Par une décision 2020-012 du 3 septembre 2020, la Présidente de la Commission nationale de l’informatique et des libertés (Cnil) a clôturé la mise en demeure publique prononcée à l’encontre du ministère des solidarités et de la santé dans le cadre de l’application StopCovid.

Pour rappel, dans une décision n°MED-2020-015 du 15 juillet 2020, la Cnil avait relevé plusieurs manquements aux dispositions du Règlement général sur la protection des données (RGPD) et de la loi n°78-17 du 6 janvier 1978 modifiée.

Quels sont les motifs de la clôture ?

Au vu des réponses apportées par le ministère, la Présidente de la Cnil a constaté la conformité du traitement de données à caractère à personnel mis en œuvre dans le cadre de l’application StopCovid. A ce titre, elle a relevé les points suivants :

  • Les utilisateurs qui disposent de la première version de l’application ne peuvent plus utiliser les fonctionnalités de celle-ci sans procéder à une mise à jour préalable. Ainsi, la remontée de l’intégralité de l’historique des contacts des utilisateurs vers le serveur central n’est plus possible grâce à un pré-filtrage opéré par la seconde version de l’application.
  • La solution « reCaptcha » de la société Google n’est plus utilisée.
  • Les mentions d’information à destination des utilisateurs ont été complétées. INRIA, sous-traitant, figure désormais parmi les destinataires de données à caractère personnel.
  • Le contrat de sous-traitance conclu avec INRIA a également été complété conformément aux exigences de l’article 28 du RGPD.
  • Des mesures de sécurité contre les attaques informatiques ont été intégrées dans l’analyse d’impact relative à la protection des données (AIPD) menée par le ministère.

Qu’en est-il des suites ?

Une mise en demeure est une injonction adressée au responsable du traitement ou sous-traitant de se conformer à la réglementation relative à la protection des données dans un délai déterminé. Si une procédure de sanction peut être engagée en l’absence de mise en conformité à l’issue du délai imparti par la Commission, la mise en demeure ne constitue pas en soi une sanction.

Ainsi, lorsque les réponses apportées par le responsable du traitement ou le sous-traitant permettent de remédier aux manquements constatés, la procédure se termine par la clôture de la mise en demeure. Cela n’empêche pas le service des contrôles de la Cnil de procéder à de nouvelles vérifications ultérieurement.