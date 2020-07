« StopCovid respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. » La CNIL vient de rendre son avis suite à une série de trois contrôles réalisés sur l’application de suivi de contacts lancée par le gouvernement le 2 juin dernier. L’autorité administrative estime donc que cet outil est conforme à l’essentiel de la législation. Elle note toutefois plusieurs irrégularités et met le ministère des Solidarités et de la Santé en demeure d’y remédier dans un délai d’un mois.

Pour rappel, StopCovid permet de prévenir les personnes qui se sont trouvées en contact prolongé d’individus infectés par le Covid-19. L’app s’appuie sur la technologie Bluetooth et sur un protocole centralisé. Plusieurs critiques se sont notamment fait entendre à ce sujet car il a été constaté que l’outil collectait les identifiants de la totalité des personnes croisées pendant les 14 derniers jours. Cette énorme quantité d’informations envoyées au serveur central n’a pas d’intérêt concret et représente, selon certains chercheurs, un vrai risque pour la vie privée.

Un nombre d’utilisateurs en stagnation

La CNIL note que l’application a depuis été corrigée afin de ne conserver que l’historique de proximité. Il reste cependant un problème : « Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployé le 26 juin dernier. » Il est donc souhaitable que les utilisateurs de la première mouture soient traités à la même enseigne que ceux qui utilisent la plus récente.

Le contrat de sous-traitance noué entre le Ministère et l’INRIA a également été passé au crible, il est globalement conforme mais devra être complété « en particulier en ce qui concerne les obligations du sous-traitant. Il faut d’ailleurs noter que l’association Anticor a décidé en juin dernier de saisir le Procureur de la République concernant de possibles surfacturations pour l’hébergement et la maintenance de StopCovid. L’idée est de vérifier la régularité de ces marchés.

L’autorité administrative note également que « l’information fournie aux utilisateurs de l’application StopCovid France est quasiment conforme aux exigences du RGPD. » Elle estime toutefois nécessaire que celle-ci soit « complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture. »

Enfin, la CNIL demande au gouvernement de procéder à une évaluation de son dispositif et de sa contribution à la stratégie sanitaire globale. Elle rappelle aussi que cette mise en demeure n’est pas une sanction. En clair, si le ministère se conforme à ces demandes « aucune suite ne sera donnée à cette procédure ».

Pour l’heure StopCovid est utilisée par 1,5 millions d’utilisateurs selon le dernier bilan du 23 juin dernier, un chiffre qui semble en stagnation. L’app est aussi critiquée pour son efficacité pour l’heure assez limitée. Lors de ce dernier compte-rendu, on avait en effet appris que seulement 14 notifications d’exposition avaient été envoyées en trois semaines.