StopCovid : la CNIL aiguise ses recommandations sur l’application de suivi
Alerte sanitaire
Le 26 mai 2020 à 12h14
13 min
Droit
Droit
La CNIL a rendu public son avis portant sur le projet de décret encadrant l’application de suivi de contacts StopCovid. Le texte est actuellement ausculté par le Conseil d’État, comme l’a indiqué Édouard Philippe dans le courrier aux sénateurs dévoilé par Next INpact hier.
L’application StopCovid n’est pas qu’une brique technologique pour lutter contre la pandémie. La solution, défendue par Cédric O, secrétaire d’État au Numérique, recèle aussi un traitement de données personnelles où l’autorité de contrôle a évidemment un droit de regard, RGPD faisant.
Dans son avis publié ce jour sur le projet de décret, la CNIL remet le couvert alors qu'elle s'était déjà prononcée sur ce projet à l'état de brouillon. Alors que le décret est désormais sur la rampe, l'autorité donne de nouvelles informations sur le système plébiscité par le gouvernement.
Déjà, si le RGPD et la loi CNIL interdisent par principe les traitements portant sur les données sensibles, l'exécutif entend autoriser malgré tout StopCovid en s’appuyant sur « l'intérêt public », une exception prévue par le III de l’article 6 de la loi de 1978, elle-même puisée au 6 1. E) du RGPD.
Si StopCovid est donc justifié par une mission d’intérêt public, l’application restera malgré tout volontaire dans toutes ses composantes (installation, activation, prise de contact, etc.).
Le principe de StopCovid est rappelé dès les premières lignes : une application proposée sur smartphones et autres appareils, pour « informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives à la Covid-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus SARS-CoV-2 ».
Un examen de proportionnalité, quid du principe de nécessité ?
Qui dit traitement de données personnelles, dit respect des grands principes en particulier ceux du règlement général sur la protection des données personnelles, lequel a fêté ses deux ans hier. De même, comme l’a rappelé le Conseil constitutionnel à l’occasion de l’examen de la loi prorogeant l’état d’urgence sanitaire, ces traitements doivent opérer une conciliation entre droit à la vie privée et objectif à valeur constitutionnels de protection de la santé.
En somme, une analyse de proportionnalité et de nécessité que connaissent bien les juristes. Sur la nécessité, le ministère de la Santé « a fait état de plusieurs études scientifiques et épidémiologiques, y compris étrangères, démontrant l’intérêt, pour les autorités sanitaires, de pouvoir disposer d’applications de "suivi de contacts", en appui du suivi manuel de propagation des chaînes de transmission, aux fins d’identifier le plus rapidement et largement possible les contacts des cas détectés ». Il s’est également appuyé sur les « positions favorables du conseil scientifique Covid-19 et de l’Académie nationale de médecine ».
Il a surtout mentionné que les personnes déclarées positives pourraient décider d’être ensuite prises en charge et enregistrées dans le traitement Contact Covid ou SI-DEP mis en place par la loi de prorogation d’état d’urgence. « L’utilité de l’application et la nécessité du traitement (…) sont suffisamment démontrées » en déduit la CNIL.
S’agissant de la proportionnalité, la commission revient sur les différentes « garanties » apportées. Elle y range sans hésitation le choix de stocker dans un serveur central les identifiants pseudonymes des personnes exposées à la maladie, l’usage de la technologie Bluetooth (et non la géolocalisation).
L’avis est également sensible à d’autres points, en particulier parce qu’il n’y aura aucune conséquence défavorable pour celle ou celui qui refuserait d’utiliser l’application. De même, « aucun droit spécifique ne sera réservé aux personnes qui l’utiliseront ». Adieu donc la récompense qu’avait imaginée cet élu LREM. Il proposait d’étendre de 100 à 150 km autour du domicile, la liberté de déplacement sans justification à l’égard des utilisateurs de StopCovid.
La proportionnalité doit aussi s’articuler dans le temps. StopCovid durera 6 mois à compter de la date de fin de l’état d’urgence sanitaire. Le même délai avait été choisi pour les traitements Contact Covid et SI-DEP, qui ont passé le cap du Conseil constitutionnel. La CNIL souhaite toutefois que ce délai soit un maximum et que tout au long du déploiement de l’application, l’impact de ce système soit « étudié et documenté » régulièrement, « afin de s’assurer de son utilité au cours du temps ».
L’historique de proximité sera conservé durant quinze jours. Un utilisateur pourra toujours demander la suppression de ses données stockées sur son smartphone et sur la base centrale. S’agissant des utilisateurs qui se limiteraient à supprimer l’application, sans activer cet effacement, la CNIL suggère un effacement automatique après une période d’inactivité.
Les quatre finalités du traitement
Le gouvernement assigne quatre finalités à ce traitement de données personnelles :
- L’information des utilisateurs placés à proximité durant un certain temps auprès d’un autre utilisateur diagnostiqué positif
- La sensibilisation (symptômes, gestes barrières, etc.)
- L’orientation au choix de l’utilisateur vers les acteurs de santé
- « L’amélioration de l’efficacité du modèle utilisé par l’application pour la définition des cas contacts grâce à l’utilisation de données statistiques anonymes au niveau national. »
La CNIL considère qu’il sera ainsi impossible de mener des « opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de toute autre recommandation sanitaire ». Il ne sera pas possible de « permettre de réaliser le suivi des interactions sociales des personnes ».
Ainsi, le gouvernement ne pourra pas utiliser StopCovid pour identifier les clusters ou déterminer les zones où se sont déplacées les personnes touchées ou entrer en contact avec elles par exemple.
Sous StopCovid, Robert
Le traitement s’appuiera sur le protocole Robert porté par INRIA. « Ce protocole prend le parti de diffuser les identifiants des personnes exposées au virus plutôt que de diffuser les identifiants des personnes effectivement contaminées ».
Aucun lien ne sera conservé. Le gouvernement avait envisagé un temps d’introduire « intentionnellement des faux positifs dans les notifications transmises aux personnes afin de limiter les risques de réidentification dans certains types d’attaques ». La mesure, très critiquée par la CNIL, a été retirée par le gouvernement.
Le critère épineux de l'exactitude
L’autorité se penche également sur le critère de l’exactitude, qui concentre de nombreuses questions. « Les données à caractère personnel doivent être exactes » exige en effet le règlement général en son article 5.
La question n’est pas mince du fait de l’usage de la technologie Bluetooth. « L’algorithme permettant de déterminer la distance entre les utilisateurs de l'application reste à ce stade en développement et pourra subir des évolutions futures », indique déjà la CNIL. « L’échange de messages via la technologie Bluetooth servira également à estimer la distance entre deux appareils mobiles selon la puissance du signal reçu, tandis que l’horodatage de ces messages permettra d’estimer la durée de l’interaction ».
Sur ce point des tests de « calibration » ont actuellement lieu. Dans son courrier adressé aux sénateurs, Édouard Philippe indiquait justement que des expérimentations ont actuellement cours avec des opérateurs de transport, en condition réelle.
Si les données doivent être exactes, « la détermination d'une interaction à risque sera effectuée de façon probabiliste, ce qui s'inscrit dans la logique générale de l'application de prévenir les utilisateurs d'un risque de contamination, et (…) en aucun cas la réception d'une alerte provenant de l'application ne signifiera que l'utilisateur a été effectivement contaminé ».
Les données dites exactes ne seront pas forcément vraies... Elle prend l’hypothèse non exceptionnelle d’un professionnel de santé qui devrait recevoir de nombreuses notifications alors qu’il aura été en principe particulièrement protégé. « L’absence de prise en compte par l'application du contexte des contacts est susceptible d’entraîner la génération de nombreux faux positifs ». Soit autant de coups de griffes au principe d’exactitude.
Pour limiter ce risque, alors qu’un utilisateur pourrait tout simplement ne pas activer l’application, elle prône pour l’insertion immédiate d’un bouton de désactivation temporaire. Il n’y aurait donc pas à attendre une évolution future de StopCovid, à savoir « la possibilité pour l'utilisateur de définir des plages de temps pendant lesquelles des contacts ne devraient pas être considérés comme potentiellement à risque ».
Pour éviter l’introduction de fausses données, un autre sujet, elle souligne que ce sont les professionnels de santé qui remettront un code unique qui, une fois déclaré, permettra d’entraîner le système d’alerte. Il ne sera pas possible de vérifier l’identité de la personne à qui le code a été délivré. La question sera de savoir alors si une personne pourra déclarer ce code depuis le téléphone d'un tiers pour générer une série de faux positifs...
Qui y aura accès ?
D’abord les utilisateurs de StopCovid, destinataires des alertes, mais les données seront également entre les mains de plusieurs sous-traitants, soit en tant qu’accédant (ils vont les charger) soit en tant que destinataires (ils vont les recevoir).
L’hébergeur dans le cloud de la base centralisée aura « des centres de données localisés en France » (pas « ses », mais « des », nuances). La CNIL demande que le contrat liant cet acteur au ministère, considéré comme responsable de traitement, « devra notamment préciser les zones géographiques depuis lesquelles les administrateurs accèdent à l'infrastructure ».
Aucune donnée ne sera transférée hors UE. Les traitements de l’écosystème se feront uniquement en Europe. Quid si l’hébergement est confié à un acteur comme Microsoft, déjà en charge du health data hub, un acteur aussi soumis aux volontés tentaculaires du droit américain ?
Le fournisseur de l'infrastructure hébergeant la plateforme StopCovid devra en tout cas être « qualifié SecNumCloud par l'ANSSI », « certifié hébergeur de données de santé » et mettre « en œuvre des centres de données certifiés ISO/IEC 27001 ».
Une information aisément compréhensible, à l’égard des mineurs notamment
Au titre de l’obligation d’information, la CNIL reprend dans son avis les grandes idées portées par le RGPD, à savoir une information aisément accessible et compréhensible par le plus grand nombre, en particulier pour les mineurs. « À leur intention, plus encore que pour les autres utilisateurs, une attention particulière doit être apportée à l’information fournie, afin que l’application soit utilisée à bon escient et que le message d’alerte susceptible de leur être adressé soit adapté et bien interprété ».
Si l’application est volontaire, les droits d’accès, de vérification de portabilité, à l’effacement ou encore d’opposition ne s’appliqueront pas. Du moins en l’état du projet de décret.
S’agissant du premier droit, l’avis explique que « la consultation de ces données ne présente en principe, compte tenu notamment de leur caractère pseudonyme, qu’une très faible utilité pour la personne concernée ». En outre, « leur libre consultation par toute personne pouvant s’approprier l’ordiphone sur lequel l’application est installée serait de nature à fragiliser la sécurité du dispositif ».
Le refus du droit à l’effacement ou d’opposition n’a pas été du goût de la commission, qui ne comprend pas bien cette exclusion alors qu’il est possible pour l’utilisateur de demander l’effacement de ses données ! « S'agissant d'un traitement basé sur le volontariat des personnes concernées, le droit à l'effacement et le droit d'opposition devraient être pleinement applicables ». L'incompréhension est d’autant plus forte que l’analyse d’impact « prévoit bien la possibilité, pour l'utilisateur, d'exercer ces droits de manière effective ». Finalement, le gouvernement a prévu de revoir le décret final sur ce point.
Le gouvernement ne voulait pas libérer l’intégralité du code source
C’est un point central du RGPD qui exige la mise en œuvre de mesures de sécurité organisationnelles et techniques afin d'apporter les garanties les plus élevées possible.
Le gouvernement promet le « recours à des modules de sécurité afin de protéger les clés de chiffrement permettant l'accès aux identifiants des personnes concernées ». En outre, plusieurs entités réunies au sein d’un comité se verront chacune remise des « fragments de clés de chiffrement ». Le protocole utilisé 3DES sera remplacé par SKINNY-CIPHER64/192, comme l’avait recommandé l’ANSSI.
On apprend aussi que le gouvernement entendait conserver secret des éléments du code source de l'application ou du serveur central « car cela mettrait en danger l'intégrité et la sécurité de l’application ». Pour la CNIL, « même si le paramétrage des logiciels utilisés et le détail des mesures de sécurité n’ont pas vocation à être rendus publics, il est important que l’intégralité du code source soit quant à lui rendue publique ». L’exécutif a finalement répondu favorablement à cette diffusion.
L’autorité tique aussi sur l’usage d’un captcha au regard des risques de transferts hors UE. Elle demande à ce qu’un contrat de sous-traitance gère ce chapitre et demande une vigilance du gouvernement.
L'application et le protocole utilisé évolueront dans le temps afin « de permettre une interopérabilité à l'échelle de l'Union européenne ». Le ministère a promis de la saisir à nouveau, « y compris de façon facultative, pour toute modification qui serait apportée au traitement ».
Un débat aura lieu à l'Assemblée nationale demain puis au Sénat, suivi d'un vote. Autant dire que l'avis publié ce jour nourrira les interrogations des parlementaires.
Le 26 mai 2020 à 12h14
StopCovid : la CNIL aiguise ses recommandations sur l’application de suivi
-
Un examen de proportionnalité, quid du principe de nécessité ?
-
Les quatre finalités du traitement
-
Sous StopCovid, Robert
-
Le critère épineux de l'exactitude
-
Qui y aura accès ?
-
Une information aisément compréhensible, à l’égard des mineurs notamment
-
Le gouvernement ne voulait pas libérer l’intégralité du code source
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/05/2020 à 12h41
#1
Tout ce vent autour du StopMachin ressemble à l’habituelle tempête dans un verre d’eau caractéristique de l’élite fromagère essayant de camoufler son incurie par un gadget inutile et déjà dépassé.
Allo les zautorités ! La ligne Ségur a été défoncée et le virus est déjà reparti !
Le 26/05/2020 à 12h47
#2
Personnellement je ne vais certainement pas installer cette daube.
Le 26/05/2020 à 13h16
#3
Le 26/05/2020 à 13h18
#4
Merci Marc pour le suivi et son “décryptage”.
Le 26/05/2020 à 14h26
#5
Je pose ça là, j’ai rien lu, pas encore eu le temps : une analyse de l’appli
Je m’en vais creuser cette partie.
Le 26/05/2020 à 15h22
#6
Installez l’appli braves gens, StopCovid est « le fichier de santé le plus sécurisé de la République française » ! " />
Le 27/05/2020 à 06h57
#7
Merci pour cet article " />