[Brèves] Application StopCovid : clôture de la mise en demeure à l’encontre du ministère des Solidarités et de la Santé

► Par décision du 3 septembre 2020, la Présidente de la CNIL a décidé de procéder à la clôture de la mise en demeure du 20 juillet 2020 adressée au ministère des Solidarités et de la Santé.

Mise en demeure. Le 20 juillet 2020, la Présidente de la CNIL a rendu publique une mise en demeure à l’encontre du ministère des Solidarités et de la Santé concernant le traitement des données personnelles mis en œuvre dans le cadre de l’application StopCovid. En effet, même si les trois opérations de contrôles réalisées par la CNIL au mois de juin 2020 avaient permis de constater que le fonctionnement de l’application StopCovid respectait pour l’essentiel les exigences de protection de la vie privée et des données personnelles des utilisateurs, la CNIL a néanmoins relevé plusieurs manquements aux dispositions du « RGPD » (Règlement n° 2016/679 du N° Lexbase : L0189K8I) et à la loi « Informatique et Libertés » (loi n° 78-17 du 6 juillet 1978 N° Lexbase : L8794AGS). La Présidente avait donc mis en demeure le ministère de mettre l’application Stopcovid en conformité dans le délai d’un mois sur plusieurs points (CNIL, communiqué de presse du 20 juillet 2020 ; lire N° Lexbase : N4256BYB).

Réponses du ministère. Pour la CNIL, les éléments de réponse apportés par le ministère au cours du mois d’août ont permis de démontrer que les manquements constatés lors du contrôle avaient cessé. Il a en effet pris les mesures nécessaires pour se mettre en conformité avec les injonctions de la mise en demeure.

Tout d’abord, les utilisateurs disposant de la première version de l’application (v1.0) - dans laquelle le filtrage de l’historique de contacts de l’utilisateur s’effectuait au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur - se voient désormais afficher un écran de mise à jour les empêchant d’activer l’application ou de remonter leurs données de contact sans procéder à une mise à jour préalable. Cette nouvelle version de l’application (v1.1) impose quant à elle un préfiltrage de l’historique des contacts de l’utilisateur au niveau du téléphone. En conséquence, il est désormais impossible que l’intégralité de l’historique des contacts de l’utilisateur remonte vers le serveur central, sans préfiltrage au niveau du téléphone.

Ensuite, Le ministère n’a plus recours au système de « reCaptcha » proposé par la société Google. Il n’y a donc plus d’opérations de lecture et d’écriture sur le terminal en lien avec cette technologie, même pour les utilisateurs de la première version de l’application (v1.0).

Par ailleurs, le ministère a complété les mentions d’information fournies aux utilisateurs de l’application en mentionnant INRIA en qualité de destinataire des données personnelles.

Le ministère a également complété les clauses de son contrat de sous-traitance avec INRIA, afin qu’y figure l’ensemble des informations exigées par le « RGPD ».

Enfin, l’AIPD de l’application StopCovid a bien été complétée s’agissant des mesures de sécurité permettant de prévenir certaines attaques informatiques.

La Présidente de la CNIL a considéré que, dans ces conditions, le ministère des Solidarités et de la Santé s’était mis en conformité avec le « RGPD » et la loi « Informatique et Libertés » et a décidé de procéder à la clôture de la procédure.

© Reproduction interdite, sauf autorisation écrite préalable