Le ministère de la Santé est mis en demeure par la CNIL, pour des problèmes liés à StopCovid. Une partie de ces soucis est résolue par des versions plus récentes de l'application. Mais le problème est que la population utilise encore massivement des moutures obsolètes de StopCovid.

Deux mois après son lancement, l’application StopCovid refait parler d’elle. Non pas parce qu’elle connaîtrait une hausse soudaine de sa popularité — elle continue d’être largement ignorée par la population, alors même qu’elle a été conçue pour participer à la gestion de l’épidémie de Covid-19 en France –, mais parce qu’elle a fait l’objet d’une inspection par la Commission nationale de l’informatique et des libertés (CNIL).

Et le moins que l’on puisse dire, c’est que les contrôles effectués lors de trois visites en juin par l’autorité administrative ne sont pas satisfaisants.

La preuve : non seulement la CNIL a pris la décision de mettre en demeure le ministère de la Santé de corriger une série de soucis dans un délai d’un mois (puisque des données médicales, donc sensibles, sont en jeu, cette administration est la plus à même d’être le responsable légal du traitement), mais en plus elle a décidé de rendre publique sa décision, en considérant non seulement le nombre d’utilisateurs théoriques, mais aussi la nature très particulière des informations en cause.

Une application fragmentée en plusieurs versions

Ce qui préoccupe tout particulièrement la CNIL, c’est le fait que plusieurs versions de StopCovid sont actuellement utilisées par les Françaises et les Français. Le nombre d’usagers s’en servant vraiment au quotidien n’est pas certain ; la CNIL indique que le logiciel compte deux millions d’utilisateurs, soit moins de 3 % de la population. En effet, depuis la sortie de la toute première version sur Android et iOS, des mises à jour successives ont lieu.

Il s’avère que tout le monde n’a pas récupéré systématiquement la dernière version en vigueur — il s’agit de la version 1.1.0 sur Android, disponible depuis le 26 juin, et de la version 1.1.1 sur iOS, proposée depuis le 29 juin. Or, plusieurs soucis relevés par la CNIL lors de ces contrôles, qui ont eu lieu les 9, 25 et 26 juin, sont pourtant résolus grâce à des mises à jour les plus récentes, comme la polémique autour du captcha, un service autrefois géré par Google, qui est maintenant opéré par Orange.

ReCaptcha Google
La technologie ReCaptcha de Google permet de tenir à l’écart les bots des services en ligne. Mais la manière de fonctionner de cet outil fait l’objet de critiques sur la confidentialité des données.

Ainsi, la nouvelle version publiée fin juin apporte un changement majeur : « la méthode d’authentification par captcha — qui permet de vérifier lors de l’activation initiale de l’application que cette dernière est utilisée par un être humain — qui reposait sur la technologie reCaptcha de la société Google, est désormais remplacée par la technologie captcha développée par la société Orange ». En somme, on passe d’une solution fournie par une entreprise américaine à celle conçue par une société française.

L’utilisation du captcha par Google avait provoqué une controverse. Non seulement elle ne cadrait pas avec les ambitions de souveraineté numérique mises en avant par le gouvernement (une volonté en partie symbolique, car les deux systèmes d’exploitation sur lesquels se déploie StopCovid sont américains), mais en plus il y avait une incertitude sur la confidentialité des utilisateurs, car Google peut avoir accès à leur adresse IP via reCaptcha, ce qui avait fait dire à la CNIL, au moment d’octroyer son feu vert à StopCovid, qu’il faudrait passer dès que possible à une solution européenne.

Plusieurs soucis ont été résolus avec les dernières versions de StopCovid. Mais encore faut-il mettre à jour l’application

Autre évolution significative entre les différentes versions de StopCovid : celle parue fin juin inclut « une fonction de préfiltre de l’historique des contacts de l’utilisateur qui se déclare positif au virus SARS-CoV-2, fondée sur des critères de durée et de distance du contact, [qui] est activée pour agir au niveau du téléphone de l’utilisateur », indique la CNIL dans sa décision. « L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes », complète le communiqué.

Auparavant, ce filtre se situait au niveau du serveur central, alors même que le décret demande à le faire au niveau des smartphones. Par contre, c’est toujours le cas pour les anciennes versions de l’application mobile, qui est encore largement répandue sur les terminaux. Selon des données fournies par le ministère de la Santé et des Solidarités, le nombre d’installations et d’activations après la sortie de la v1.1.* s’élève à près de 147 000 en date du 10 juillet. Un nombre qui a sans doute dû augmenter un peu depuis, mais qui ne doit probablement pas du tout approcher celui des deux millions d’utilisateurs que compterait StopCovid. Or, c’est loin d’être anodin puisque ce fonctionnement détermine quels contacts sont enregistrés et remontés au serveur.

La collecte d’IP approuvée à des fins de sécurité

En revanche, une autre polémique concernant la collecte des adresses IP des utilisateurs a été balayée par la CNIL. Ces informations, qui s’apparentent à des plaques d’immatriculation, mais pour le web, étaient récupérées dans une optique de sécurité informatique, notamment de lutte contre les attaques par déni de service distribué (DDOS). Cela avait été dénoncé par plusieurs experts comme nouvelle preuve du caractère non anonyme du projet.

Dans sa décision, la CNIL déclare que cet usage dans le cadre d’un système de sécurité anti-DDOS est « régulier ». « La solution anti-DDOS étant une solution de sécurité du dispositif, celle-ci n’avait pas à figurer dans le décret du 29 mai 2020 », qui instaure le traitement de données de StopCovid, explique l’autorité. Pas plus d’ailleurs que les données traitées par cette solution, ajoute-t-elle. Par ailleurs, l’institution déclare avoir constaté que cette collecte « n’a pas d’autre finalité que celle d’assurer la sécurité du dispositif ».

Cela étant, un reproche a toutefois été formulé par la Commission nationale de l’informatique et des libertés : parce qu’il s’agit quand même d’une collecte de données à caractère personnel, il faut décrire cette opération de traitement dans l’analyse d’impact réalisée par le responsable de traitement — en l’espèce le ministère de la Santé. Idem pour ce qui est du captcha. Cette collecte n’est pas non plus renseignée dans ce document, alors qu’elle s’avère importante au regard du rôle que joue Google dans les premières versions du logiciel. La CNIL demande donc à ce que ces analyses d’impact soient complétées.

StopCovid iOS
Pour inciter à faire une mise à jour, StopCovid peut recourir aux notifications « push ».

En marge de ces deux principales critiques, d’autres insatisfactions ont aussi été remontées : par exemple, si « l’information fournie aux utilisateurs de l’application StopCovid France est quasiment conforme aux exigences du RGPD », il manque encore quelques précisions sur les destinataires des données, les opérateurs de lecture des informations présentes sur les smartphones (réalisées via le reCaptcha) et le droit de les refuser. De plus, quelques éléments manquent dans le contrat de sous-traitance conclu entre le ministère de la Santé et l’Institut national de recherche en informatique et en automatique (Inria), qui a la mission de superviser le développement de StopCovid. Parmi les points qui font défaut, les obligations du sous-traitant.

Pousser la population à mettre à jour StopCovid

L’enjeu donc pour le ministère de la Santé est de parvenir à faire basculer d’ici un mois un nombre bien plus grand de Françaises et de Français sur une version bien plus récente de StopCovid.

Plusieurs leviers sont à sa disposition : d’abord, Android comme iOS notifient leurs utilisateurs lorsqu’ils ont à disposition des moutures plus récentes des applications qui se trouvent sur les smartphones — ces notifications apparaissent par exemple sur les applications menant sur l’App Store et Google Play, dans une rubrique dédiée. Mais les promoteurs de StopCovid peuvent aussi passer par les notifications « push » pour envoyer une alerte plus directe. Cela s’est déjà observé par le passé : la version datée de juin a eu droit à une notification qui s’est affichée directement sur les écrans.

L’on peut donc s’attendre très bientôt à une communication plus insistante autour de la nécessité de bien mettre à jour l’application StopCovid, et peut-être à de nouvelles alertes directement envoyées sur chaque smartphone. Le ministère n’a guère le choix : s’il ne se plie pas aux exigences de la CNIL, il s’expose à l’ouverture d’une procédure formelle pouvant mener à une sanction. Et ce dont n’ont pas besoin les services d’Olivier Véran, c’est de rajouter une procédure d’infraction à StopCovid, qui a déjà fort à faire avec les controverses et les fake news.

Reste à savoir si la population jouera le jeu ou, agacée par des sollicitations, finira par retirer l’application.

Partager sur les réseaux sociaux