Application StopCovid : les contrôles de la CNIL

Après avoir contrôlé l'application à trois reprises, la Commission nationale de l'informatique et des libertés (CNIL) estime que StopCovid respecte pour l'essentiel le règlement général de protection des données (RGPD) et la loi Informatique et libertés. Des irrégularités doivent cependant encore être corrigées.

Temps de lecture  3 minutes

© stock-adobe.com

StopCovid est une application sur smartphone qui permet de prévenir les personnes qui en sont équipées qu’elles ont été en contact avec une personne atteinte du Covid-19 pendant au moins 15 minutes. D'après le ministère des solidarités et de la santé, plus de deux 2 millions de personnes ont téléchargé l'application. Après les contrôles diligentés par sa présidente, la CNIL publie ses dernières observations sur l’application.

Une application qui respecte l’essentiel du RGPD

La CNIL a mené trois contrôles durant le mois de juin sur cette application afin de s'assurer du respect du RGPD et de la loi Informatique et libertés. "Ces contrôles ont permis de constater que le fonctionnement de StopCovid France respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL".

La Commission note également que ses remarques sur la gestion de l'historique des contacts ont été prises en compte. La Commission avait relevé que l'application faisait remonter l'ensemble de l'historique de contacts des utilisateurs au serveur central et non les seuls contacts susceptibles d'avoir été exposés au virus. Une nouvelle version de l'application, déployée le 26 juin, corrige ce problème mais il faut encore que cette version soit généralisée à tous les utilisateurs. 

De nouvelles améliorations à apporter

La CNIL relève cependant des irrégularités et met en demeure le ministère des solidarités et de la santé de les corriger dans le délai d'un mois. Cette mise en demeure concerne les points suivants :

  • l'information fournie aux utilisateurs doit être complétée et précisée en ce qui concerne les destinataires des données recueillies, les opérations de lecture de ses informations, le droit de refuser les opérations de lecture ;
  • le contrat de sous-traitance entre le ministère des solidarités et de la santé et l’Institut national de recherche en sciences et technologies du numérique (INRIA) doit être complété notamment pour préciser les obligations du sous-traitant ;
  • l'analyse d’impact de la protection des données doit être complétée en ce qui concerne les données réalisées à des fins de sécurité.

La CNIL demande également qu’une évaluation du rôle de StopCovid dans la stratégie sanitaire globale soit effectuée et que ses résultats lui soient régulièrement communiqués.

La Commission encourage les utilisateurs à mettre à jour leur application afin de bénéficier d’une version plus protectrice de leurs données.