Comme promis, la Commission chargée de veiller au respect des données personnelles a mis son nez dans StopCovid. Ses conclusions ? L’application de suivi de contact souffre de plusieurs problèmes au regard du RGPD. « Le ministère de la Santé est mis en demeure d’y remédier » expose l’autorité.
L’application StopCovid a été lancée le 2 juin, en plein état d’urgence sanitaire. Son fonctionnement a été résumé dans l’arrêté au Journal officiel : lorsque « deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du covid-19, à une proximité suffisante l'un de l'autre », à savoir à moins d’un mètre durant au moins 15 minutes, une alerte peut être adressée à l’ensemble des contacts d’un sujet à risque.
Le « signal » initial est adressé par un autre utilisateur, via un code fourni par le personnel médical, après une batterie d’examens constatant sa contamination. L’utilisation de ce code fait alors remonter son historique de contacts au serveur central qui va jauger le risque de contamination auprès de l’ensemble de son graphe social croisé ces derniers jours.
Derrière la technique, il y a surtout un flux de données personnelles « collectées et enregistrées par l'application sur le téléphone mobile de l'utilisateur et stockées sur le serveur central en cas de partage par l'utilisateur de l'historique de proximité des contacts à risque de contamination par le virus du Covid-19 » écrivait la CNIL dans son second avis.
L’autorité avait été en effet saisie par deux fois. Un premier avis en date du 24 avril 2020 s’était penché sur le projet d’application mobile. Le second du 25 mai 2020 visait plus directement le projet de décret relatif à StopCovid. Le 28 mai, trois jours après ce dernier avis, la présidente de la CNIL avait décidé de lancer une mission de vérification du traitement mis en œuvre par la direction générale du ministère de la Santé.
S’en est alors suivi une série d’échanges avec le ministère, accompagné de contrôle portant sur l’analyse d’impact, le registre des traitements et la documentation technique. Ces contrôles se sont densifiés puisque deux versions de StopCovid sont aujourd’hui en circulation en France.
Dans sa délibération, la Commission relève que la v1 a été téléchargée 1,9 million de fois, activée 1,5 million de fois. Pour la suivante les chiffres sont plus légers : « le nombre d’applications « StopCovid France » installées et activées après la sortie de la v1.1.* s’élève à environ 147 000 » indique le ministère de la Santé suite à une demande d’information de la CNIL.
Une remontée des contacts massive, sans filtre local
Plusieurs manquements ont été repérés par l’autorité. D’abord sur la gestion des contacts. Dans la première version, l’ensemble de l’historique des contacts remontait au ministère sans préfiltrage.
Une procédure en contrariété directe avec les textes, puisque le décret du 29 mai relatif à StopCovid ne réserve un tel traitement qu’aux contacts à risque, ceux ayant été à moins d’un mètre pendant plus d’un quart d’heure. Cette contrariété entraine nécessairement une violation du règlement général sur la protection des données personnelles (RGPD) et la Commission enjoint le ministère de la Santé de cesser « de faire remonter l’intégralité des données de l’historique de contacts de l’utilisateur au serveur central ». Il a pour cela le choix des armes.
Mais l’autorité lui suggère de prendre « toutes mesures appropriées permettant de généraliser l’usage de la nouvelle version de l’application ». En effet, la v1.1 a introduit depuis un système de préfiltrage au niveau du téléphone pour éviter les remontées surabondantes d’informations personnelles.
Des informations manquantes
Au fil de son enquête, la CNIL a relevé d’autres indélicatesses. Par exemple, sur le terrain de l’information des personnes concernées, le ministère a omis de préciser dans la rubrique « confidentialité » que INRIA agissant en qualité de sous-traitant et plus exactement d’assistant à la maîtrise d’œuvre « traite des données à caractère personnel issues de l’application StopCovid France pour le compte du ministère des Solidarités et de la Santé ».
De même les clauses du contrat passé entre INRIA et le ministère « ne précisent pas que le sous-traitant aide le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits ». De même aurait dû être mentionné « que le sous-traitant aide le responsable de traitement à garantir le respect des obligations […] RGPD et que le sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour (…) permettre la réalisation d’audits ».
Des oublis dans l’analyse d’impact
La version actuelle de l’analyse d’impact n’a pas échappé à ces critiques. Le texte européen exige que ce document porte « une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ».
Or, l’analyse d’impact de StopCovid « ne précise pas que la solution anti DDOS (solution visant à prévenir les attaques par déni de service) proposée par la société ORANGE et implémentée dans l’application aux fins de sécurisation du système, entraine la collecte des adresses IP (« internet protocol ») des utilisateurs de l’application ».
La version antérieure du document avait omis que StopCovid utilise le captcha fourni par Google. Destiné à s’assurer que le comportement de l’utilisateur prétendu est bien celui d’un humain, cet outil a attisé l’attention de l’autorité.
Le captcha Google doit être précédé d’un consentement
Si la v1.0 utilisait le captcha Google, la v1.1 a confié cette authentification à Orange. Une technologie « qui ne requiert aucune opération de lecture ou d’écriture sur l’ordiphone de l’utilisateur ». Le souci se pose sur la première version puisque la solution développée par la firme de Mountain View ne se contente pas de sécuriser l’application, mais également d’effectuer des opérations d’analyse. Ces derniers traitements, aux yeux de la CNIL, doivent impérativement reposer sur le consentement de l’utilisateur, précédé d’une solide information.
Problème : « la délégation a constaté que les utilisateurs de l’application StopCovid France dans sa version v1.0.* ne sont à aucun moment informés, notamment par une fenêtre de consentement au moment de l’activation de l’application, de la collecte d’informations stockées sur leurs équipements mobiles ni des moyens de refuser cette collecte ». Les données sont donc traitées sans information ni consentement de l’utilisateur.
« La Présidente de la CNIL ne peut exclure que le reCaptcha Google puisse encore être utilisé par des personnes ayant téléchargé la version 1.0.* de l’application, mais ne l’ayant pas encore activée ». Une défaillance qui devra être corrigée, soit par une fenêtre de consentement, soit par un basculement de l’ensemble du parc vers la v1.1 par exemple. « Cette injonction vise le cas des utilisateurs ayant téléchargé la version v1.0.* de l’application et ne l’ayant pas encore activée pour la première fois », soit selon les chiffres révélés, au tour de 400 000 personnes.
De l’utilité de StopCovid pour justifier l'atteinte à la vie privée
Dans sa délibération, publique, la Commission ajoute que si la protection de la santé est un objectif à valeur constitutionnelle, l’atteinte à la vie privée « n’est admissible en l’espèce que si le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable que le dispositif de l’application « StopCovid France » est utile à la gestion de la crise ».
Dans son avis du 25 mai 2020, l’autorité avait réclamé « que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté par le gouvernement de manière régulière pendant toute sa période d’utilisation ». Lors des contrôles, elle a constaté « que l’évaluation formelle de l’effectivité de l’application n’avait pas encore débuté et que le calendrier du travail d’évaluation n’avait pas encore été établi par le ministère ».