Mise en service au début de juin, alors que l’épidémie due au coronavirus était en phase descendante, l’application est peu utilisée, avec moins de 1,5 million d’utilisateurs, selon un bilan du gouvernement établi le 23 juin.
Dans un communiqué publié lundi 20 juillet, la Commission nationale de l’informatique et des libertés (CNIL) donne les résultats de trois contrôles réalisés en juin sur l’application StopCovid. Le gardien de la vie privée des Français estime que, pour l’essentiel, la nouvelle version de l’application respecte le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés, mais remarque « plusieurs irrégularités », qu’elle demande au gouvernement de régler dans « un délai d’un mois ».
L’application, proposée par le ministère des solidarités et de la santé depuis le 2 juin, permet de se déclarer diagnostiqué positif au virus SARS-CoV-2 et d’indiquer aux autres usagers qu’ils ont été à proximité d’un utilisateur diagnostiqué positif. L’application garde une trace de tous les utilisateurs croisés à moins d’un mètre durant les quinze derniers jours.
« Pas une sanction »
Parmi les irrégularités, la CNIL relève :
- qu’un grand nombre des informations fournies aux utilisateurs de l’application « devrait être encore complété », notamment en ce qui concerne le recaptcha (le dispositif visant à empêcher les « robots » d’utiliser l’application) ;
- que le contrat de sous-traitance conclu entre le ministère et l’Inria (Institut national de recherche en sciences et technologies du numérique) « nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant » ;
- que la première version de l’application faisait remonter au serveur central non seulement les contacts les plus susceptibles d’avoir été exposés au virus, mais aussi l’ensemble de l’historique des contacts des utilisateurs. La CNIL a constaté que ce problème était résolu sur la nouvelle version de l’application, déployée à la fin juin. Elle demande que les utilisateurs de la version plus ancienne de StopCovid soient protégés au même titre que ceux qui utilisent la version la plus récente.
La CNIL demande également au gouvernement de se prononcer quant à l’efficacité de l’application dans la lutte contre l’épidémie. Le gendarme des données personnelles rappelle dans le communiqué que « cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère des solidarités et de la santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti ».
Critiquée, à la fois sur son principe et sur les choix techniques faits par le gouvernement, StopCovid reste pour l’instant peu utilisée : entre 1,4 million et 1,5 million de personnes la consultent, selon un bilan du gouvernement établi le 23 juin.
