Des irrégularités de StopCovid imposent une évolution d’ici un mois

L’application de contact tracing StopCovid « respecte pour l’essentiel le RGPD » selon la Cnil. En raison « d’irrégularités », l’autorité met néanmoins en demeure l’Etat, qui a un mois pour apporter des changements.

En juin, un chercheur constatait que l’application StopCovid collectait plus de données que ne le prévoyait le décret. L’argument était cependant balayé par Cédric O. Pour le secrétaire d’Etat au numérique, les critiques étaient injustifiées et le fonctionnement de l’application déjà connu.

Le bilan des contrôles publié par la Cnil contredit cependant le membre du gouvernement. StopCovid collecte bien l’ensemble des données de contacts. Celles-ci font ensuite l’objet d’un filtrage au niveau du serveur central pour ne retenir que les contacts à moins d’un mètre pendant au moins 15 minutes.

Une collecte de données inégale selon la version de StopCovid

Ce filtrage des données est contraire « à ce que prévoit le décret » note la Cnil. Ce « problème » a d’ailleurs été résolu par l’Etat au travers de la diffusion d’une nouvelle version de l’application le 26 juin. Toutefois, la version antérieure de StopCovid reste utilisée.

C’est une des irrégularités relevées au cours des trois contrôles effectués par la Cnil en juin. L’autorité demande donc au ministère de la Santé la généralisation de la nouvelle version de StopCovid.

L’information aux utilisateurs « quasiment conforme »

D’autres manquements au RGPD et à la législation française sur la protection des données valent cependant à l’État une mise en demeure publique. La Cnil exige ainsi une information plus complète des utilisateurs, même si celle-ci est jugée « quasiment conforme aux exigences du RGPD. »

Les utilisateurs doivent notamment être mieux informés des destinataires de leurs données, des opérations de lecture sur leurs smartphones (réalisées via le recaptcha) et de leur droit de refuser ces lectures.

Le contrat de sous-traitance conclu avec l’Inria comporte lui aussi des lacunes. La Cnil demande donc à ce qu’il soit complété, « en particulier en ce qui concerne les obligations du sous-traitant. » Enfin, RGPD oblige, l’analyse d’impact doit être rigoureuse.

Mise en demeure publique et mauvaise publicité

2% des Français ont activé StopCovid

L’autorité de protection la juge en effet « incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha). » L’Etat dispose d’un mois pour procéder à la mise en conformité de StopCovid.

Cette mise en demeure pourrait constituer une mauvaise publicité de plus pour l’application promue par le gouvernement. En juin, Cédric O regrettait déjà les effets des polémiques sur l’adoption de l’application mobile (1,8 million d’activations).

Une publicité justifiée pour la Cnil

La Cnil prend soin néanmoins de souligner l’attention prêtée par les autorités à la conformité RGPD de StopCovid. Elle estime ainsi que la dernière version de l’outil  « respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. » L’autorité observe en outre que « la plupart » de ses préconisations de mai et avril ont été prises en compte.

Sa mise en demeure n’en reste pas moins publique et susceptible donc de décourager, au moins temporairement, l’installation de StopCovid. La Cnil justifie cependant cette décision par le nombre important de personnes concernées et le caractère sensible des données personnelles.

Cette publicité contribue également à « l’objectif de transparence du contrôle mené par la CNIL sur les conditions et modalités du fonctionnement de l’application » insiste-t-elle encore. La mise en demeure publique doit aussi contribuer à la sensibilisation des utilisateurs, ainsi encouragés à accepter la future mise à jour, « plus protectrice de leurs données. »

A propos de Christophe Auffray 353 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.