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. A ce jour, les deux versions de l’application coexistent.

La CNIL a notamment relevé les points suivants lors de ses contrôles :

  • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployé le 26 juin dernier. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
  • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Néanmoins, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
  • Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
  • Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points.

Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

Compte tenu du nombre particulièrement important de personnes concernées (près de 2 millions d’utilisateurs) et du caractère sensible des données personnelles issues de l’application « StopCovid France », qui portent sur l’état de santé des utilisateurs, le Bureau de la CNIL a décidé de rendre publique cette mise en demeure.

Cette publicité contribue également à l’objectif de transparence du contrôle mené par la CNIL sur les conditions et modalités du fonctionnement de l’application « StopCovid France », mise en œuvre par un responsable public dans le cadre d’une mission d’intérêt public. A cet égard, elle permet de sensibiliser les usagers de l’application à la nécessité d’accepter la mise à jour afin de disposer d’une application plus protectrice de leurs données. 

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi  Informatique et Libertés dans le délai imparti. Dans ce cas, la clôture de la procédure sera également publique. Dans le cas contraire, la Présidente pourra saisir la formation restreinte de la CNIL afin qu’une sanction soit prononcée.

Les mots clés associés à cet article