Le gendarme des données personnelles considère que l’application de contact tracing respecte “pour l’essentiel” la réglementation en vigueur. Mais plusieurs irrégularités, déjà connues, ont été soulevées par la Cnil, qui met le gouvernement en demeure d’y remédier.
La Cnil a mené plusieurs contrôle le mois dernier afin de s’assurer de la conformité de l’application StopCovid à la loi Informatique et Libertés. Lancée le 2 juin, très en retard sur le calendrier initial, l’application de contact tracing voulue par le gouvernement inquiétait quant aux potentiels risques qu’elle faisait peser sur la confidentialité et la protection des données des citoyens. Le gendarmes des données personnelles avait promis des contrôles, et s’est exécuté. Il explique avoir mené trois contrôles en juin et constaté que, globalement, l’application est dans les clous de la loi, notamment en ce qui concerne l’envoi de l’IP de l’utilisateur au service anti-DDoS.
Néanmoins, il n’en subsiste pas moins quelques irrégularités, déjà bien connues, à l’instar de l’envoi de l’ensemble de l’historique de proximité au serveur central, quand le filtrage devait être effectué côté terminal. Ce point problématique avait été repéré par un chercheur de l’INRIA, qui s’en alarmait. La Cnil attrape la perche au vol et rapporte que ce filtrage niveau serveur concernait une version précédente de l’application. En effet, au 26 juin, le ministère de la Santé déployait une mise à jour corrigeant le problème, correctif dont le régulateur demande qu’il soit généralisé.
Où va donc StopCovid ?
La Cnil exige en outre que soit complétée l’information aux utilisateurs, notamment en ce qui concerne “les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture”. Idem en ce qui concerne le contrat de sous-traitance signé entre le gouvernement et l’Inria, manque encore quelques détails relatifs aux obligations du sous-traitant. La Cnil prie donc le ministère de régulariser la situation, et fissa.
Enfin, est également incomplète l’analyse d’impact relative à la protection des données pour tout ce qui touche au traitement des données à des fins de sécurité, à savoir pour la solution anti-DDoS et le recaptcha. Le gouvernement dispose donc d’un mois pour corriger sa copie, et est encouragé par la Cnil à “engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale”. Car l’utilité de l’application est toujours sujette à controverse, de nombreuses voix soulignant son inadaptation à la situation, sa très faible adoption ou encore l’abandon dans plusieurs pays de ce type d’outils destiné à lutter contre la propagation de la Covid-19. Autant de points sur lesquels la Cnil, contrairement à son homologue norvégien, choisit de ne pas se prononcer.