STOPCOVID : la CNIL met en demeure le Ministère des solidarités et de la santé

Par une décision MED-2020-015 la Commission Nationale de l'Informatique et des Libertés (CNIL) a mis en demeure le Ministère des solidarités et de la santé de se conformer au Règlement Général sur la Protection des Données (RGPD) et à la loi 78-17 du 6 janvier 1978 dite "informatique, fichiers et Libertés".

La Présidente de la CNIL, madame Marie-Laure DENIS, a décidé en mai 2020 de diligenter trois contrôles afin de vérifier la conformité de l’application “STOPCOVID” au cadre juridique en vigueur. Si la CNIL constate que l’application “respecte pour l’essentiel le RGPD et la loi Informatique et Libertés” , elle adresse néanmoins une mise en demeure publique au Ministère des solidarités et de la santé de remédier à plusieurs irrégularités.

Les principales irrégularités relevées concernent :

  • l’absence de déploiement systématique de la nouvelle version de l’application ;
  • l’analyse d’impact ;
  • le recours au “re-captcha” édité par Google ;
  • une information incomplète des personnes concernées ;
  • des lacunes dans le contrat de sous-traitance qui lie le Ministère et l’Institut National de Recherche en Informatique et Automatique (INRIA).

Sur la généralisation de la nouvelle version de l'application "STOPCOVID"

La première version de l’application ne respectait pas le principe de proportionnalité en ne minimisant pas les données transmises au serveur central. En effet, cette première mouture “faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus” (communiqué de presse du 20 juillet 2020) .

Bien que la nouvelle version de l’application déployée fin juin ait résolu cette difficulté, la CNIL demande que celle-ci soit généralisée car de nombreuses personnes continuent d’utiliser une version qui n’est pas conforme au Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données « StopCovid » (JORF, no 0131 du 30 mai 2020).

Sur l'information incomplète

La CNIL a relevé que les personnes concernées n’étaient pas correctement informées :

  • des destinataires des données ;
  • des opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) ;
  • du droit de refuser cette lecture.

Sur le contrat de sous-traitance

L’INRIA est titulaire d’un marché d’assistance à la maîtrise d’œuvre pour le compte du Ministère des solidarités et de la santé et a la qualité de sous-traitant de traitement de données au sens du RGPD.

La CNIL considère que ce contrat de sous-traitance n’est pas suffisamment précis quant aux obligations et aux droits du responsable de traitement et sur les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement. La Commission constate un manquement à l’article 28 du RGPD.

Sur le caractère incomplet de l'analyse d'impact

Le RGPD impose « une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement » (art. 35-7-a). or, l’Analyse d’Impact sur la Protection des Données (AIDP) ne précise pas que la solution anti DDOS (solution visant à prévenir les attaques par déni de service) proposée par la société ORANGE et implémentée dans l’application aux fins de sécurisation du système, entraine la collecte des adresses IP («internetprotocol») des utilisateurs de l’application. Un manquement à l’article 35 du RGPD est donc caractérisé.

Un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement

La CNIL constate un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement terminal de communication électronique.

La dernière version de l’application «StopCovid France» (version v.1.1.*) repose sur la technologie captcha développée par la société ORANGE, qui ne requiert aucune opération de lecture ou d’écriture sur le téléphone de l’utilisateur. En revanche, la version initiale de l’application «StopCovid France» (version v1.0.*) contient la technologie reCaptcha, dans sa version «invisible», développée par la société GOOGLE.

Or, GOOGLE indique aux développeurs que des données lui seront transmises aux fin d’analyse, c’est à dire pour d’autre finalités que la sécurité. Dès lors les utilisateurs de l’application devraient être informés et consentir à ces traitements ce qui n’est manifestement pas le cas. Un manquement à l’article 82 de la loi Informatique et Libertés est donc caractérisé.

En dépit des manquements constatés, la CNIL relève une amélioration générale au fur et à mesure de l’évolution de l’application. Toutefois, compte-tenu du caractère sensible des données relatives à la santé et du déploiement massif voulu par les autorités, on ne peut que s’étonner que des manquements aussi grossiers n’aient pas été adressés ab initio.

La CNIL dans son communiqué de presse indique “que la nouvelle version de l’application StopCovid respecte pour l’essentiel le RGPD et la loi Informatique et Libertés“. Néanmoins, la Commission a décidé de rendre publique sa mise en demeure ce qui est assurément un camouflet pour le Ministère.