(AFP) – La Cnil a annoncé lundi qu’elle allait contrôler “dans les prochains jours” le fonctionnement du serveur central de l’application gouvernementale StopCovid, destinée à lutter contre l’épidémie et accusée par des spécialistes de partager plus de données que prévu.
Un chercheur en cybersécurité avait notamment révélé le 11 juin que, selon ses analyses, les utilisateurs de l’application StopCovid qui se déclaraient atteints par la maladie envoyaient à l’autorité de santé “tous les contacts croisés pendant les 14 derniers jours” (délai maximal d’incubation du virus), et non les seuls contacts “à risque” détectés pendant 15 minutes à moins d’un mètre, comme présenté par le gouvernement. Un autre spécialiste de la sécurité informatique a confirmé cette analyse auprès de l’AFP.
“Le sujet est identifié et fait partie du périmètre des contrôles opérés par la Cnil“, et notamment ceux qui doivent débuter sur place dans les locaux du responsable du traitement de données “dans les prochains jours“, a affirmé lundi à l’AFP le secrétaire général adjoint de la Cnil, Gwendal Le Grand.
La commission s’était prononcée le 24 avril sur le principe de l’application et sur le protocole technique envisagé, qui utilise la technologie Bluetooth pour détecter les contacts et non la localisation de l’utilisateur, puis le 25 mai sur le projet de décret instaurant un cadre légal au système.
Vérification des données envoyées
Selon elle, les identifiants pseudonymes des cas contacts remontés par l’application lorsque l’utilisateur se déclare malade ne sont pas encore “à risque“, mais “susceptibles d’être à risque“. Cette nuance, absente de ses avis publics, aurait fait partie des discussions avec le gouvernement, a-t-elle assuré.
“On va vérifier quelles données sont envoyées par l’application, ce qui permettra d’évaluer la conformité par rapport au décret et au RGPD“, le règlement général sur la protection des données, a déclaré Gwendal Le Grand.
La Cnil a débuté ses contrôles le 9 juin par des vérifications en ligne et l’envoi d’un questionnaire. “A l’issue de l’instruction, les constatations pourront conduire, en cas de manquement graves ou répétés, à l’adoption de mesures correctrices, telles que des mises en demeure ou des sanctions“, a-t-elle expliqué.
Voulue par le gouvernement pour lutter contre la propagation du coronavirus et très critiquée par ceux qui redoutent une société de surveillance, StopCovid a été téléchargée moins de deux millions de fois selon les derniers chiffres disponibles, et n’a généré que très peu de notifications, notamment en raison du déclin du nombre de contaminations en France.