« StopCovid », l’application de suivi des contacts validée par le Parlement français.

Alors que la France est en plein déconfinement, l’application de traçage StopCovid développée sous l’impulsion du gouvernement français, vient d’être validée par le Parlement. Disponible en téléchargement à compter du samedi 30 mai 2020, sur la base du volontariat, il sera intéressant de faire le point dans les semaines à venir sur l’efficacité de cette solution dans le suivi et la maîtrise de la COVID-19. 

StopCovid a fait l’objet de beaucoup de spéculations et d’évolutions. 

Pour l’heure, intéressons-nous à la chronologie des évènements qui ont abouti à la solution technique retenue du point de vue du respect de la vie privée et des libertés individuelles et du RGPD.

Dès l’entrée en vigueur de l’état d’urgence sanitaire, le 23 mars 2020, la question du suivi des déplacements des populations surgit. De nombreux moyens permettent ce suivi : le bornage des téléphones portable, la géolocalisation, la vidéosurveillance (éventuellement couplée avec une technologie de reconnaissance faciale) ou encore l’utilisation des cartes bancaires. En France, le gouvernement a rapidement évoqué un projet moins invasif, que ceux existant dans d’autres pays du globe. 

Mars-avril 2020 : les prémices de l’application de suivi

Dans la première version de l’application, le gouvernement évoque trois finalités pour le traitement des données des utilisateurs de la future application :

• l’observation des pratiques collectives de mobilité et de confinement ;
• l’identification des sujets contact en retraçant le parcours récent des personnes testées positives et
• le contrôle des confinements individuels.

Parmi les technologies existantes, le Comité européen à la protection des données (« CEPD ») recommande l’utilisation du Bluetooth. C’est à partir de cette piste qu’un consortium européen de chercheurs, le PEPP-PT, commence à travailler début avril pour développer un protocole. En France, l’Institut national de recherche en sciences et technologies du numérique (« INRIA ») supervise les recherches partagées avec le PEPP-PT. Deux modes de fonctionnement émergent: la centralisation et la décentralisation. 
Après réflexion, la France sélectionne le protocole centralisé « ROBERT » (pour ROBust and privacy-presERving proximity Tracing). Dans ce protocole, les données stockées sur les smartphones sont pseudonymisées et transmises à un serveur central. Lorsqu’un utilisateur est diagnostiqué positif à la Covid-19, les utilisateurs du service StopCovid qui ont été à proximité du malade reçoivent une notification sur leur smartphone les informant du risque de contamination.

D’un point de vue technique, l’utilisation du Bluetooth en arrière-plan est conditionnée par les systèmes d’exploitation des smartphones, ce qui limite le bon fonctionnement d’une application centralisée. 

Au début du mois d’avril, Apple et Google annoncent lancer une API commune, pour faciliter le fonctionnement des applications. Ils optent cependant pour un mode de fonctionnement décentralisé. La France quant à elle souhaite conserver un mode de fonctionnement centralisé. Cependant, diffuser une application sans passer par les canaux de distributions les plus utilisés du marché, à savoir les Apple et Google store limiterait nécessairement son adoption par les citoyens. 

La CNIL est saisie en parallèle d’une demande d’avis sur une première version de l’application, le protocole ROBERT étant encore en cours de développement. Dans son avis du 24 avril 2020, la CNIL est globalement favorable à l’adoption de la solution technique choisie par la France. Elle formule néanmoins des recommandations sur un plan technique, considérant notamment que l’algorithme de cryptographie utilisé n’est pas au niveau exigé par le Référentiel Général de sécurité de l’Agence Nationale de Sécurité des Systèmes d’Information (« ANSSI »).

A la suite de cette première consultation, le projet d’application est amélioré et présenté à nouveau à la CNIL pour avis. 

Mai 2020 : la CNIL donne son avis sur l’analyse d’impact et le projet de décret relatif à « StopCovid » relève l’octroi de garanties supplémentaires données par le gouvernement français pour le respect de la vie privée des utilisateurs.
L’analyse de l’avis de la CNIL permet de cerner certains aspects du fonctionnement de StopCovid dans sa version actuelle. Certains aspects essentiels peuvent être relevés :

• Le Responsable de traitement des données personnelles des utilisateurs de StopCovid est confirmé. Il s’agit du Ministère de la Santé
• Les finalités de traitements sont au nombre de quatre :
  • informer un utilisateur qu’il s’est trouvé « à proximité d’au moins un autre utilisateur » diagnostiqué positif à la Covid-19 et qu’il est désormais à risque,
  • sensibiliser l’utilisateur à risque sur la maladie,
  • recommander à l’utilisateur à risque de s’orienter vers les acteurs de santé compétents,
  • améliorer le modèle de l’application via l’utilisation de données statistiques anonymes.

En revanche, la finalité de traitement portant sur la surveillance du respect des mesures de confinement est abandonnée. 

• La base légale de traitement est l’exécution d’une mission d’intérêt public (comme préconisé par le CEPD). Cette base légale est compatible avec une installation volontaire de l’application sur son smartphone. Cependant, la CNIL relève dans son avis que la version actuelle de l’application utilise un captcha qui nécessite de recueillir le consentement de l’utilisateur. La CNIL indique que les versions ultérieures de l’application devront prévoir une alternative technique. 
• Les données personnelles collectées par StopCovid respectent le principe de minimisation des données : sans entrer dans le détail, la CNIL indique que les identifiants des utilisateurs, les périodes d’exposition, le code pays et des données sensibles sont notamment collectés et que le projet de décret ne vise que des données adéquates, pertinentes et limitées. 
• Les destinataires des données issues de l’application sont les utilisateurs à risque qui reçoivent cette information ainsi que différents sous-traitants. La CNIL souhaite que le décret précise si les sous-traitants sont « accédants ou destinataires ».
• Les données personnelles sont, à première vue, traitées au sein de l’Union européenne. Cependant, il apparait que l’utilisation d’un captcha fourni par un sous-traitant pourrait entrainer un transfert des données en dehors de l’Union Européenne.
• Les durées de conservation sont de :
  • 15 jours pour les historiques de proximité des malades,
  • 6 mois au maximum à compter de la fin d’état d’urgence sanitaire pour les clés et identifiants utilisés par l’application. 
• Les droits des personnes sont respectés mais appellent les observations suivantes : 
  • Sur les droits d’effacement et d’opposition : l’analyse d’impact prévoit que l’utilisateur est libre de demander la suppression de ses données (enregistrées sur son téléphone et sur la base centralisée). La simple désinstallation de l’application n’entraine pas la suppression des données. Cependant, le projet de décret écarte le droit à l’effacement. La CNIL conteste cette position, notamment parce que l’utilisateur est volontaire et que la fonctionnalité de suppression est accessible par l’utilisateur. Le Ministère de la Santé s’est engagé auprès de la CNIL à permettre l’exercice de ces droits.
  • Sur les droits de rectification, de limitation et à la portabilité : ces droits ne sont pas applicables en raison des caractéristiques du traitement.
  • Sur le droit d’accès: en raison de la faible utilité pour une personne concernée d’accéder à ses données (car celles-ci sont pseudonymisées au sein de l’application) et en raison du risque de sécurité qu’entrainerait la « libre consultation » des données par une personne ayant accès au téléphone, la CNIL estime que ce droit peut légitimement être écarté.

Le projet de décret StopCovid, soumis le 27 mai 2020 au vote consultatif du Parlement emporte l’adhésion du législateur. L’application sera donc disponible dès le 30 mai. Mais ce dispositif doit être intégré dans une stratégie plus large de déconfinement car 13 millions de Français ne possède pas de smartphone et certains organismes appellent déjà au boycott de cette application.

Saluons l’adoption de cette solution innovante qui cherche à respecter les libertés individuelles. Selon son taux d’adoption, elle pourrait permettre de contenir l’épidémie actuelle et de fournir un retour d’expérience technologique pour la gestion (il faut l’admettre) des futures crises sanitaires auxquelles nous devrons nous préparer.