accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

« StopCovid » : le ministère de la santé mis en demeure par la CNIL

CNIL, communiqué, 20 juill. 2020
[21.07.2020]

À la suite des contrôles annoncés, la CNIL estime que la nouvelle version de l’application StopCovid respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier.

La CNIL a procédé à trois contrôles de l’application StopCovid en juin 2020 afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. 

Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus, la CNIL a constaté que ce problème était résolu sur la nouvelle version de l’application, déployée fin juin. Elle demande cependant à ce que cette nouvelle version soit généralisée à tous les utilisateurs de Stopcovid.

Pour le reste, la CNIL estime que cette nouvelle version respecte pour l’essentiel le RGPD et la loi Informatique et Libertés.

Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier. La CNIL a en particulier relevé certains manquements ponctuels :

- l'analyse d’impact relative à la protection des données a bien été réalisée par le ministère, mais elle est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité ;

- l’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Cependant, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture ;

- le contrat de sous-traitance conclu entre le ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD, mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points. Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.