L'application StopCovid « respecte pour l’essentiel le RGPD et la loi Informatique et Libertés », mais des « irrégularités » demeurent. C'est le bilan de la CNIL sur l'application française de traçage des contacts après trois contrôles effectués en juin (un en ligne et par le biais d'un questionnaire, les deux autres sur place).
Un problème réglé fin juin
Un problème révélé mi-juin par Mediapart et un chercheur de l'Inria a été corrigé en cours de route. Contrairement à ce que prévoyait le décret, la première version de l'application faisait remonter l'ensemble de l'historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus. Ce problème a été résolu par la version de StopCovid déployée le 26 juin : l'historique de contacts est maintenant filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs ayant été en contact à moins d’un mètre pendant au moins 15 minutes.
Mais cette nouvelle version n'a pas été adoptée par tous les utilisateurs. La CNIL demande donc à ce que son utilisation soit généralisée à tous. Comment ? L'autorité ne le précise pas, c'est au ministère de la Santé de se débrouiller. Pour inciter les utilisateurs à mettre à jour l'application, le ministère pourrait peut-être envoyer une notification.
Des manquements sur les informations mises à disposition
Pour le reste, la CNIL juge que la dernière version respecte « pour l’essentiel » les lois en vigueur concernant la protection des données personnelles. « Pour l'essentiel », mais pas complètement, donc. Les informations sur le traitement des données devraient encore être complétées en ce qui concerne « les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture ».
De plus, le contrat de sous-traitance conclu entre le Ministère et l'Inria doit lui aussi d’être complété, « en particulier en ce qui concerne les obligations du sous-traitant ». Enfin, bien que le ministère de la Santé a réalisé une analyse d’impact sur la protection des données, celle-ci est « incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha) ».
Le ministère est donc mis en demeure de mettre l'application StopCovid en conformité sur ces points dans un délai d'un mois. La CNIL l'invite également à « engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application StopCovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL. »
Les chiffres communiqués par Cédric O le 23 juin font dire à un rapport du Sénat paru début juillet que « l'utilité sanitaire concrète à ce jour semble bien négligeable. » Sur les 2 millions d'utilisateurs que comptent l'application environ, 68 ont fait une déclaration de test positif et 14 ont été avertis d'un risque de contact avec une personne contaminée. « StopCovid apparaît bien comme un rendez-vous manqué », selon les sénateurs, qui jugent néanmoins que « face au risque de reprise de l'épidémie à l'automne […] il est trop tôt à ce stade pour conclure sur l'utilité de cette application. »
Cette mise en demeure de la CNIL intervient alors que le sort de Cédric O, l'instigateur de StopCovid, au poste de secrétaire d'État au numérique est indécis. Les secrétaires d'État du nouveau gouvernement Castex n'ont toujours pas été nommés.
