Souvenez-vous, quelques jours après après son lancement l’application StopCovid passait le cap du million de téléchargements. Depuis, assez peu de français ont fait le choix d’installer cette application de contact tracing. Cela n’a pas empêché la CNIL de rendre publique une mise en demeure le 20 juillet, à l’encontre du ministère des Solidarités et de la Santé concernant le traitement des données personnelles. L’application vient de se conformer au RGPD et aux règles imposées par la CNIL. Une clôture de la mise en demeure a été publiée le 3 septembre.

Selon la CNIL, StopCovid ne respectait pas le RGPD

La Quadrature du Net et d’autres avaient soulevé les questions du traitement des données personnelles avant le lancement officiel de l’application. L’application StopCovid, chapeautée par le ministère des Solidarités et de la Santé, représentait effectivement un risque pour les utilisateurs à propos du traitement des données personnelles selon la Commission Nationale de l’Informatique et des Libertés. Après son lancement en juin 2020, la CNIL a relevé plusieurs manquements aux dispositions du RGPD et à la loi Informatique et Libertés. À l’époque, la présidente de la commission avait décidé de mettre en demeure le ministère pour plusieurs raisons.

La CNIL exigeait de StopCovid que la nouvelle version de l’application, qui permet de n’envoyer que l’historique de proximité, soit généralisée. La commission a également demandé de compléter l’information fournie aux utilisateurs de l’application sur les destinataires de ces données, sur les opérations de lecture des informations présentes sur les équipements terminaux (réalisées avec la technologie reCaptcha) et le droit de refuser ces opérations de lecture. Enfin, une analyse d’impact relative à la protection des données (AIPD) sur le traitement des données réalisé à des fins de sécurité, devait être réalisé.

L’application est désormais conforme aux règles européennes

Pendant l’été, le ministère a travaillé sur ces différents points pour mettre en conformité son application. Les mesures nécessaires ont vraisemblablement été prises pour répondre aux injonctions de la CNIL. Une nouvelle version de l’application StopCovid est désormais disponible. Il s’agit de la V1.1. Il est par exemple impossible que l’intégralité de l’historique des contacts de l’utilisateur remonte vers le serveur central, sans pré-filtrage au niveau du téléphone. Notons également que le ministère n’a plus recours au système de reCaptcha proposé par Google.

Dans ces conditions, la CNIL estime que le ministère de la Santé respecte le règlement général sur la protection des données européen (RGPD). La clôture de la mise en demeure a donc pu être publiée. Au-delà de cette question sur la sécurité des données, il y a la question de l’efficacité de l’application. En août, seulement 2,5 millions de français avaient téléchargé l’application sur leur smartphone. Plus récemment, le Premier ministre Jean Castex s’est exprimé sur France Inter à ce propos. Il affirme que :

« StopCovid est un outil dans la panoplie de lutte contre l’épidémie mais il faut bien reconnaître que cette application de contact tracing n’a pas obtenu les résultats qu’on en espérait ».