ACCUEIL > QUESTION D'ACTU > "Grandes oreilles" de StopCovid : la CNIL ouvre une enquête

Traçage

"Grandes oreilles" de StopCovid : la CNIL ouvre une enquête

Par Amanda Breuer-Rivera

Un peu plus d'une semaine après l'alerte d'un chercheur en informatique sur les trop "grandes oreilles" de l'application gouvernementale StopCovid - qui enverrait plus de données que ce qui est prévu par le cadre législatif -, la Cnil a lancé une enquête sur cette possible violation du droit.

AntonioGuillem/iStock

StopCovid respecte-elle ses propres règles ? Une semaine après le rapport de bug d'un chercheur en informatique, la Commission nationale de l'informatique et des libertés (Cnil) a annoncé ce lundi qu'elle allait contrôler "dans les prochains jours" l'application gouvernementale. Son grief ? Cette appli ne respecterait pas les bornes qu'elle s'est elle-même imposée dans la récolte des données. Selon le chercheur, le logiciel récolterait les données des autres utilisateurs de l'application sans tenir compte ni de la distance, ni de la durée du contact. Si ce fait est avéré, cela contredirait l'engagement du secrétaire au numérique, Cédric O, qui avait assuré que l'application ne collecterait que les données d'utilisateur se trouvant à 1m ou moins et durant une durée égale ou supérieure à 15 min, ainsi que le précise le décret qui officialise ces limites.

Un décalage qui interpelle le gendarme des données personnelles. En mai dernier, elle avait donné son accord "global" sur le cadre légal du système dont l'épineuse question de la récolte des données encadré par l'Union européenne et son règlement général sur la protection des données (RGPD). Dans son avis du 25 mai dernier, la Cnil avait noté que ces récoltes de données seraient "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités".

Des contrôles en cours

Suite à ce rapport de bug gênant, la Cnil a intensifié ses contrôles. En plus de vérifications en ligne et d'envoi de questionnaires en cours depuis le 9 juin dernier selon Le Parisien, une autre mission a été diligentée pour vérifier les dires du chercheur. "On va vérifier quelles données sont envoyées par l'application, ce qui permettra d'évaluer la conformité par rapport au décret et au RGPD", explique le secrétaire général adjoint de la Cnil, Gwendal Le Grand. Ces contrôles doivent débuter sur place, dans les locaux du responsable du traitement de données, "dans les prochains jours" précise-t-il au journal de la capitale.

"À l'issue de l'instruction, les constatations pourront conduire, en cas de manquements graves ou répétés, à l'adoption de mesures correctrices, telles que des mises en demeure ou des sanctions", prévient la Cnil. Selon le Parisien, la Cnil explique que les identifiants pseudonymes des cas contacts remontés par l'application lorsque l'utilisateur se déclare malade ne sont pas encore "à risque", mais "susceptibles d'être à risque". Cette nuance, absente de ses avis publics, aurait fait partie des discussions avec le gouvernement. Un moyen de ne fâcher personne ?