Au coût sujet à caution et à l'utilisation décevante avec peu d'activations, l'application StopCovid a quelques irrégularités relevées par la Commission nationale de l'informatique et des libertés. Cette dernière met en demeure le ministère des Solidarités et de la Santé d'y remédier.
Pour l'essentiel, la Cnil indique que l'application de traçage des contacts sur smartphone (via Bluetooth) développée pour aider à lutter contre le Covid-19 respecte le Règlement général européen sur la protection des données (RGPD) et la loi Informatique et Libertés. Il y a néanmoins quelques griefs.
?Contrôles de #StopCovid : la CNIL a relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier ? https://t.co/eG56ji1pav pic.twitter.com/Nsoj5tCNsr
— CNIL (@CNIL) July 20, 2020
À l'issue de contrôles en juin, la Cnil évoque " certains manquements ponctuels relatifs à l'analyse d'impact, au recours du reCaptcha Google (ndlr : pour éviter des bots), dans l'information fournie au public et dans les contrats de sous-traitance. "
La situation est un peu ubuesque dans la mesure où deux versions de l'application coexistent. Ainsi, une version 1.1 déployée fin juin corrige des manquements avec une technologie de Captcha développée par Orange (c'est mieux pour l'argument de la souveraineté numérique...), un filtrage de l'historique de contacts au niveau du smartphone et non plus du serveur central. Ce filtrage fait référence aux utilisateurs de l'application ayant été en contact à moins d'un mètre pendant au moins 15 minutes.
Au 10 juillet, la Cnil indique que selon des chiffres du ministère de la Santé, le nombre d'applications StopCovid installées et activées en version 1.1.* s'élève à 147 000. Sachant que fin juin, la version 1.0.* avait été téléchargée environ 1,9 million de fois et avec 1,5 million d'activations.
Reste des problèmes avec une analyse d'impact considérée incomplète concernant des traitements de données à des fins de sécurité, de même que des informations manquantes sur les obligations du sous-traitant (contrat entre le ministère et Inria).
" Au regard des manquements constatés, le ministère des Solidarités et de la Santé a été mis en demeure de mettre l'application StopCovid en conformité dans le délai d'un mois sur ces différents points ", écrit la Cnil, en soulignant que ce n'est pas une sanction. Il s'agira surtout de généraliser la nouvelle version auprès des utilisateurs.
La Cnil rend sa décision publique dans un contexte particulier de rebond de l'épidémie du coronavirus en France (et ailleurs). L'application StopCovid France est disponible sur Android et iOS.
