La Commission nationale de l’informatique et des libertés (Cnil) avait promis qu’elle allait diligenter des contrôles sur l’application StopCovid. Dans un avis rendu le 20 juillet, elle pointe une série de manquements en matière de RGPD (Règlement général sur la protection des données) et de respect de la Loi Informatique et Libertés.

Face à des irrégularités, le gendarme de la vie privée met en demeure le ministère de la Santé et des Solidarités qui a désormais un mois pour modifier l’application de contact tracing. Le gendarme de la vie privée l’invite également à engager « dans les meilleurs délais » une démarche d’évaluation de la contribution de StopCovid à la stratégie sanitaire globale. Durant ces trois contrôles, la Cnil a relevé quatre problématiques.

La première concerne l’historique de contacts. « L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes« , indique l’autorité. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur, contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application, déployée le 26 juin dernier. La Cnil demande à ce que l’utilisation de cette nouvelle version soit généralisée.

La deuxième irrégularité est liée à l’information fournie aux utilisateurs de StopCovid. Elle doit être complétée sur « les destinataires de ces données », « les opérations de lecture des informations présentes sur les équipements terminaux » et « le droit de refuser ces opérations de lecture« .

De plus, le contrat de sous-traitance conclu entre le ministère de la Santé et l’Institut national de recherche en sciences et technologies du numériques (Inria) nécessite d’être complété avec les obligations du sous-traitant.

Enfin, la Cnil estime que l’analyse d’impact relative à la protection des données est incomplète « en ce qui concerne des traitements de données réalisées à des fins de sécurité » tel que la solution anti-DDOS collectant l’adresse IP.

On constate donc que cette application déployée rapidement, qui présente pas mal de bugs d’après les utilisateurs assidus (notamment des déconnexions fréquentes et sans raison), n’est pas en conformité avec le RGPD, ce qui est tout de même un comble pour un outil censé être réalisé sous l’égide de l’Etat français.