La CNIL déclare avoir levé sa mise en demeure contre le ministère de la Santé au sujet de StopCovid. Plusieurs modifications apportées dans le fonctionnement de l'application mobile et dans sa documentation ont permis de la rendre conforme.

Si elle « n’a pas obtenu les résultats espérés », comme l’a admis le Premier ministre Jean Castex, l’application StopCovid peut au moins se féliciter d’être dans les clous de la loi.

La Commission nationale de l’informatique et des libertés (CNIL) a en effet annoncé le 4 septembre avoir levé la mise en demeure qui visait le ministère des Solidarités et de la Santé, après avoir constaté que les problèmes relevés lors de trois contrôles avaient été réglés. L’injonction lancée par la CNIL avait été prise le 15 juillet et rendue publique cinq jours plus tard.

Dans un communiqué, l’autorité administrative indépendante constate que le ministère s’est « mis en conformité avec le RGPD et la loi Informatique et Libertés ». Dès lors, la mise en demeure est devenue sans objet. Du fait de la présence de données médicales, donc sensibles, dans ce projet, le ministère de la Santé a été désigné comme responsable légal du traitement, et donc l’interlocuteur de la CNIL.

L’écran d’accueil de StopCovid sur un smartphone. // Source : Louise Audry pour Numerama

Trois grandes modifications apportées à StopCovid

Les corrections apportées dans le fonctionnement de StopCovid se répartissent en trois grandes catégories.

  • Il y a d’abord eu des ajustements techniques :

Le captcha (un outil qui vérifie qu’une application ou un service est bien utilisé par une personne, et non pas un programme) est désormais fourni par une entreprise française, en l’occurrence l’opérateur Orange, et non plus par une compagnie étrangère, à savoir Google. « Il n’y a plus d’opérations de lecture et d’écriture sur le terminal en lien avec [reCaptcha] », la technologie de Google, indique la CNIL.

StopCovid inclut aussi, dans sa version 1.1, un préfiltrage de l’historique des contacts de l’utilisateur au niveau du smartphone. Concrètement, cela signifie qu’il n’y a plus de remontée vers le serveur central de l’intégralité de l’historique des contacts de l’utilisateur. Ne sont conservés que les cas ayant été en contact à moins d’un mètre de distance et pendant au moins un quart d’heure.

  • Le deuxième volet de la mise en conformité de StopCovid a concerné la fragmentation des versions de l’application :

La CNIL indique que les individus utilisant encore la première version de l’application (1.0) ne peuvent plus y accéder pleinement, car un message à l’écran leur demande de mettre à jour le logiciel. Sans cette mise à jour vers la  version 1.1 (qui est proposée depuis le 26 juin sur Android et le 29 juin sur iOS), impossible d’activer l’application ou de remonter les données de contact vers le serveur central.

Cette première version de StopCovid ne contenait aucun filtrage local de l’historique des contacts du mobinaute. Avec cette mouture, ce filtrage s’effectuait au niveau du serveur central. Le passage de la version 1.0 à 1.1 a eu pour effet de décentraliser cette tâche, en la déplaçant au niveau du smartphone. Il ne restait alors plus qu’à obliger les mobinautes à arrêter de se servir de la version 1.0.

StopCovid
StopCovid ne cherche à retenir que les contacts à moins d’un mètre et pendant une durée d’au moins 15 minutes. // Source : Ministère de l’Economie
  • Enfin, le dernier axe a porté sur la complétion de la documentation :

Dans les mentions d’information accessibles aux utilisateurs de l’application, le ministère de la Santé indique que c’est l’Inria qui est le destinataire des données personnelles. Sur le plan technique, l’Inria pilote le projet StopCovid. Les clauses du contrat de sous-traitance entre l’Inria et le ministère ont aussi été complétées, conformément aux exigences du RGPD.

Enfin, l’analyse d’impact relative à la protection des données a elle aussi été revue pour mentionner les mesures de sécurité visant à prévenir certaines attaques informatiques. Cela fait suite à la polémique sur la collecte des adresses IP, nécessaire dans une optique de sécurité. Il avait été souligné que cet enregistrement ne cadrait pas avec le prétendu caractère anonyme de StopCovid mis en avant par les autorités.

Partager sur les réseaux sociaux