Application STOP COVID : le ministère de la Santé dans le viseur de la CNIL

6/08/2020

 

Dans le cadre de la stratégie de déconfinement, l’application mobile STOP COVID a été lancée en France début juin. Nous avons d’ores et déjà publié un article sur les tenants et les aboutissants de cette application, que vous pouvez consulter en cliquant sur le lien ci-après : https://www.langlais-avocats.com/actualites/actualites-juridiques/696-tracage-numerique-via-l-application-stop-covid-enjeux-juridiques-et-perspectives.html.  

 

Depuis lors, une nouvelle version de cette application (version V1.1.*) a été lancée, apportant deux changements, à savoir :

 

  • La méthode d’authentification (permettant de vérifier si l’activation de l’application se fait bien par un être humain) reposant initialement sur une technique de la société GOOGLE, remplacée par une technologique développée par la société ORANGE ;

 

  • L’activation de la fonction de préfiltre de l’historique de contacts de l’utilisateur qui se déclare positif au virus, fondée sur des critères de durée et de distance du contact.

 

Certaines personnes n’ayant pas téléchargé la mise à jour utilisent toujours la version V.1.0.* de l’application.

Courant juin, une délégation de la CNIL a procédé à un contrôle en ligne et à des contrôles sur place, afin de vérifier la conformité des traitements de données personnelles au regard du RGPD et de la Loi informatique et libertés.

 

Des documents complémentaires (à savoir notamment l’analyse d’impact relative au traitement de données personnelles issues de l’application, les registres de traitement, etc.) ont été demandés au ministère des Solidarités et de la Santé.

 

Cette délégation de la CNIL a relevé des manquements aux dispositions du RGPD et de la Loi informatique et libertés exposés ci-après, ayant donné lieu à une mise en demeure, par décision n° MED-2020-015 du 15 juillet 2020.

 

Manquement concernant l’absence de préfiltrage de données

 

Lorsque l’utilisateur se déclare positif au virus, l’ensemble de son historique de contacts remonte au serveur central géré pour le compte du ministère des Solidarités et de la Santé, sans préfiltrage préalable des données, reposant sur des critères de distance et de durée du contact avec un autre utilisateur.

 

L’article 5 du 1 de l’article 2 du décret du 29 mai 2020 prévoit que l’historique de proximité d’un utilisateur doit se limiter aux données de contacts de l’utilisateur avec d’autres utilisateurs se trouvant, pendant une période déterminée, à une distance proche de son téléphone pouvant ainsi engendrer une contamination. La version initiale de l’application est donc contraire au décret et constitue un manquement 5-1-a) du RPGD.

 

Suite à ce constat, la Présidente de la CNIL a donc conseillé au responsable de traitement de cesser cette remontée de l’intégralité des données et de prendre toutes mesures pour que l’usage de la nouvelle version de l’application soit généralisé.

 

Manquement à l’obligation d’informer les personnes concernées

 

La délégation de la CNIL a constaté que la politique de traitement des données personnelles fournies aux utilisateurs de l’application était incomplète au sujet des catégories de destinataires des données.

 

En effet, l’INRIA (Institut national de recherche en sciences et technologies du numérique), agissant en qualité d’assistant à la maîtrise d’œuvre du ministère des Solidarités et de la Santé, traite des données personnelles issues de l’application mais n’est pas mentionné dans l’article concerné de la politique.

 

L’absence de mention d’un sous-traitant constitue un manquement à l’article 13 du RGPD.

 

La CNIL a par ailleurs identifié que les utilisateurs de la version initiale de l’application ne sont pas informés, par une fenêtre de consentement, de la collecte d’informations stockées sur leurs équipements mobiles ni de la possibilité de le refuser. Un manquement à l’article 82 de la Loi informatique et libertés est donc ici patent.

 

Autres manquements concernant les sous-traitants et l’analyse d’impact

 

L’article 28 du RPGD prévoit que lorsque le responsable de traitement fait appel à un sous-traitant, un contrat sur les conditions de traitement (durée, nature et finalité du traitement, type de données traitées, obligations de chacun, etc.) doit être régularisé.

 

Dans le cas en présence, les clauses dudit contrat signé avec l’INRIA ne précisent pas qu’il doit aider le responsable de traitement (à savoir le Ministère) à s’acquitter de son obligation de donner suite aux demandes des personnes concernées le saisissant pour exercer leurs droits.

 

Enfin, l’analyse d’impact réalisé par le ministère concerné n’était pas assez exhaustive concernant les opérations de traitement de données personnelles et les mesures mises en place pour limiter les risques.

 

Le ministère des Solidarités et de la Santé a donc un mois pour se conformer à la législation en vigueur. Dans le cas contraire, des mesures pourraient être prononcées (ex. : rappel à l’ordre, injonction, etc.).