Application StopCovid : la Cnil va vérifier les données remontées au serveur central

La Cnil va de nouveau se plonger dans StopCovid. Lundi 22 juin, le gendarme français des données personnelles a annoncé qu'il allait contrôler "dans les prochains jours" le fonctionnement du serveur central de l'application gouvernementale destinée à lutter contre l'épidémie de coronavirus, alors que cette dernière est accusée par des spécialistes de partager plus de données que prévu.

Un chercheur en cybersécurité avait notamment révélé le 11 juin que, selon ses analyses, les utilisateurs de l'application StopCovid qui se déclaraient atteints par la maladie envoyaient à l'autorité de santé "tous les contacts croisés pendant les 14 derniers jours" (délai maximal d'incubation du virus), et non les seuls contacts "à risque" détectés pendant 15 minutes à moins d'un mètre, comme présenté par le gouvernement. Un autre spécialiste de la sécurité informatique a confirmé cette analyse auprès de l'AFP.

"Le sujet est identifié et fait partie du périmètre des contrôles opérés par la Cnil", et notamment ceux qui doivent débuter sur place dans les locaux du responsable du traitement de données "dans les prochains jours", a affirmé lundi à l'AFP le secrétaire général adjoint de la Cnil, Gwendal Le Grand. "On va vérifier quelles données sont envoyées par l'application, ce qui permettra d'évaluer la conformité par rapport au décret et au RGPD", le règlement général sur la protection des données, a-t-il déclaré.

Des vérifications en ligne en cours 

La commission s'était prononcée le 24 avril sur le principe de l'application et sur le protocole technique envisagé, qui utilise la technologie Bluetooth pour détecter les contacts et non la localisation de l'utilisateur, puis le 25 mai sur le projet de décret instaurant un cadre légal au système. Or, selon elle, les identifiants pseudonymes des cas contacts remontés par l'application lorsque l'utilisateur se déclare malade ne sont pas encore "à risque", mais "susceptibles d'être à risque". Cette nuance, absente de ses avis publics, aurait fait partie des discussions avec le gouvernement, a-t-elle assuré.

La Cnil a débuté ses contrôles le 9 juin par des vérifications en ligne et l'envoi d'un questionnaire. "A l'issue de l'instruction, les constatations pourront conduire, en cas de manquement graves ou répétés, à l'adoption de mesures correctrices, telles que des mises en demeure ou des sanctions", a-t-elle expliqué.

Voulue par le gouvernement pour lutter contre la propagation du coronavirus et très critiquée par ceux qui redoutent une société de surveillance, StopCovid a été téléchargée moins de deux millions de fois selon les derniers chiffres disponibles, et n'a généré que très peu de notifications, notamment en raison du déclin du nombre de contaminations en France.