Blog Données personnelles
Application StopCovid : mise en demeure de la CNIL
Le 4 juin dernier, la CNIL informait du lancement de sa campagne de contrôles concernant les fichiers SI-DEP, ContactCovid et StopCovid. Mercredi 15 juillet, la CNIL publiait sa décision de mise en demeure du Ministère des solidarités et de la santé concernant l’application StopCovid. Cette publication a été jugée nécessaire au regard du nombre d’utilisateurs de l’application, près de 2 millions, de la nature des données collectées, dont certaines sont sensibles et portent sur l’état de santé des utilisateurs. Dans sa décision, la CNIL a relevé plusieurs points sur lesquels le Ministère devra se mettre en conformité dans un délai d’un mois après la publication de la décision.
- Le système de remontée de l’historique des contacts d’un utilisateur s’étant déclaré, diagnostiqué ou dépisté, positif au virus SARS-CoV-2 ne respecte pas précisément les dispositions du décret du 29 mai 2020 prévoyant un filtrage de l’historique d’abord sur le téléphone de l’utilisateur et non pas seulement sur le serveur. L’autorité relève donc ce manquement aux conditions de licéité du traitement de données.
- La CNIL note ensuite que l’information donnée aux personnes concernées est incomplète car ne mentionnant pas l’INRIA parmi les destinataires des données. A cet égard, le contrat conclu entre le sous-traitant INRIA et le Ministère est également incomplet au regard des exigences de l’article 28 du RGPD, en particulier sur les droits et obligations du responsable de traitement, sur l’obligation du sous-traitant d’aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
- La nouvelle étude d’impact réalisée sur le traitement à la suite de la mise à jour de l’application et communiquée à la CNIL est incomplète car elle ne mentionne pas que :
- la solution visant à prévenir les attaques par déni de service, dite DDOS (Distributed Denial of Service), entraine la collecte de l’adresse IP de l’utilisateur ;
- la technologie reCaptcha de la société Google déployée au sein de l’application collecte les données présentes sur l’équipement de l’utilisateur.
- La CNIL relève enfin un manquement à l’article 82 de la Loi Informatique et Libertés, spécifiquement sur la version 1.0 de l’application. En effet, cette version incluait une solution « captcha » développée par Google et destinée à évaluer si le comportement d’un utilisateur de l’application correspond ou non à celui d’un humain. Cette solution repose sur la collecte d’informations matérielle et logicielle. Or, le consentement spécifique des utilisateurs lors de l’ouverture de l’application n’était pas recueilli. Dans sa nouvelle version, l’application intègre le même système développé par Orange qui ne nécessite pas de collecte de données, ni d’écriture sur l’équipement de l’utilisateur. Ce manquement ne concerne donc que la version antérieure de l’application.
Pour le reste la CNIL constate que le Ministère a bien pris en compte ses avis des 24 avril et 25 mai 2020, et respecte dans l’ensemble les dispositions applicables relatives à la protection des données à caractère personnel.
Lien vers la décision de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/cnil-med-2020-015.pdf