Le projet StopCovid sera soumis à débat puis au vote du Parlement cette semaine. Hier, la CNIL a publié son avis, tout comme le Conseil national du numérique. On connait désormais un peu mieux l’écosystème derrière l'application de suivi de contacts.
« Un vote unique sur le plan déconfinement (et donc sans possibilité de se prononcer sur le traçage numérique en tant que tel) et avec un nombre aussi réduit de députés, ne correspond pas, au regard des enjeux, à un niveau de démocratie parlementaire suffisant » réagit le député Aurélien Taché, élu pourtant de la majorité LREM.
C’est demain que l’Assemblée nationale devait entendre la « Déclaration du Gouvernement relative aux innovations numériques dans la lutte contre l’épidémie de covid-19 ». Finalement, le gouvernement préfère opter pour un débat global sur « la stratégie nationale du plan de déconfinement dans le cadre de la lutte contre l’épidémie de covid-19 ».
L’allocution sera suivie d’un débat puis d’un vote, vote qui fut d'abord refusé par l'exécutif. Et le lendemain, la procédure sera reproduite au Sénat. L’examen aura lieu sur le fondement de l’article 50-1 de la Constitution qui exclut tout engagement de responsabilité. Avec ce tour de passe-passe, le gouvernement pourra toujours s’enorgueillir d’une légitimité politique sur son plan global, et StopCovid en particulier.
L’application est abondamment commentée depuis plusieurs semaines, pas seulement sur son cœur qui devrait reposer sur le protocole ROBERT, présenté voilà une semaine par Inria. Le 21 avril, le député Philippe Latombe questionnait ainsi Cédric O, secrétaire d’État au numérique pour réclamer à tout le moins « la plus stricte transparence » et tout spécialement la liste des noms des entreprises derrière cette application à l’utilité sans cesse questionnée.
La réponse est officiellement intervenue hier, au fil d’un communiqué de presse de « l'équipe-projet StopCovid » et des contributeurs au projet. Sur la scène, on trouve Inria, l’ANSSI, Capgemini, Dassault Systèmes, l’Inserm, Lunabee Studio, Orange, Santé Publique France et Withings. Dans une distribution des rôles bien huilée, chacun aura une mission déterminée :
- Inria : coordination et protocole de transmission, privacy-by-design
- ANSSI : cybersécurité
- Capgemini : architecture et développement back-end
- Dassault Systèmes : infrastructure souveraine de données qualifiée SecNumCloud ;
- Inserm : modèles de santé
- Lunabee Studio : développement des applications mobiles
- Orange : diffusion de l’application et interopérabilité
- Santé Publique France : insertion et articulation de l’application dans la stratégie globale de détection et suivi des contacts (« contact tracing »)
- Withings : objets connectés
Outre ces structures, plusieurs autres interviendront cette fois comme « contributeurs ». Citons, parmi les personnes morales, Accenture/Octo, Atos, C4Diagnostic, Enalees, Sia Partners ou encore Sopra STeria et Thales...
Alors que l’écosystème se met en place et que l’échéance du déconfinement approche, ce n’est que le 20 avril dernier que la gardienne des données personnelles a été saisie par Cédric O, avec le protocole ROBERT glissé dans l’enveloppe.
Pour mémoire, selon les communications officielles, StopCovid sera installée volontairement, et permettra de suivre l’historique relationnel d’une personne avec un strict respect des données personnelles. Ses utilisateurs seront le cas échéant informés qu’ils ont été à proximité d’une personne déclarée positive au Covid-19, disposant elle-même de la même application.
Outre les défis techniques, l’application soulève plusieurs enjeux au regard du règlement européen sur la protection des données personnelles (RGPD) et la législation française en particulier la loi modifiée de 1978. La publication de l’avis de la Commission a révélé les difficultés et enjeux de ce sésame dont l’utilité souffre encore d’interrogations.
StopCovid sous l'angle RGPD
D’entrée, son avis recommande l’exécutif à faire preuve d’une « grande prudence » puisqu’il s’agira « d’établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l’application ».
Se confirme que le projet repose non sur l’anonymat, mais sur le pseudonymat. Et pour cause, « le protocole décrit dans la saisine repose ainsi sur un système associant à chaque application téléchargée un identifiant aléatoire permanent (ci-après, le pseudonyme permanent) permettant ensuite de créer plusieurs identifiants aléatoires temporaires (ci-après, les pseudonymes temporaires) ». Puisqu’un lien sera dressé entre ces pseudonymes et les applications téléchargées sur un terminal, la CNIL estime que le système collectera donc des données personnelles au sens du RGPD.
« En outre, la collecte des pseudonymes temporaires des personnes avec lesquelles l’utilisateur a été en contact pourrait permettre de reconstituer l’ensemble des relations qu’il a eues avec d’autres utilisateurs de l’application ». Pour l’autorité, pas de doute : ce projet est bien soumis au règlement, même si elle reconnait que les protections envisagées devraient assurer un haut niveau de garanties.
Sur ce terrain, elle se satisfait par exemple que « toute l’architecture du dispositif envisagée tend à ne faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier ». Ce qui minimise le risque de réidentification de la personne infectée. Ce risque est un des aiguillons essentiels, s’agissant comme ici d’un flux mêlant données de santé et vie privée.
Limitation des finalités et volontariat
En soulevant le couvercle du protocole ROBERT, elle rappelle le sacro-saint principe de limitation des finalités. À savoir qu’un traitement ne doit être utilisé que pour un objectif précis, fixé préalablement. Ainsi, hors de question de détourner StopCovid par exemple pour suivre le respect des mesures de confinement, ou toutes autres règles équivalentes.
Cela a été dit et redit aussi, l’application sera volontaire. Mais traduit dans la langue RGPDienne, l’objectif prend un autre visage : « le volontariat ne doit pas uniquement se traduire par le choix, pour l’utilisateur, de télécharger puis de mettre en œuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au Covid-19 dans l’application) ou la faculté de la désinstaller ».
Ce serait trop simple. Le volontariat exige également que celui qui refuse une telle application n’en subisse aucune conséquence. « Ainsi, l’accès aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application ». Impossible également de coupler son usage avec la possibilité de se déplacer ou d’accéder à des services de transports en commun.
De même, « les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination. »
Toujours dans son analyse, l’autorité indépendante plaide pour qu’un texte spécifique soit pris pour encadrer StopCovid, puisque comme le veut le RGPD, « des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée » doivent être spécialement taillées.
Du principe de proportionnalité et de l'utilité de StopCovid
Autre pilier puisé dans le règlement du 25 mai, « le respect du principe de proportionnalité se traduira notamment par une collecte et une conservation des données limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte portée à la vie privée des personnes ». Il impliquera par exemple que les données soient aussi supprimées le plus tôt possible, en particulier quand l’application ne sera plus utile.
Le gouvernement devra avoir « l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population ». Or, en l’état, la question de son efficacité est toujours incertaine.
Dans les colonnes du Journal du Dimanche, Cédric O répête certes que l’application sera bien « utile ». Mais pour la CNIL, « si ce type de dispositif peut potentiellement aider les autorités publiques à surveiller et à contenir la pandémie de Covid-19, en complétant les méthodes traditionnelles de recherche de contacts utilisées pour contenir la propagation des épidémies, il n’en possède pas moins des limites, tant intrinsèques que liées à son insertion dans une politique sanitaire globale, qui sont susceptibles de porter atteinte à son efficacité ».
Pour assurer cette efficacité, la CNIL recommande déjà la disponibilité de StopCovid sur les principaux magasins d’applications mobiles. Mais elle se rappelle sans mal que tous les citoyens ne disposent pas d’un appareil mobile, outre que des personnes utilisant ces équipements pourront être asymptomatiques.
Elle réclame en tout cas que ce suivi soit accompagné d’une réponse sanitaire globale. « La Commission considère que l'utilisation d'applications de suivi des contacts ne saurait être une mesure autonome et appelle, sur ce point, à une vigilance particulière contre la tentation du "solutionnisme technologique" ».
Même si la démarche dépasse le champ de ses compétences, ses suggestions montrent l’ampleur de la tâche : « mobilisation de personnels de santé et des enquêteurs sanitaires », « disponibilité de masques et de tests », « organisation des dépistages », « mesures de soutien », « informations et service délivrés aux personnes qui auront reçu l’alerte », « capacité à les isoler dans des lieux adéquats », etc. Des vœux qui rejoignent ceux de l’Ordre des médecins.
La CNIL déconseille d'injecter des faux positifs
Sur l’application en elle-même, elle relève que le responsable du traitement devra être le ministère de la Santé, ou toute autre autorité sanitaire impliquée. De même, l’analyse d’impact sera inévitable, s’agissant d’un traitement présentant des risques élevés pour les droits et libertés.
Au passage, on apprend que les porteurs du projet entendaient introduire des faux positifs dans les notifications adressées aux porteurs afin de limiter les risques de levée de pseudonymat en cas de tentative de fraude par une tierce partie. L’idée a été passée à la flamme par la commission : « cette mesure ne peut ni ne doit être mise en œuvre, dès lors qu’elle aurait pour conséquence d’alerter faussement des personnes n’ayant pas eu de contact à risques, et qui seraient dès lors encouragées à se soumettre à des mesures de confinement volontaire consistant en une restriction auto-imposée de leurs libertés individuelles ».
Sur un terrain plus technique, « la Commission estime nécessaire que des mesures soient mises en œuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs ». L’usage de l’algorithme 3DES est proscrit par le référentiel général de sécurité.
Les craintes de 300 chercheurs en cryptographie et sécurité informatique
Parallèlement, les craintes ne faiblissent pas. 300 chercheurs français en cryptographie et sécurité informatique ont ainsi publié une lettre ouverte pour alerter des risques ouverts par ce genre d’applications .
« Toutes ces applications induisent en fait des risques très importants quant au respect de la vie privée et des libertés individuelles. L'un d’entre eux est la surveillance de masse par des acteurs privés ou publics, contre laquelle l'Association Internationale de Recherche en Cryptologie (IACR) s'est engagée à travers la résolution de Copenhague. Cette surveillance de masse peut être effectuée via la collecte du graphe des interactions entre les individus, le graphe social ».
Ils plaident pour une transparence complète, une solide documentation, publique, et eux aussi un strict respect du RGPD. Et ce alors que le github.com Betagouv vient de disparaitre des cadrans.
15 recommandations du Conseil national du numérique
De son côté, le Conseil national du numérique, saisi par Cédric O le 14 avril, considère que Stop Covid ne pourra être qu’une brique d’une stratégie globale. Dans son avis, il propose plusieurs pistes. Par exemple, pour qu’une personne puisse se déclarer positive au virus, un code pourrait être délivré par un laboratoire d’analyse médicale afin d’éviter les fausses déclarations de contamination.
Le document fait brièvement état des limitations existant sur le Bluetooth. « Pour que l’efficacité de l’application soit optimale, il faut qu’elle soit en mesure d’enregistrer le plus de contacts possible, malgré l’accès contraint aux fonctionnalités Bluetooth sur une part importante de smartphones, pour des raisons d’économie d’énergie et pour en éviter les mésusages. L’existence de cette limitation sur les iPhone a conduit le secrétaire d’État chargé du Numérique à demander publiquement à Apple de ne pas appliquer cette restriction à StopCOVID ». Sauf que comme l’a développé Baptiste Robert (Elliot Anderson sur Twitter) des restrictions similaires existent sur les appareils Android s’agissant des applications fonctionnant en arrière-plan.
L’avis du CNNUm contient en tout quinze recommandations qu’on retrouve pour partie dans la délibération CNIL, s’agissant par exemple de l’exigence d’un texte pour fixer les conditions de mise en œuvre du traitement. Il plaide aussi pour que l’application soit renommée en « AlerteCOVID » « pour ne pas lui faire porter de fausses promesses » ou encore pour la création d’un comité de pilotage composé de parlementaires, chercheurs et citoyens experts qui disposerait d’un pouvoir d’arrêt de l’application.