Le ministère de la Santé ne pourra pas feindre la surprise. La CNIL prévient qu’elle va procéder à une série de contrôles sur les fichiers SI-DEP et Contact Covid, outre l’application StopCovid, désormais disponible. L’autorité avait été saisie a priori pour avis sur les traitements de données personnelles de ces briques destinées à lutter contre la pandémie.
Elle passe aux vérifications a posteriori. « Il s’agit désormais pour la CNIL de vérifier, sur le terrain, le bon fonctionnement de ces dispositifs ». Ces contrôles seront lancés dès ce mois de juin, et « se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent ». Soit jusqu’en 2021.
L’autorité prévient que les contrôles « se dérouleront sur place, notamment dans les locaux de la Caisse nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé, en ligne (pour l’application StopCovid) et par le biais de questionnaires et de demandes de documents ».
Les entités concernées sauront que la CNIL vérifiera notamment :
- Les modalités de recueil de consentement et d’information des personnes ;
- La sécurité des systèmes d’information ;
- Les flux de données et les destinataires ;
- Le respect des droits d’accès ou d’opposition des personnes.
« Ces constatations pourront conduire, en cas de manquement graves ou répétés, à l’adoption de mesures correctrices, telles que des mises en demeure et/ou des sanctions ». On se souvient que dans un premier avis sur StopCovid, la CNIL avait indiqué que « l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement ». Elle avait aussi réclamé une libération intégrale du code source.
Dans un second avis, elle dénonçait l’usage du Captcha Google utilisé par le même service. Elle appelait chaudement « le ministère à la vigilance et souhaiterait que des développements ultérieurs de l’application permettent rapidement l’utilisation d’une technologie alternative ».
Commentaires (9)
#1
“Attention chérie ça va couper”
" /> c’est bien ça prévenir ?
#2
Et ils vont pas chez Dassault ?
#3
Prévenir, c’est à peu près la seule arme dont la Cnil dispose face à l’exécutif de l’Etat.
#4
Y’a du boulothttps://twitter.com/juliendubois/status/1267928958491910146
#5
bah comparé a ce qu’on trouve a poil sur le Net, y’a pire quand même.
La critique est tellement facile,le mec passe quelques minutes avec ses outils infosec et pond quelques tweets avec vs des semaines d’efforts de plusieurs équipes pour mettre cela en place rapidement (il ne sert a rien de sortir une app hyper blindée et hyper sécurisée, approuvée de l’extrême droite a l’extrême gauche mais dans un an ou plus tellement il a fallu de temps a satisfaire tout le monde.).
Apres qu’il y ai eu des erreurs, de la politique et du copinage dans tous les sens sur ce projet cela ne fait aucun doute.
Et puis la CNIL doit justifié son existence et budget et surtout ne pas être pris en défaut car les memes qui critiquent StopCovid seront les memes qui chercherons de poux a la CNIL si une brèche de données survenait et qu’elle n’a pas au moins émis un avis avant.
Bref toujours les mêmes, minoritaires mais bruyants, qui agitent le Net et brassent de l’air mais dans le concret et l’utile font si peu voir rien.
#6
Le retour et l’analyse me semble assez constructif, l’auteur cherche d’ailleurs à signaler les problèmes à l’équipe technique.
Après techniquement ça semble pas trop mal, certains outils me paraisse bien choisis puisque pour avoir prospecté avec probablement beaucoup plus de temps c’est des solutions que j’ai adopté aussi pour certains projets.
Néanmoins il ressort quand même un aspect amateur et pompier dans la gestion du tout.
Changement et ajout de dernière minutes, infra sous dimensionné (on parle d’une appli que la France entière est censé installé le jour de son lancement, pas d’un petit projet lancé incognito).
On ne peux probablement pas blâmer les équipes derrières probablement sous dimensionné et sous équipé face à l’enjeu mais le contraste avec le discours officiel et les moyens soit disant accordés semble assez prononcé.
#7
retour et l’analyse constructif en public sur Tweeter…
désoler quand mais quand on travaille dans l’infosec on fait pas cela en public sauf si on cherche a nuire ou a se faire mousser.
et tout projet de cet ampleur lancé en moins de 3 mois aura un aspect “amateur et pompier”.
apres on est d’accord sur le “discours officiel” mais ce n’est pas nouveau ou spécifique a ce projet.
#8
#9
Si sur un projet présenté comme open source ça me choque pas.
Sur une application comme celle ci perso je préfère voir les retours de sécurité publié c’est quand même plus intéressant.
Puis techniquement c’est assez bancale autant le dire …