La CNIL a décidé de clore la mise en demeure adressée fin juillet au ministère des Solidarités et de la Santé à propos de lacunes dans l'application StopCovid.
Le 20 juillet, la Commission Nationale de l'Informatique et des Libertés avait communiqué sur trois types d'irrégularités constatées sur l'application de traçage, et sommé le ministère d'y remédier.
C'est désormais chose faite, considère la CNIL. Depuis la mise à jour 1.1.x, l'app réalise un préfiltrage de l'historique global des contacts avec d'autres utilisateurs de l'app, directement sur le téléphone et non plus côté serveur. Elle n'envoie plus que ceux susceptibles d'avoir été exposés au virus. Pour les utilisateurs restés sur la version 1.0 de l'app, une alerte les invite à télécharger la dernière mise à jour s'ils veulent activer StopCovid.
Autre point modifié, le « reCaptcha » de Google (ce code que l'on saisit à partir d'une image déformée pour prouver à l'app que c'est bien une personne qui est en train de l'utiliser et non un automate) a été remplacé par une solution d'Orange qui n'induit aucune lecture et écriture d'information sur le terminal. « Le fonctionnement de l'API reCAPTCHA repose sur la collecte d'informations matérielles et logicielles (telles que les données sur les appareils et les applications) et que ces données sont transmises à Google pour analyse » regrettait la CNIL à propos du précédent système.
Enfin, la CNIL note que des informations relatives au RGPD et au contrat de sous-traitance avec l'INRIA ont été ajoutées comme demandé. Que l'INRIA figure désormais aussi comme destinataire des données personnelles et, qu'enfin, Orange a fourni les précisions attendues sur la manière dont sont protégées ces informations contre d'éventuelles attaques informatiques.
Source : CNIL
