La CNIL vient de clore la mise en demeure qu’elle avait adressée à l’encontre du ministère de la Santé. StopCovid, et derrière le traitement de données personnelles, ne souffre plus des manquements qui furent dénoncés le 20 juillet 2020. Reste en suspens, la question de l'utilité de l'application.
Lancée début juin, dans le feu de l’état d’urgence sanitaire, l’application soutenue par le gouvernement permet d’alerter l’un des utilisateurs d’un risque de contamination par le virus du Covid-19.
Sur le papier, il suffit que deux téléphones soient à moins d’un mètre durant au moins 15 minutes, pour qu’une alerte soit adressée à l’ensemble des contacts d’un sujet à risque. Encore faut-il cependant que le signal d’alarme soit tiré par un de ces utilisateurs, en utilisant un code fourni par le personnel médical.
La CNIL initiait néanmoins une vérification des traitements mis en œuvre par la direction générale du ministère de la Santé. C’est à cette occasion qu’elle a relevé que dans sa première version, l’application faisait remonter l’ensemble de l’historique de proximité dans les bras du ministère, sans préfiltrage. Ce, alors que le décret du 29 mai relatif à StopCovid ne limitait ces remontées qu’aux contacts à risque…
La V.1.1 introduit depuis un système de préfiltrage au niveau du téléphone pour contrecarrer ces remontées surabondantes. Aujourd’hui, la CNIL vient de constater officiellement la résolution du problème. Désormais une mise à jour à chaque lancement empêche l’exécution de la version obsolète.
Abandon du reCaptcha Google
D’autres indélicatesses avaient été éperonnées, en particulier l’usage du reCaptcha de Google sans recueil du consentement de l’utilisateur. Solution désormais laissée sur le bord de la route. « Il n’y a donc plus d’opérations de lecture et d’écriture sur le terminal en lien avec cette technologie, même pour les utilisateurs de la première version de l’application (v1.0) ». Les versions reposent maintenant sur une solution fournie par Orange. Une technologie « qui ne requiert aucune opération de lecture ou d’écriture sur l’ordiphone de l’utilisateur ».
La CNIL avait également épinglé un manque d’information, soit une nouvelle incise aux obligations nées du RGPD. Tout est à conjuguer au passé : « les mesures prises par le ministère des Solidarités et de la Santé quant à l’information des utilisateurs de l’application, aux clauses du contrat de sous-traitance avec INRIA et au contenu de l’analyse d’impact sont conformes aux injonctions de la mise en demeure ».
La liste des points saillants s’arrêtait là. Le ministère ayant répondu à chacun d’eux, la procédure prend fin.
De l'utilité de StopCovid pour justifier l'atteinte à la vie privée
Néanmoins, la CNIL avait aussi émis des « observations complémentaires » dans sa mise en demeure. Elle rappelait un principe important déjà exprimé son avis du 25 mai sur le projet de décret : « l’atteinte portée à la vie privée n’est admissible en l’espèce que si le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable que le dispositif de l’application StopCovid France est utile à la gestion de la crise ».
Elle réclamait alors que « l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté par le gouvernement de manière régulière pendant toute sa période d’utilisation ». Fin mai, l’évaluation formelle de l’effectivité de l’application « n’avait pas encore débuté », pas plus que n’avait été établi « le calendrier du travail d’évaluation ». Le ministère était cette fois non mis en demeure, mais « invité » à « engager dans les meilleurs délais cette démarche d’évaluation et à lui rendre compte de ses résultats ». La clôture de la mise en demeure n’en fait pas état.
« StopCovid n'a pas obtenu les résultats que l'on en espérait » avait regretté Jean Castex, Premier ministre, sur France Inter fin août. Le 31 août, le site des Échos rapportait que l’application n’a été téléchargée que 2,3 millions de fois. 1 725 personnes ont fait appel à ses services pour se déclarer malades. Et seuls 103 cas contacts ont été notifiés. Enfin, ce n’est que le 14 août que le ministère de la Santé a adressé son évaluation à la CNIL. Fin août elle était toujours en phase d’instruction.
