Le récent contexte sanitaire lié au Covid-19 et la stratégie de déconfinement entrepris par le Ministère des Solidarités et de la santé a fais naitre, depuis le 2 juin, une application mobile « StopCovid France », disponible sur smartphone et dont le principal objectif est de lutter contre la propagation de l’épidémie. Le traitement des données à caractère personnel des utilisateurs est encadré par le décret n°2020-650 du 29 mai 2020 et son arrêté du 30 mai 2020. L’application permet un suivi effectif des contacts et permet à l’utilisateur de se déclarer diagnostiqué positif au virus SARS-CoV-2. Elle permet également aux utilisateurs d’être informés qu’ils ont été à proximité d’un autre utilisateur diagnostiqué positif au virus SARS-CoV-2 et d’être invités à se rapprocher d’un professionnel de santé pour être pris en charge le plus rapidement possible.

Le 9, 25 et 26 juin dernier, la Commission nationale de l’informatique et des libertés (CNIL) a procédé à un contrôle de l’application afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs telles qu’elles découlent du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi Informatique et Libertés n° 78-17 du 6 janvier 1978. Selon la Commission, l’application respecte globalement les dispositions applicables relatives à la protection des données mais relève certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Depuis, le ministère a déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. A ce jour, les deux versions de l’application coexistent.

Parmi les manquements aux dispositions, la Commission relève :

A) Le manquement à l’obligation licéité, loyauté et transparence (RGPD, art. 5.1, a)

L’intégralité de l’historique de proximité est transmise au serveur central lorsque l’utilisateur se déclare positif à la covid-19, au lieu de la seule liste de contacts à risque de contamination. Or ceci va à l’encontre du décret n°2020-650 du 29 mai 2020. En cela, la CNIL met en demeure le ministère des solidarités et de la santé de se mettre en conformité, par exemple, en forçant la mise à jour de l’application.
L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minute.

B) Le manquement à l’obligation d’information (RGPD, art. 13)

L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Les informations sont accessibles dans une rubrique dédiée sur l’application. Elles ne mentionnent toutefois pas l’existence de l’Institut national de recherche en sciences et technologies du numérique (INRIA), sous-traitant, en tant que destinataire des données, ce qui contrevient à l’article 13 du RGPD. De plus, les informations sont incomplètes en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.

C) Le manquement aux dispositions relatives aux sous-traitants (RGPD, art. 28)

En exécutant pour le compte du ministère des missions de déploiement, d’information, d’exploitation, d’hébergement et de maintenance, l’INRIA est qualifié de sous-traitant. Or les mentions obligatoires au contrat sont incomplètes en matière de répartition des droits et obligations du responsable de traitement et du sous-traitant. Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.

D) Le manquement à l’analyse d’impact relative à la protection des données (RGPD, art. 35.7, a)

Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité. La dernière analyse d’impact, en date du 3 juillet 2020, ne mentionne pas la totalité des opérations effectuées par l’application. D’une part, elle « ne précise pas que la solution anti-DDOS (solution visant à prévenir les attaques par déni de service) […] entraîne la collecte des adresses IP [des utilisateurs] ». D’autre part, elle ne précise pas l’existence de la collecte de données par Google à partir de sa technologie reCaptcha.

E) Le manquement relatif à la technologie « ReCaptcha »

Le captcha de Google, avant d’être remplacé par la solution d’Orange, permettait de sécuriser l’application mais offrait également à Google la collecte de données stockées sur le terminal de l’utilisateur. Or les utilisateurs n’en sont pas informés et ne sont pas en mesure de consentir ou non à cette pratique, ce qui méconnaît les dispositions de l’article 82 de la loi Informatique et Libertés.