StopCovid : la Cnil va vérifier les données remontées au serveur central
L’application gouvernementale est accusée par des spécialistes de partager plus de données que prévu, notamment sur les rencontres effectuées par ses utilisateurs.
Le gendarme français des données personnelles se met sur ses gardes. La Cnil a annoncé lundi qu'elle allait contrôler « dans les prochains jours » le fonctionnement du serveur central de l'application gouvernementale StopCovid, accusée par des spécialistes de partager plus de données que prévu.
Un chercheur en cybersécurité affirme notamment que les utilisateurs qui se déclarent contaminés enverraient à l'autorité de santé « tous les contacts croisés pendant les 14 derniers jours » (délai maximal d'incubation du virus), et non les seuls contacts « à risque » détectés pendant 15 minutes à moins d'un mètre, comme présenté par le gouvernement.
« Le sujet est identifié et fait partie du périmètre des contrôles opérés par la Cnil », confirme le secrétaire général adjoint de la Cnil, Gwendal Le Grand. Ces contrôles doivent débuter sur place, dans les locaux du responsable du traitement de données, « dans les prochains jours », précise-t-il.
LIRE AUSSI > À quoi va ressembler la facture de l’appli anti-épidémie ?
La commission s'était prononcée le 24 avril sur le principe de l'application et sur le protocole technique envisagé, qui utilise la technologie Bluetooth pour détecter les contacts et non la localisation de l'utilisateur, puis le 25 mai sur le projet de décret instaurant un cadre légal au système.
Selon elle, les identifiants pseudonymes des cas contacts remontés par l'application lorsque l'utilisateur se déclare malade ne sont pas encore « à risque », mais « susceptibles d'être à risque ». Cette nuance, absente de ses avis publics, aurait fait partie des discussions avec le gouvernement.
« On va vérifier quelles données sont envoyées par l'application, ce qui permettra d'évaluer la conformité par rapport au décret et au RGPD », le règlement général sur la protection des données, présente Gwendal Le Grand.
Mises en demeure ou sanctions
La Cnil a débuté ses contrôles le 9 juin par des vérifications en ligne et l'envoi d'un questionnaire. « À l'issue de l'instruction, les constatations pourront conduire, en cas de manquements graves ou répétés, à l'adoption de mesures correctrices, telles que des mises en demeure ou des sanctions », prévient-elle.
Voulue par le gouvernement pour lutter contre la propagation du coronavirus et très critiquée par ceux qui redoutent une société de surveillance, StopCovid a été téléchargée moins de deux millions de fois selon les derniers chiffres disponibles, et n'a généré que très peu de notifications, notamment en raison du déclin du nombre de contaminations en France.
