https://vieviewer.com/

Politique

StopCovid: le ministère de la santé mis en demeure par la Cnil

0 259

PARIS (TICsanté) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé le 20 juillet avoir mis le ministère des solidarités et de la santé en demeure de remédier à "plusieurs irrégularités" qui persistent dans le fonctionnement de l'application de traçage des cas contacts StopCovid dans un délai d'un mois.

L'application StopCovid est disponible dans les magasins d'applications d'Apple et Google depuis le 3 juin et utilise la technologie Bluetooth pour prévenir les utilisateurs qu'ils ont été en contact, à moins d'un mètre pendant au moins 15 minutes, d'une personne diagnostiquée positive au Covid-19, rappelle-t-on.

Dans une délibération adoptée fin mai, la Cnil avait estimé qu'elle pouvait "légalement être mise en oeuvre", annonçant quelques jours plus tard la mise en place de contrôles pour vérifier le bon fonctionnement du dispositif et son respect des réglementations en vigueur sur la protection des données personnelles.

Dans un message publié le 20 juillet sur son site, la commission a expliqué avoir procédé à trois contrôles en juin: un contrôle en ligne de l'application le 9 juin, et deux contrôles sur place les 25 et 26 juin.

Ils ont permis de constater que l'outil "respecte pour l'essentiel" la législation encadrant la collecte et le traitement de données personnelles et les recommandations de la Cnil. Cette dernière a toutefois "constaté certains manquements aux dispositions du RGPD [règlement général européen relatif à la protection des données personnelles] et de la loi Informatique et libertés dans la première version de l'application".

Deux versions de l'outil existent à ce jour, rappelle-t-on. La première (v1.0) avait été téléchargée environ 1,9 million de fois et activée environ 1,5 million de fois fin juin lors des contrôles de la Cnil. La seconde (v1.1) avait été installée et activée par 147.000 personnes en date du 10 juillet, selon des informations transmises par le ministère.

Dans sa décision de mise en demeure, la Cnil a noté que dans la version 1.0, le filtrage de l'historique des contacts de l'utilisateur est toujours opéré au niveau du serveur central au lieu de l'être au niveau du téléphone, "contrairement à ce que prévoit le décret" de mise en oeuvre du traitement de données StopCovid et aux obligations du RGPD. Pour y remédier, la commission a demandé à ce que la nouvelle version 1.1, conforme au décret et à la réglementation européenne, soit généralisée.

Elle a également souligné que l'information fournie aux utilisateurs de l'outil est "quasi conforme" au RGPD, mais qu'elle devait être complétée "en ce qui concerne les destinataires des données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisée via Recaptcha) et le droit de refuser ces opérations de lecture". Recaptcha est un module permettant de s'assurer que l'utilisateur n'est pas un robot (captcha) développé par Google, rappelle-t-on.

Par ailleurs, le contrat de sous-traitance entre le ministère des solidarités et de la santé et l'Institut national de recherche en sciences et technologies du numérique (Inria), agissant en tant qu'assistant à la maîtrise d'oeuvre, s'avère "incomplet" sur les obligations et les droits du responsable de traitement et sur les conditions dans lesquelles l'Inria s'engage à effectuer, pour le compte du ministère, des opérations sur les données collectées.

Enfin, la Cnil a observé que l'analyse d'impact relative à la protection des données, exigée par le RGPD, ne précise pas qu'un module de la société Orange implémenté dans StopCovid afin de prévenir les attaques par déni de service (DDoS) entraîne la collecte des adresses IP des utilisateurs. Cette collecte n'est pas illégale, mais doit apparaître dans l'analyse d'impact, a-t-elle appuyé.

Le ministère prié d'évaluer l'impact de StopCovid "dans les meilleurs délais"

De la même façon, la collecte de données du téléphone de l'utilisateur dans le cadre de la technologie recaptcha de Google (utilisée dans la première version et remplacée dans la seconde par une technologie d'Orange) n'est pas précisée dans l'analyse d'impact. Sur ce point, la Cnil a également noté que les utilisateurs de la v1.0 n'étaient "à aucun moment informés", par une fenêtre de consentement ou lors de l'activation de l'application, de la collecte d'informations stockées sur leurs appareils par le recaptcha de Google.

Elle a mis en demeure le ministère des solidarités et de la santé de remédier à ces manquements sous un délai d'un mois et de justifier que l'ensemble de ses demandes ont bien été respectées.

Elle a par ailleurs rappelé avoir demandé fin mai que "l'impact effectif" de l'application StopCovid sur la stratégie sanitaire globale face à l'épidémie soit "étudié et documenté par le gouvernement de manière régulière pendant toute sa période d'utilisation".

Dans sa décision de mise en demeure, elle a relevé que lors de ses contrôles, "l'évaluation formelle de l'effectivité" de l'outil n'avait pas encore débuté et qu'aucun calendrier d'évaluation n'avait été établi par le ministère. Elle a invité ce dernier à "engager dans les meilleurs délais" cette démarche et de lui rendre compte des résultats.

Le gouvernement "se félicite" des conclusions de la Cnil

"Le gouvernement se félicite des conclusions de l’enquête de la Cnil qui confirment la conformité globale de l’application", a fait savoir la direction générale de la santé (DGS) dans un communiqué le 20 juillet au soir.

La DGS affirme que les exigences de la Cnil "sont en ligne avec les travaux déjà engagés par le gouvernement".

"La mise en place d’un premier filtre au niveau du téléphone permettant de ne retenir que les contacts pertinents était prévue dès la conception du projet" mais n'a été mise en place "que dans la deuxième version de
l’application le 25 juin 2020 (v1.1) après une phase de calibrage du dispositif, est-il indiqué.

"L’absence de filtre au niveau du téléphone n’a pas eu d’incidence majeure: seuls 205 identifiants cryptés de cas contacts de personnes contaminées ont été remontées au 22 juin", soit 3 jours avant la sortie de la version 1.1.

Il n'est aujourd'hui plus possible se déclarer comme cas contact dans la version 1.0 de l'application, ajoute la DGS.

"Les personnes qui n’ont pas déjà mis à jour la version initiale de l’application doivent ouvrir l’application sur leur téléphone et sont alors invitées à télécharger la dernière version qui remplit l’ensemble des préconisations de la Cnil relatives au filtre sur la remontée des données. Depuis le 26 juin 2020, il ne peut donc y avoir de remontée de données sans filtre sur le téléphone", assure-t-elle.

Par ailleurs, "la généralisation de cette version 1.1 permettra également de s’assurer de la fin de l’utilisation de la solution de recaptcha de Google", remplacée par une solution d'Orange.

"Les propositions de la Cnil vont pouvoir être intégrées d’ici la fin du mois et notamment l’ajout de la mention de l'Inria comme sous-traitant dans les destinataires des données", ajoute-t-elle.

"Certaines mentions dans la convention liant la DGS et l'Inria et dans l’analyse d’impact" seront ajoutées et transmises à la Cnil dans le même délai.

Enfin, la DGS indique que "plus de 2 millions de Français ont téléchargé l'application".

Fin juin, StopCovid avait été téléchargée 1,9 million de fois et activée 1,816 million de fois, permettant d'identifier seulement 14 cas contacts, rappelle-t-on.

Décision n°MED-2020-015 de la Cnil du 15 juillet 2020 mettant en demeure le ministère de solidarités et de la santé

Raphael Moreaux
raphael.moreaux@apmnews.com
LĂ©o Caravagna
leo.caravagna@apmnews.com
http://www.computer-engineering.fr/

Acteurs

Apnée du sommeil: Withings lance la V2 de son "Sleep Analyzer" testé cliniquement

PARIS (TICsanté) – Le spécialiste français des objets connectés de santé Withings a lancé le 28 avril une deuxième version de son capteur connecté pour la détection de l'apnée du sommeil le "Sleep Analyzer", testé cliniquement auprès de 118 patients en 2019.

1 772

Systèmes d'information

StopCovid: l'Anssi émet des recommandations de cybersécurité

PARIS (TICsanté) - L'Agence nationale de sécurité des systèmes d'information (Anssi) a émis des recommandations de cybersécurité pour l'application de traçage de l'épidémie de Covid-19, StopCovid, dans un communiqué le 27 avril.

0 831

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
3 + 4 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • VPH 2020

    Du 24/08/2020 au 28/08/2020

  • SIDO 2020

    Du 03/09/2020 au 04/09/2020

  • JournĂ©e En avant la e-santĂ© 2020

    Le 22/09/2020

  • Sant'Expo 2020 (ex-Paris Healthcare Week)

    Du 07/10/2020 au 09/10/2020

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021

https://vph2020.sciencesconf.org