A lire également : Application StopCovid : l’Assemblée nationale et le Sénat donnent leur approbation !
Comme nous le soulignions dans notre précédent article, l’application StopCovid fait parler d’elle ! Et pour cause, le 20 juillet 2020 dernier, la Présidente de la CNIL a rendu publique une mise en demeure datée du 15 juillet 2020 à l’encontre du ministère des solidarités et de la santé concernant le traitement des données personnelles mis en œuvre dans le cadre de cette application.
Que reproche la CNIL à l’application StopCovid ?
Même si les trois opérations de contrôles réalisées par la CNIL au mois de juin 2020 avaient permis de constater que le fonctionnement de l’application StopCovid respectait, pour l’essentiel, les exigences de protection de la vie privée et des données personnelles des utilisateurs, la CNIL avait néanmoins relevé plusieurs manquements aux dispositions du RGPD et à la loi Informatique & Libertés dans sa dernière version en vigueur.
La Présidente de la CNIL avait donc mis en demeure le ministère afin que l’application StopCovid soit mise en conformité, dans le délai d’un mois, sur les points suivants :
- Généraliser la dernière version disponible de l’application, qui impose un préfiltrage de l’historique des contacts de l’utilisateur au niveau du téléphone afin de mettre un terme aux remontées non conformes de données vers un serveur central
- Ne plus avoir recours au système de « reCaptcha » proposé par la société Google, même pour les utilisateurs de la première version de l’application (v1.0)
- Compléter l’information fournie aux utilisateurs de l’application sur les destinataires des données personnelles collectées, en particulier en informant les utilisateurs et en demandant leur autorisation pour la collecte et le partage de données dans le respect des dispositions de l’article 13 du RGPD et de l’article 82 de la loi Informatique & Libertés dans sa dernière version en vigueur
- Compléter le contrat de sous-traitance conclu entre le ministère et l’INRIA conformément aux exigences des dispositions de l’article 28 du RGPD, en particulier en ce qui concerne le descriptif des obligations du sous-traitant
- Compléter l’analyse d’impact relative à la protection des données (AIPD) sur des traitements de données réalisés à des fins de sécurité, dans le respect des dispositions de l’article 35 du RGPD
A la suite de cette mise en demeure, la Présidente de la CNIL a décidé, le 3 septembre 2020, d’y mettre fin et de clôturer la procédure de contrôle (Décision CNIL n°2020-015 du 3 septembre 2020). Elle a pris acte des mesures organisationnelles et techniques prises par le ministère permettant de répondre à l’injonction de mise en demeure. Elle a relevé en particulier :
- Qu’un écran de mise à jour s’affiche à chaque lancement de la version obsolète de l’application (version v1.0) empêchant désormais toute interaction de l’utilisateur avec l’application autrement qu’en procédant à sa mise à jour, permettant ainsi de généraliser progressivement la nouvelle version de l’application StopCovid, conforme au décret n° 2020-650 du 29 mai 2020 relatif au traitement de données
- Que l’arrêt des appels au webservice reCaptcha de Google était intervenu, y compris, pour les utilisateurs de la première version de l’application (v1.0)
- Que les autres mesures prises par le ministère quant à l’information des utilisateurs de l’application, aux clauses du contrat de sous-traitance avec l’INRIA et au contenu de l’AIPD étaient conformes aux injonctions de la mise en demeure.
Quel risque de sanctions devant la formation restreinte de la CNIL ?
La Présidente de la CNIL clôt la procédure de mise en demeure en avertissant l’Administration qu’en cas de persistance ou de réitération des manquements qui y étaient visés, elle pourrait saisir directement la formation restreinte de la CNIL. Ainsi, il pourrait être prononcé une ou plusieurs sanctions prévues par les articles 20 et suivants de la loi Informatique & Libertés. Le gouvernement est désormais averti ! Les moyens et les ressources engagés dans la lutte contre l’épidémie doivent se faire dans le respect des règles protégeant les données personnelles.