StopCovid : La CNIL pointe des manquements et met en demeure le ministère de la Santé

Le 23 juillet 2020

En contrôlant la mise en œuvre de l’application StopCovid quant à « la conformité « de tout traitement de données à caractère personnel réalisé à partir de l’application » ou « portant sur des données à caractère personnel collectées » à partir de celle-ci », la Commission nationale informatique et libertés (CNIL) a identifié « des irrégularités au regard du RGPD et de la loi Informatique et libertés ». Suite à ce constat, elle a adressé une mise en demeure au ministère des Solidarités et de la Santé, dans une décision datée du 15 juillet. Il devra répondre aux différentes demandes sous un délai d’un mois.

Différents « manquements » ont été relevés. Même si, « pour l’essentiel », le fonctionnement de StopCovid respecte « les dispositions applicables relatives à la protection des données à caractère personnel », la CNIL note que « certaines dispositions prévues dans le règlement européen général de protection des données (RGPD) ne sont pas suivies ». Ainsi la Commission « demande au ministère de cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central « en méconnaissance du cadre légal défini par les dispositions du décret » mettant en place l’application ». Comme le rappelle l’organisme, la loi « prévoit normalement que l’historique de proximité se limite aux seules données de contacts de l’utilisateur avec d’autres utilisateurs pendant une durée déterminée et si la situation présente un risque de contamination » (cf. StopCovid : plus de données collectées qu’annoncé). La mise à jour de l’application doit être « forcée » selon Marie-Laure Denis, la présidente de la CNIL, car la nouvelle version est « davantage protectrice des données à caractère personnel ».

Concernant « la collecte des adresses IP lorsqu’un utilisateur se connecte à l’application », la CNIL ne la juge pas « irrégulière » mais indique qu’elle « doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement ». Il en va de même « pour la collecte d’informations présentes sur l’équipement mobile de l’utilisateur dans le cadre du Recaptcha de Google déployé dans la première version (v1.0), « dans l’hypothèse où ces données seraient encore collectées » ». Par ailleurs, le ministère devra « compléter l’information fournie aux utilisateurs de StopCovid dans les conditions prévues à l’article 13, « en fournissant aux utilisateurs une information complète sur les destinataires ou catégories de destinataires des données à caractère personnel » ».

Deuxième catégorie de manquements relevé par la CNIL, « un manquement au regard des dispositions de la loi Informatique et libertés ». Sur ce sujet, elle « demande de veiller « à informer et recueillir le consentement des personnes concernées aux actions de lecture et d’écriture des informations présentes sur les terminaux de communication électronique par la société Google dans le cadre de la technologie Recaptcha » dans sa première version ». En effet, « les utilisateurs de l’application ne sont pas informés de la collecte d’information stockées sur leurs équipements mobiles ni des moyens de refuser cette collecte ».

Enfin, la CNIL note que « l’évaluation formelle de l’effectivité de l’application n’avait pas débuté au moment des contrôles et que le calendrier de travail n’avait pas encore été établi par le ministère ». Une démarche que la présidente de la commission invite à engager « dans les meilleurs délais », avant de « lui rendre compte des résultats ».

Dans un communiqué, le ministère déclare que les améliorations requises par la CNIL « sont en ligne avec les travaux déjà engagés par le gouvernement » et qu’« afin de pouvoir mieux connaître ses modalités d’utilisation et évaluer son apport dans la lutte contre l’épidémie, un dispositif complet d’enquêtes va être lancé dans les prochaines semaines ».

Pour aller plus loin :

En renseignant votre adresse email, vous consentez à notre politique de confidentialité. Aucune information commerciale ne vous sera envoyée.
Si le formulaire ne s’affiche pas, merci de désactiver votre bloqueur de pub.

Revue de presse

Faut-il tenir compte du changement climatique dans la décision d’avoir ou non des enfants ?

Faut-il tenir compte du changement climatique dans la décision d’avoir ou non des enfants ?

La décision d’avoir ou non des enfants nous oblige à faire le point sur nos finances, notre situation de vie, nos projets de carrière, etc. Et depuis quelques années, une autre question se pose, alimentée par la crise climatique qui se profile: quel est l’impact des enfants sur la planète?

Revue de presse

L’objection de conscience sur la sellette

La suppression de l'objection de conscience est la conséquence logique du manque de soubassement moral commun à notre société. Les seules valeurs communes qui ont encore cours dans notre société libérale et individualiste sont l’autonomie et la liberté individuelle comprise comme une liberté factuelle