Article en accès libre Article n° 11019
  Article en accès libre Article n° 11019
Début

StopCovid : l’application est opérationnelle annonce Bercy / la Cnil donne son feu vert

Paris - Publié le mardi 26 mai 2020 à 14 h 56 - n° 11019 « L’utilité de l’application et la nécessité du traitement projeté pour accomplir la mission d’intérêt public sont suffisamment démontrées en amont de la mise en œuvre du traitement », affirme la CnilCommission Nationale de l’Informatique et des Libertés dans son avis daté du 25 mai 2020 sur « les conditions de mise en œuvre » de l’application StopCovid, jugeant qu’elle « peut être légalement déployée ».

La Commission « constate que [les] principales recommandations  » de son avis du 24 avril sur « le principe même » de l’application « ont été prises en compte » et émet «  plusieurs observations » sur le projet de décret qui lui a été soumis, avec l’objectif d’« assurer la pleine conformité du traitement » au RGPDRGPDRèglement Général relatif à la Protection des Données. Ces observations portent notamment sur :

• le droit à l'effacement et le droit d'opposition ;
• le recours à un « captcha » lors de l’initialisation de l’application (le terme « captcha » désigne est un test de défi-réponse utilisé pour vérifier que l’utilisateur n’est pas un robot) ;
• le risque de génération de nombreux faux positifs du fait de « l ’absence de prise en compte par l’application du contexte des contacts  » ;
• la nécessité de «  rendre public l’intégralité du code source » de l’application ;
• la nécessité d’une évaluation sur la durée de « l’utilité » de l’application après son lancement ;
• la nécessité de rendre l’information fournie aux utilisateurs « compréhensible par le plus grand nombre ».

« L’application est techniquement opérationnelle et les tests sont conclusifs », annonce Bercy dans un communiqué adressé le 25 mai aux journalistes, rappelant que « le débat parlementaire » sur ce dispositif est prévu le 27 mai. Cependant, le Premier ministre Édouard PhilippeEdouard PhilippeEdouard Philippe assurait le même jour dans une lettre au président du Sénat que « la décision de déployer l’application StopCovid » n’était « pas encore prise ». Le secrétaire d’État au Numérique Cédric OCédric OCédric O a pour sa part indiqué ce 26 mai au Figaro que, « sous réserve du vote au Parlement, l’application StopCovid pourrait être disponible dès ce week-end  ».

Un communiqué commun de l’AnssiAgence nationale de la sécurité des systèmes d’informationAgence nationale de la sécurité des systèmes d’information et de l’InriaInriaInria daté du 26 mai annonce parallèlement que l’équipe projet StopCovid démarrera le 27 mai, « en amont de toute décision politique », « un audit de type bug bounty » dans le cadre duquel des « hackers éthiques » se lanceront à la recherche d' « éventuelles failles de sécurité » au sein de l’application.
© Bercy
© Bercy

Appli StopCovid : quels sont les grands principes de fonctionnement et les prochaines étapes ? (Inria)

« En amont de toute décision politique, l’objectif du projet [StopCovid] est de pouvoir rendre possible la mise à disposition d’une application permettant d’informer les usagers s’ils ont été en contact avec une personne ayant été testée positive au Covid-19, et de leur proposer des conduites …
Sélection n° 10944 • 13/05/20 à 15:10

Covid19 / StopCovid : Cnil, Cnom et CNNum prônent la prudence dans le suivi de contacts par appli

« L’atteinte portée à la vie privée » par l’application de suivi des contacts StopCovid ne sera « admissible » que si le gouvernement « peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise ». C’est la position tenue…
Actualité n° 10876 • 28/04/20 à 14:19

Covid19 : 9 organisations forment l'équipe chargée de concevoir l’appli de tracking StopCovid

« L’Inria, l’Anssi, Capgemini, Dassault Systèmes, l’Inserm, Lunabee Studio, Orange, Santé Publique France et Withings créent l’équipe-projet StopCovid [afin de] structurer et [de] renforcer leur contribution au projet gouvernemental de mise en place d’une application mobile de contact tracing »…
Actualité n° 10871 • 27/04/20 à 14:36

Covid-19/app StopCovid : des « choix forts » garantiront la sécurité des données (B. Sportisse, Inria)

« Plusieurs choix forts ont été effectués » pour la conception d’une application de traçage des contacts car « le choix d’une politique de santé [relève] « d’un État souverain », annonce le P.-D.G. de l’Inria Bruno Sportisse dans une tribune mise en ligne le 18 avril 2020 pour expliquer en quoi…
Analyse n° 10838 • 21/04/20 à 17:20

Covid-19 : l’exécutif travaille sur une application mobile (StopCovid) pour freiner la contagion

« Limiter la diffusion du virus en identifiant des chaînes de transmission » : c’est le principe du projet d’application pour smartphone StopCovid, dont le secrétaire d’État au numérique Cédric O et le ministre de la Santé Olivier Véran détaillent les contours dans un entretien accordé au Monde…
Actualité n° 10761 • 08/04/20 à 16:59

Droits et information des utilisateurs

Pour la Cnil, le droit à l’effacement et le droit d’opposition « devraient être pleinement applicables »

La Cnil « relève que le ministère considère que le droit à l’effacement et le droit d’opposition ne sont pas applicables dans le cadre de la mise en œuvre du dispositif », alors que selon elle, « s’agissant d’un traitement basé sur le volontariat des personnes concernées », ces deux droits « devraient être pleinement applicables ». La Commission « prend acte de l’engagement du ministère à modifier le projet de décret sur ces points ».

« La nécessité de délivrer une information compréhensible par le plus grand nombre »

Elle « insiste » sur « la nécessité de délivrer une information compréhensible par le plus grand nombre », dans la mesure où « une partie importante de la population est susceptible d’être concernée par le dispositif ».  L’avis demande « des modalités permettant aux personnes en situation de handicap d’en prendre connaissance » ainsi qu’« une attention particulière accordée aux mineurs  », pour que « l’application soit utilisée à bon escient et que le message d’alerte susceptible de leur être adressé soit adapté et bien interprété ».

Transparence et évaluation continue

La Cnil souhaite que « l’intégralité du code source » soit rendu public

La Cnil constate que, selon le projet de décret, « certains éléments  » du « code informatique » de l’application ou du serveur central « ne seront pas rendus publics  », « car cela mettrait en danger l’intégrité et la sécurité de l’application ». Elle juge « important » que « l’intégralité du code source » soit rendu public, « accueille favorablement l’engagement du ministère » en ce sens et « suggère que le décret soit modifié en conséquence ».

« L’impact effectif du dispositif sur la stratégie sanitaire globale » doit être étudié selon la Cnil

La Cnil demande « que l’impact effectif du dispositif sur la stratégie sanitaire globale » soit « étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci », « indépendamment du rapport d’évaluation prévu par le décret » afin de « s’assurer de son utilité au cours du temps ».  Elle juge cette évaluation « essentielle », dès lors qu’un tel outil « n’est admissible  », selon elle, « que s’il contribue utilement à la politique sanitaire ». La Commission « demande que ces rapports de suivi lui soient communiqués au fur et à mesure de leur établissement ».

Recours à un « Captcha » et « bouton de désactivation »

Captcha et collecte de données : la Cnil « appelle le ministère à la vigilance »

Relevant que le ministère prévoit d’avoir recours à un « captcha » ((le terme « captcha » désigne est un test de défi-réponse utilisé pour vérifier que l’utilisateur n’est pas un robot) lors de l’initialisation de l’application « afin de vérifier que celle-ci est bien utilisée par une personne physique » et que ce captcha « repose, dans un premier temps, sur l’utilisation d’un service assuré par un tiers », la Cnil « constate que le recours à ce service est susceptible d’entraîner la collecte de données personnelles non prévues dans le décret » ainsi que « des transferts de données hors de l’Union européenne » et « des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur ». La Commission « appelle le ministère à la vigilance » sur ce point et « souhaiterait que des développements ultérieurs de l’application permettent rapidement l’utilisation d’une technologie alternative  ».

« Un bouton de désactivation temporaire » pour « réduire le nombre de fausses alertes » ?

« L’absence de prise en compte par l’application du contexte des contacts est susceptible d’entraîner la génération de nombreux faux positifs », affirme la Cnil, qui donne l’exemple des professionnels de santé ou agents d’accueil, « particulièrement susceptibles d'être notifiés par l’application comme étant à risque d’avoir été contaminés alors même qu’ils étaient protégés » par un masque ou une paroi séparatrice au moment où le contact a été enregistré. Elle propose « un bouton de désactivation temporaire, aisément accessible, sur l’écran principal de l’application » pour « réduire le nombre de fausses alertes correspondant à des moments où l’utilisateur n’est pas réellement exposé »

Fonctionnement de l’application StopCovid :

Fonctionnement de StopCovid - © Gouvernement

Fin
loader mask
1