Après une première délibération fin avril, la CNIL a rendu un nouvel avis fin mai sur StopCovid. L’autorité constate que ses recommandations ont été suivies dans l’ensemble et qu’il est possible de mettre en œuvre l’application, même si quelques axes d’amélioration et faiblesses demeurent.

Il était initialement attendu pour le 25 mai. Finalement, c’est le lendemain que la Commission nationale de l’informatique et des libertés (CNIL) a rendu son avis sur l’application StopCovid, le deuxième en l’espace d’un mois. Il confirme ce que l’autorité de protection des données disait fin avril : si l’utilité réelle de ce dispositif pour contrer l’épidémie reste incertaine, ses conditions de mise en œuvre sont conformes à la loi et en particulier le RGPD.

Des progrès dans la conception de StopCovid

L’approbation de la CNIL a été facilitée par le fait que ses principales recommandations ont été suivies par le gouvernement. Formulées lors de son avis précédent, elles incluent le fait qu’aucune conséquence juridique négative ne doive survenir pour une personne refusant de se servir de l’application (accéder ou non aux transports en commun, par exemple) et le fait que le ministère de la Santé soit le responsable légal du traitement, car des données médicales, donc sensibles, sont en jeu.

Par ailleurs, la CNIL se satisfait de la mise en œuvre de certaines mesures techniques de sécurité additionnelles, comme le déploiement d’un nouvel algorithme de chiffrement, Skinny-Cipher64/192, bien plus conforme à l’état de l’art que 3DES, et la fragmentation des clés de chiffrement permettant l’accès aux identifiants des personnes concernées de façon à « garantir l’impossibilité pour un seul acteur d’opérer un détournement d’usage des données ».

La Commission émet toutefois de nouvelles recommandations pour rehausser encore le niveau de sécurité, notamment sur les entités qui se verront confier les fragments des clés, sur les modalités d’authentification des individus habilités à accéder aux données enregistrées sur le serveur central ou encore sur l’usage d’un captcha lors de l’initialisation de l’application. Ce captcha sera assuré par un service tiers qui se trouve hors de l’Union européenne ; la CNIL souhaite une solution maison.

Application StopCovid

Application StopCovid

Par nature, StopCovid ne gérera pas des données anonymes. Dès lors, une application qui enregistre automatiquement les cas contacts situés à proximité constitue une atteinte à la vie privée, rappelle la CNIL. D’autant qu’il est question de données sensibles, puisqu’elles indiquent si une personne est atteinte du coronavirus ou non. Ce type d’enregistrement peut toutefois être admis dans certaines conditions, que l’autorité estime satisfaites, car le « privacy by design » a été mis en œuvre dès le début. En clair, la protection de la vie privée a été prise en compte dès le début de la conception.

C’est le cas avec l’emploi de la pseudonymisation, « un élément important pour préserver la vie privée des personnes qui utiliseront ce dispositif ». En utilisant des alias, StopCovid « minimise les possibilités d’identification des personnes concernées », lit-on dans la délibération. C’est aussi le cas avec le choix du protocole de diffuser les identifiants des personnes exposées au virus plutôt que ceux des malades, ce qui participe à accroître encore le niveau de protection de la vie privée des individus, en évitant tout risque de stigmatisation.

Si elle est favorable à un déploiement de l’application, la délibération de la CNIL souligne toutefois encore quelques axes d’amélioration possible et faiblesses à corriger. Ainsi, l’autorité demande par exemple le libre accès à l’intégralité du code source de l’application mobile et du serveur, alors qu’il apparaît aujourd’hui que certaines portions, certes limitées, resteront opaques. Elle souhaite aussi des garanties sur l’effacement des données pseudonymisées enregistrées.

La CNIL doute toujours de l’efficacité de StopCovid

Maintenant, il reste à l’application de sortir et de faire ses preuves et de démontrer en pratique ses promesses théoriques, à savoir produire « des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus », comme ceux que l’on croise dans les transports en commun ou dans les commerces. Le logiciel appuie les enquêtes sanitaires classiques qui se déroulent sur le terrain ou par téléphone, sans s’y substituer. D’ailleurs, des brigades dédiées sont en train d’être mises en place.

Des dizaines de laboratoires et d'entreprises cherchent à trouver un vaccin contre la maladie à coronavirus Covid-19. // Source : Pexels

Des dizaines de laboratoires et d'entreprises cherchent à trouver un vaccin contre la maladie à coronavirus Covid-19.

Source : Pexels

Sur le papier, la CNIL admet que « l’utilité de l’application et la nécessité du traitement […] sont suffisamment démontrées » pour accomplir la mission d’intérêt public de lutte contre l’épidémie. Cela étant, son efficacité réelle dépendra des particuliers, s’ils jouent le jeu ou non (les personnes recevant une notification n’iront peut-être pas toutes chez un médecin se faire dépister, ce qui empêche la reconstitution complète des chaînes de transmission), et de son bon fonctionnement face aux faux positifs ou négatifs.

« Cette appréciation de l’utilité sera délicate et doit pouvoir tenir compte, le cas échéant, de possibles périodes de recrudescence de l’épidémie », reconnaît l’autorité de protection des données personnelles. Mais il est nécessaire que son impact effectif sur la stratégie sanitaire globale « soit étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci, afin de s’assurer de son utilité au cours du temps ». Et ainsi savoir si une telle stratégie pourra être redéployée à l’avenir.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !