Suite à plusieurs contrôles, la CNIL a estimé que la deuxième version de l’application StopCovid ne répond pas entièrement aux exigences imposées par le règlement relatif à la protection des données.

Dans un premier temps, la CNIL a reproché la coexistence de deux versions de l’application. Si le problème relatif au filtrage de l’historique des contacts a été résolu, (dans la deuxième version seuls les contacts les plus susceptibles d’avoir été exposés au virus sont remontés au serveur central), l’autorité de contrôle a tout de même demandé « à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs ».

En deuxième point, la CNIL a d’abord souligné que l’information fournie aux utilisateurs est « quasiment conforme aux exigences du RGPD », sans omettre toutefois de relever la nécessité de compléter la mention d’information, notamment en ce qui concerne les destinataires des données personnelles, les opérations de lecture des informations présentes sur les équipements terminaux et le droit de refuser ces opérations de lecture.

Ensuite, l’autorité de contrôle a mentionné la nécessité de renforcer le contrat de sous-traitance conclu entre le Ministère et INRIA en ce qui concerne les obligations spécifiques aux sous-traitants imposées par le RGPD, dont la responsabilité peut être engagée en cas de manquement.

Pour finir, la CNIL a consideré que l’analyse d’impact menée par le Ministère est incomplète « en ce qui concerne des traitements de données réalisés à des fins de sécurité ».

En tenant en compte ces irrégularités et de la sensibilité des données traitées par un responsable public dans le cadre d’une mission d’intérêt public, ainsi qu’au regard du nombre de personnes concernées, la CNIL a décidé de rendre la mise en demeure publique afin d’avertir le Ministère de la Santé et sensibiliser les utilisateurs quant à la mise à jour de l’application.

Pour aller plus loin : https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles