Par une décision n°MED-2020-015 du 15 juillet 2020, la Présidente de la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure le ministère des solidarités et de la santé de mettre en conformité l’application dénommée StopCovid France. Elle a relevé plusieurs manquements aux dispositions du Règlement général sur la protection des données (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée à l’occasion de trois contrôles qu’elle a diligentés.
Le Bureau de la Cnil a décidé de rendre publique cette mise en demeure dans une délibération n°MEDP-2020-003 du 16 juillet 2020 en raison du caractère sensible des données traitées, de la qualité de personne publique du responsable du traitement, de l’objectif de transparence poursuivi par la Cnil ainsi que du nombre de personnes concernées (près de 2 millions d’utilisateurs).
Rappel du contexte et du fonctionnement de l’application StopCovid
Dans le cadre de la levée du confinement et de la gestion du virus SARS-CoV-2, le Gouvernement a mis en place certains dispositifs numériques. Les fichiers nationaux « SI-DEP » et « Contact COVID » font ainsi partie de ces dispositifs. Leur objectif est d’assurer le dépistage, la conduite des enquêtes sanitaires ainsi que la prise en charge des cas positifs.
En complément à ces dispositifs, le ministère des solidarités et de la santé propose depuis le 2 juin 2020 une application intitulée « StopCovid France » dans les magasins d’application des smartphones (App Store et Play Store). Cette application permet à son utilisateur de se déclarer diagnostiqué au virus SARS-CoV-2 et d’être informé, le cas échéant, qu’il a été à proximité d’autres utilisateurs diagnostiqués. Dans une telle hypothèse, l’utilisateur est invité de contacter un professionnel de santé. Il est ensuite enregistré dans les fichiers nationaux « SI-DEP » et « Contact COVID ».
Sur le plan technique, il s’agit d’un dispositif de suivi de contacts qui fonctionne grâce à la technologie Bluetooth permettant d’évaluer la proximité entre deux terminaux. Si un utilisateur est diagnostiqué positif, il peut le déclarer dans l’application avec un code qui lui est fourni par le professionnel de santé. Cette déclaration permet la remontée de son historique de « contacts » à un serveur central. Ce dernier est interrogé par l’application d’autres utilisateurs et des alertes sont ainsi envoyées en cas de risque de contamination. A noter que les utilisateurs ne sont pas identifiés par leurs noms et prénoms, mais uniquement avec des pseudonymes constitués d’une suite de lettres et de chiffres.
L’utilisation de tous les composants de l’application reposent sur une démarche volontaire. En d’autres termes, c’est à l’utilisateur de décider d’installer l’application, d’activer la technologie Bluetooth ou encore de prendre contact avec un professionnel de santé après avoir reçu une alerte.
Avis de la Cnil
Avant le lancement de l’application, la Cnil s’est prononcée à plusieurs reprises sur la conformité de l’application à la réglementation en matière de données à caractère personnel.
Dans un premier temps, la Cnil a été saisie par le Secrétaire d’Etat chargé du numérique d’une demande d’avis relative aux conditions et modalités de la mise en œuvre de l’application. Etant précisé que le jour de la saisine, le 20 avril 2020, les modalités définitives de l’application n’avaient pas encore été arrêtées.
Par une délibération n°2020-046 du 24 avril 2020, la Cnil a émis des réserves. Elle a notamment alerté contre les risques de transformation de l’application en un outil de surveillance et de détournement de son caractère volontaire, tout en demandant des garanties complémentaires dont la mise en place des mesures de sécurité. Elle a également rappelé la nécessité d’évaluer et de documenter l’impact effectif de l’application, de respecter le principe de minimisation des données et de garantir les droits des personnes concernées (droit à l’information, droit d’accès, etc.).
A la suite de l’élaboration du projet de décret relatif à l’application, la Cnil a été saisie en urgence par le ministère des solidarités et de la santé d’une demande d’avis sur ledit projet, accompagné d’une analyse d’impact sur la protection des données (AIPD). Par une délibération n°2020-056 du 25 mai 2020, la Cnil a formulé plusieurs observations, notamment sur la nécessité :
- de s’assurer de la cohérence entre l’AIPD et le projet de décret, concernant notamment les données collectées et les destinataires des données, et compléter ainsi ledit projet sur ces points,
- d’encadrer les relations de sous-traitance par un contrat précisant les obligations de chaque partie conformément à l’article 28 du RGPD, notamment en matière d’exercice des doits des personnes concernées et de mesures de sécurité,
- d’améliorer l’information fournie aux utilisateurs au regard des articles 12 à 14 du RGPD.
Par ailleurs, la Cnil a réitéré sa recommandation sur l’évaluation et la documentation régulières de l’impact effectif de l’application.
Mise en demeure du 15 juillet 2020
Conformément à ce qui avait été prononcé par la Présidente de la Cnil lors d’une audition publique devant l’Assemblée nationale, l’application « StopCovid » a fait l’objet d’un contrôle en ligne et deux contrôles sur place pendant le mois de juin 2020. Ces contrôles ont porté sur la 1ère version de l’application, et une version mise à jour a été déployée par le ministère fin juin 2020. Au cours de ces contrôles, la Cnil a constaté plusieurs manquements à la réglementation applicable.
Un manquement au principe de licéité, loyauté et transparence
Dans la délibération du 15 juillet 2020, il est relevé qu’en vertu des 5° et 6° du I de l’article 2 du décret n°2020-650 du 29 mai 2020, seules les données de l’historique de proximité de contacts à risque de contamination sont transmises au serveur central géré pour le compte du ministère. Etant précisé que le risque de contamination est déterminé en fonction des critères de distance et de durée de contact. Autrement dit, il ressort de ces dispositions qu’un premier filtrage est effectué au niveau du téléphone, permettant d’éviter la remontée de l’intégralité des données de l’historique de proximité au serveur central.
Or, la Cnil indique avoir constaté que, dans la 1ère version de l’application, l’ensemble de l’historique de contacts était transmis au serveur central « sans processus de pré-filtrage préalable des données ». Une contradiction avec le décret du 29 mai 2020 a donc été relevée.
Par conséquent, la Cnil estime que le ministère a manqué à son obligation de mettre en œuvre un traitement licite, loyal et transparent en vertu de l’article 5-1, a) du RGPD.
Un manquement à l’obligation d’informer les personnes concernées
Pour rappel, l’article 13 du RGPD prévoit à la charge du responsable du traitement la fourniture aux personnes concernées d’une série d’informations relatives au traitement de leurs données (identité et coordonnée du responsable du traitement, finalités et bases légales du traitement, destinataires des données, etc.).
En l’espèce, ces informations sont fournies aux personnes concernées à partir d’une rubrique accessible lors de l’activation de l’application ainsi que sur la page web dédiée à celle-ci.
La Cnil estime que la plupart des informations de l’article 13 du RGPD figure dans la rubrique et la page web. Toutefois, elle constate que les personnes concernées ne sont pas informées de l’intégralité des destinataires de leurs données, et plus particulièrement de l’accès par l’entité INRIA, le sous-traitant du ministère.
Manquement à l’obligation relative à l’encadrement de la sous-traitance
La Cnil rappelle qu’en sa qualité de sous-traitant, INRIA effectue pour le compte du ministère des opérations de déploiement, d’infogérance, d’exploitation, d’hébergement et de maintenance évolutive de l’application « StopCovid ».
Dans ce contexte, cette relation de sous-traitance doit être encadrée par un acte juridique comportant l’ensemble des mentions énumérées par l’article 28 du RGPD. Néanmoins, dans l’acte qui lie INRIA et le ministère, la Cnil constate l’absence de plusieurs stipulations, et notamment :
- les droits et obligations du ministère,
- les conditions dans lesquelles INRIA met en œuvre le traitement pour le compte du ministère,
- l’obligation de INRIA d’aider le ministère à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD qui portent respectivement sur la sécurité du traitement, la notification à l’autorité compétente de violations de données à caractère personnel, la communication de ces dernières aux personnes concernées, la réalisation de l’AIPD, et la consultation préalable de l’autorité compétente.
Manquement à l’obligation de réaliser une AIPD complète
Pour rappel, l’article 35-7,a) du RGPD impose au responsable du traitement la réalisation d’une AIPD lorsque le traitement envisagé « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Cette AIPD doit comporter plusieurs éléments, dont « la description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivie par le responsable du traitement ».
En l’espèce, la Cnil déclare que le ministère lui a communiqué le 3 juin 2020 une version mise à jour de l’AIPD effectuée depuis le lancement de l’application, et constate que la description de l’un des traitements mis en œuvre n’y figure pas.
En effet, l’application utilise une solution de sécurité, dénommée « anti-Dos », permettant de prévenir les attaques par déni de service. Ces attaques visent à « provoquer une panne ou un fonctionnement fortement dégradé du service ». Cette solution « anti-Dos » est proposée par la société ORANGE et repose sur la collecte des adresses IP des utilisateurs de l’application.
La Cnil souligne que, si le traitement mis en œuvre grâce au déploiement de cette solution n’est pas irrégulier, la description de ce traitement doit apparaitre dans l’AIPD réalisé par le ministère.
La Cnil ne se prononce pas, en revanche sur la qualification des parties prenantes, ni sur le fait que les utilisateurs sont informés.
Manquement aux règles relatives aux cookies et autres traceurs
La Cnil explique les deux versions de l’application « StopCovid » contiennent une solution « captcha », permettant de déterminer « si le comportement d’un utilisateur de l’application correspond ou non à celui d’un humain ». Cela étant, tandis que la 2nd version de l’application utilise une technologie de captcha développée par la société Orange, la 1ère version recourt à la technologie reCaptcha de la société Google.
Or, la Cnil rappelle que le traitement des données à caractère personnel mis en œuvre grâce à la technologie reCaptcha ne répond pas seulement à un objectif de sécurité, mais permet également à la société Google d’analyser les données en question. Cela est également précisé par la société Google dans l’information qu’elle fournit aux développeurs de ladite technologie.
Toutefois, la Cnil constate que les utilisateurs de la 1ère version de l’application « ne sont à aucun moment informés (…) de la collecte d’informations stockées sur leurs équipements mobiles ni des moyens de refuser cette collecte ». De surcroit, leur consentement « n’est recueilli à aucun moment du parcours d’activation de l’application ». Par conséquent, cela constitue un manquement aux dispositions de l’article 82 de la LIL.
Eu égard de ces constats, la Cnil a mis en demeure le ministère, sous un délai d’un mois et sous réserve d’une éventuelle mise en conformité dans la 2ème version de l’application, de :
- cesser de faire remonter l’intégralité des donnés de l’historique de contacts au serveur central,
- compléter l’information fournie aux utilisateurs conformément aux dispositions de l’article 13 du RGPD,
- mettre à jour les contrats de sous-traitance avec les mentions exigées par l’article 28 du RGPD,
- compléter l’AIPD conformément à l’article 35 du RGPD,
- informer les utilisateurs de la 1ère version de l’application sur l’utilisation de la technologie reCaptcha de Google et recueillir leur consentement.
Enfin, la Cnil a également souligné que l’évaluation de l’effectivité de l’application telle qu’elle avait demandé dans son avis du 25 mai 2020 n’avait pas encore été débutée. Elle a ainsi demandé au ministère d’engager « dans les meilleurs délais cette démarche d’évaluation ».
Points récurrents entre les avis et la décision de mise en demeure
Il convient de relever que les fondements juridiques de certains manquements constatés par la Cnil avaient été soulignés par cette dernière dans ses avis du 24 avril et du 25 mai 2020. Cela concerne notamment ses observations en matière du contrat de sous-traitance et de l’information des personnes concernées.
Dès lors, il est possible de s’interroger sur le prononcé d’une mise en demeure publique, dans la mesure où la Cnil avait rappelé dans ses avis la nécessité de respecter les exigences de l’article 28 ainsi que des articles 12 à 14 du RGPD. Si la publication de ces avis et le déploiement de l’application ont eu lieu dans un contexte exceptionnel ainsi que dans des conditions d’urgence, il ne serait pas sans pertinence de souligner que les contrôles sur place ont été diligentés les 24 et 25 juin, soit un mois après le dernier avis de la Cnil.
Rappelons que lorsque le traitement est mis en œuvre par l’Etat, les pouvoirs de sanction de la Cnil sont limités et, notamment, la possibilité de prononcer toute sanction pécuniaire est exclue. Néanmoins, la Cnil a le pouvoir de recourir à d’autres types de sanction, comme un rappel à l’ordre ou encore une injonction, dans les conditions prévues à l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée.
Mathias Avocats ne manquera pas de vous tenir informé des développements relatifs à l’application StopCovid.