Maire-info
Le quotidien d’information des élus locaux

Édition du mercredi 22 juillet 2020
Numérique

StopCovid : la Cnil met en demeure le ministère de la Santé de faire cesser « plusieurs irrégularités » au RGPD

Lancée le 2 juin, quelques jours après un débat parlementaire cacophonique (lire Maire info du 28 mai), pour contribuer au repérage des chaînes de transmission du covid-19 (lire Maire info du 2 juin), l'application StopCovid fait de nouveau parler d’elle. Si le fonctionnement de l’application est « pour l’essentiel »  conforme aux règlementations en vigueur et « répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs », les trois contrôles, effectués par la Commission nationale de l’informatique et des libertés (Cnil) les 9, 25 et 26 juin, ont révélé la persistance « d’irrégularités ». 
Le gardien de la vie privée des Français a annoncé, lundi, la mise en demeure du responsable du traitement, le ministère des Solidarités et de la Santé. Celui-ci dispose d’un délai d’un mois pour « faire cesser »  les « manquements » aux dispositions du Règlement général sur la protection des données (RGPD) et de la loi Informatique et libertés, constatés par la Cnil.

« Forcer la mise à jour de l’application » 
Avant la fin de ce délai d'un mois, le ministère est enjoint de « cesser de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central, par exemple en forçant la mise à jour de l’application StopCovid France vers la nouvelle version v1.1.* par le blocage de l’application dans sa version v1.0 ». En effet, explique le journal en ligne Numerama, si depuis la sortie de la toute première version sur Android et iOS, des mises à jour ont eu lieu, 90 % des utilisateurs de StopCovid, soit moins de 3 % de la population (près de 2 millions de personnes) ont encore une version critiquée par la Cnil. Celle qui, contrairement à ce que prévoyait le décret, « faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus ».
Désormais, « l’historique de contacts de l’utilisateur est filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes », assure la présidente de la Cnil, Marie-Laure Denis. Qui « demande à ce que cette nouvelle version soit généralisée à tous les utilisateurs de StopCovid ».

Collecte d’adresse IP à des fins de sécurité « régulière » 
Car, depuis la mise à jour, la plupart des préconisations formulées par la Commission dans ses avis des 24 avril et 25 mai 2020 ont été prises en compte par le ministère des Solidarités et de la Santé. En particulier, la Cnil a estimé que la collecte des adresses IP des utilisateurs « n’a pas d’autre finalité que celle d’assurer la sécurité du dispositif »  et jugé « régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid ». La Cnil bat ainsi en brèche la théorie avancée par une partie des opposants à l'application. Certains d'entre eux avaient affirmé, le mois dernier, que les adresses IP des utilisateurs étaient collectées en secret, brisant la garantie d'anonymat promise par les développeurs de l'application.
En la matière, le ministère des Solidarités et de la Santé est néanmoins sommé par la Cnil de compléter l’analyse d’impact relative à la protection des données, notamment le chapitre relatif aux traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et reCaptcha).

Orange a remplacé Google
La technologie reCaptcha de Google, présente justement dans la première version de l’application, a aujourd’hui disparu. « La méthode d'authentification par captcha - qui permet de vérifier lors de l'activation initiale de l'application que cette dernière est utilisée par un être humain – qui reposait sur la technologie reCaptcha de la société Google, est désormais remplacée par la technologie captcha développée par la société Orange », approuve la Cnil, qui préconisait une « solution européenne »  compatible avec les objectifs de « souveraineté numérique »  affichés par la France.
Cela étant, la Commission juge que l’information fournie aux utilisateurs « devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture ». Elle demande au ministère de « veiller, le cas échéant, à informer et recueillir le consentement des personnes concernées aux actions de lecture et d’écriture des informations présentes sur les terminaux de communication électronique par la société Google dans le cadre de la technologie reCaptcha (version v1.0.* de l’application) ».

« Cette mise en demeure n’est pas une sanction » 
Le ministère est enfin enjoint de compléter le contrat de sous-traitance conclu avec l’Institut national de recherche en sciences et technologies du numérique (Inria), « en particulier en ce qui concerne les obligations du sous-traitant ». « Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application StopCovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la Cnil ».
Cette mise en demeure n'a, pour l’heure, en aucun cas valeur de « sanction ». « Aucune suite ne sera donnée à cette procédure si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti, explique la Cnil. Dans le cas contraire, la présidente pourra saisir la formation restreinte de la Cnil afin qu’une sanction soit prononcée ».

Ludovic Galtier

Télécharger la mise en demeure de la Cnil.

Suivez Maire info sur Twitter : @Maireinfo2