Comme prévu, l'application va être mise à jour avec un nouveau traitement des QR Codes des lieux visités par ses utilisateurs. Plusieurs des recommandations de la CNIL n'ont pas été suivies d'effet, certaines modalités restent floues. Un patch iOS via des notifications push devrait par ailleurs tenter de réveiller les iPhone en veille.
Saisie en urgence par le ministre des Solidarités et de la Santé, la CNIL avait délibéré le 17 décembre dernier sur un projet de décret modifiant le traitement de données dénommé « StopCovid ».
Les évolutions visent principalement, « notamment dans la perspective d'un nouveau déconfinement et de la réouverture de certains établissements recevant du public (ERP : restaurants, salles de sport, salles de spectacles etc.) », à alerter les utilisateurs de l’application « TousAntiCovid ». Du moins, ceux ayant « fréquenté un lieu dans lequel s'est trouvée, au même moment, une personne diagnostiquée ou dépistée positive au Covid-19 ».
Son avis, ainsi que le décret, viennent d'être publiés au Journal officiel.
Conformément aux recommandations de Santé Publique France, précise la CNIL dans son avis, ces lieux sont en effet susceptibles de présenter un risque élevé d'exposition au virus, lorsque les personnes qui les fréquentent ne sont pas en mesure de s'assurer du respect des gestes barrières (salles de sport, restaurants, bars, etc.), ou un risque modéré lorsque ces mesures barrières doivent être mises en œuvre mais qu'une rupture de cette protection y est possible (transports publics, lieux culturels, lieux de culte, etc.).
Ce nouveau dispositif disponible dans l'application « TousAntiCovid » repose sur un protocole dénommé TAC- WARNING (TAC-W), distinct du protocole ROBERT et de la fonctionnalité de suivi des contacts, sans lien avec un quelconque identifiant d'utilisateur, minimisant ainsi le risque de rattacher l'ensemble des lieux fréquentés à l'utilisateur et de pouvoir ainsi reconstituer un historique de certains de ses déplacements.
En pratique, il repose sur la mise à disposition, par les responsables des ERP, de codes-QR que les personnes sont invitées à scanner, à l'entrée ou à l'intérieur de ces locaux, avec l'application « TousAntiCovid ». Ces codes-QR et la plage d'horaire concernée sont enregistrés dans l'application.
Lorsqu'un utilisateur se signale comme positif au virus, l'application adresse au serveur central TAC-W la liste des codes-QR scannés, qui représente donc la liste des ERP qu'il a fréquentés. Cette liste de lieux contacts est enregistrée sur le serveur.
Par ailleurs, l'application de chaque utilisateur interroge régulièrement ce serveur central en lui envoyant la liste des codes-QR scannés par celui-ci et, lorsque le serveur TAC-W identifie une concordance entre un des lieux remontés et un lieu contact déjà enregistré, il notifie l'utilisateur qu'il a pu être exposé dans un des lieux qu'il a fréquentés.
La nature de la notification reçue pourra varier en fonction du risque de contamination encouru, calculé par le serveur TAC-W sur la base de préconisations à venir des autorités sanitaires.
Ainsi, les personnes ayant fréquenté un lieu « pendant la même plage horaire » – non précisée – qu'une ou plusieurs personnes déclarées positives seront notifiées en tant que « contact à risque modéré ». Au-delà d'un certain seuil – lui aussi non précisé – permettant d'identifier la présence d'un cluster, les utilisateurs pourront être notifiés comme « contact à risque élevé », comme dans le protocole ROBERT. Le décret précise que dans les deux cas, les personnes exposées à ce risque seront désignées comme « contacts à risque de contamination ».
Le Comité de contrôle et de liaison Covid-19 (CCL Covid), dans son avis du 15 décembre 2020, précise de son côté que si une seule personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, les utilisateurs qui auraient pu la croiser recevront une notification de contact warning, dit à « risque modéré » (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors elles recevront une notification classique de contact tracing à « risque élevé ».
La CNIL manque de visibilité sur certains choix
En outre, si l'interrogation du serveur central nécessite que l'application d'un utilisateur lui transmette la liste des lieux qu'il a fréquentés associés à un horodatage, cette interrogation ne fait pas intervenir, d'après les éléments fournis par le ministère à la CNIL, d'identifiant de l'application, de la personne ou de son terminal.
La Commission relève également que les modalités de stockage et de comparaison des lieux fréquentés font l'objet de mesures visant à limiter les risques d'identification de ces lieux par des tiers.
Enfin, relève la CNIL, la collecte et le traitement de données opérés pour cette fonctionnalité revêtent un caractère temporaire et ces données sont strictement séparées de celles traitées dans le cadre du protocole ROBERT (aucun identifiant commun et des serveurs centraux distincts pour les deux fonctions).
Le ministère a ainsi fait le choix d'une architecture dans laquelle l'application interroge le serveur en envoyant régulièrement l'historique des lieux fréquentés et enregistrés par l'application, et non celui d'une architecture dans laquelle les codes-QR des lieux contacts seraient diffusés par le serveur à tous les utilisateurs, permettant la comparaison, en local, des lieux contacts sur chaque application.
Néanmoins, au regard de l'ensemble des éléments, la Commission estime que le dispositif projeté est de nature à réduire les risques que fait peser le traitement de données sur les droits et libertés fondamentaux des personnes concernées et rend l'atteinte proportionnée à l'utilité estimée du dispositif dans le contexte de la crise sanitaire actuelle.
Elle relève en revanche que l'étendue de la collecte et du traitement de données dont les utilisateurs de l'application feront l'objet est conditionnée à certains choix qui n'ont pas pu être portés à sa connaissance, évoquant notamment :
- la liste précise des ERP concernés,
- le caractère obligatoire ou non, pour ces établissements, de mettre à disposition un code-QR,
- l'obligation faite aux personnes concernées d'enregistrer leurs visites afin que celles-ci puissent être alertées en cas de risque de contamination
Le CCL Covid assure de son côté que ces données « ne permettent pas davantage de fournir à l'utilisateur des informations à caractère personnel relatives aux autres personnes ayant fréquenté le même lieu et lors de la même plage horaire ». Pour autant, la CNIL n'est donc pas « pleinement en mesure d'apprécier la proportionnalité de la collecte envisagée ».
« La proportionnalité de la collecte envisagée devrait être affinée »
Dans un communiqué, la CNIL souligne dès lors que « l’appréciation concrète de la proportionnalité de la collecte envisagée devrait être affinée lorsque les conditions de réouverture des ERP seraient connues ». Elle n'en explique pas moins « avoir considéré que l’utilité, au stade actuel de la lutte contre l’épidémie, d’un dispositif complémentaire d’identification des contacts à risque de contamination était suffisamment démontrée ».
Elle a en outre relevé que l’architecture technique et fonctionnelle du dispositif apportait « plusieurs garanties substantielles de nature à en assurer la proportionnalité (en particulier, pas de géolocalisation) » :
- le dispositif ne recourt pas à une technologie de géolocalisation et n’implique pas le suivi des déplacements des utilisateurs de l’application ;
- aucun identifiant unique n’est lié aux lieux contacts remontés par les utilisateurs dépistés ou diagnostiqués positifs à la Covid-19 ou à ceux transmis lors de l’interrogation du serveur central ;
- les données de TAC-W sont séparées de celles traitées dans le cadre du protocole ROBERT.
Elle note toutefois que le serveur collecte les identifiants uniques et aléatoires contenus dans les codes QR remontés lorsqu'un utilisateur se déclare positif dans l'application. Bien que la table de correspondance entre cet identifiant aléatoire et le nom ou la localisation de l'établissement ne semble pas être connue par le serveur, cette information « existe par ailleurs et pourrait donc être reliée aux données stockées sur le serveur, ce qui serait susceptible d'affaiblir le niveau de sécurité global du traitement ».
À cet égard, la Commission relève que lors de la remontée des historiques de lieux fréquentés d'un utilisateur qui se déclare positif, le serveur applique une fonction de hachage à l'identifiant du lieu contact, en utilisant l'algorithme SHA256 et en l'associant à différentes valeurs d'un paramètre, de façon semblable à un sel, sans que cette mise en œuvre corresponde à l'état de l'art en la matière pour éviter les rapprochements.
Si la Commission comprend de cette pratique qu'elle vise à limiter les possibilités pour des tiers de réidentifier les lieux fréquentés par les utilisateurs, elle invite le ministère à « mettre en place, sans tarder, des mesures encore plus efficaces, telles que le recours à des codes-QR dynamiques, dont l'usage est d'ores et déjà prévu par le ministère et qui pourrait améliorer substantiellement la sécurité des données traitées ».
Vers un dispositif obligatoire « d’enregistrement des visites »
La CNIL prend acte, au surplus, de ce que les utilisateurs conserveront la possibilité de ne pas utiliser l’application « TousAntiCovid », « y compris dans l’hypothèse où l’enregistrement des visites constituerait une obligation pour les personnes concernées », sans plus de précision, dès lors que deux dispositifs, l’un numérique (codes QR), l’autre non numérique (par exemple un cahier de rappel), seraient mis à leur disposition par les responsables des établissements visés.
Par ailleurs, la CNIL recommande, « d’une part que, le cas échéant, le caractère obligatoire d’un dispositif d’enregistrement des visites soit limité aux seuls ERP présentant un risque élevé (port du masque impossible et autres mesures barrières difficiles à mettre en œuvre) et, d’autre part, qu’il ne soit pas rendu obligatoire dans les lieux dont la fréquentation est susceptible de révéler des données sensibles (lieux de cultes, lieux de réunion syndicale, etc.) ».
La CNIL rappelle également que la publication de la documentation technique et du code informatique des nouvelles fonctionnalités du dispositif ainsi que la prise en compte des commentaires de la communauté scientifique « permettront l'amélioration continue du dispositif et la correction d'éventuelles vulnérabilités, visant à garantir la sécurité des données ». Elle invite donc le ministère à « poursuivre et amplifier la démarche d'ouverture encadrant la mise en œuvre initiale de StopCovid ».
Priorisation des cas contacts pour les tests de dépistage ?
Contrairement à ce que recommandait la Commission, le décret précise par ailleurs que l'application a également pour vocation de « permettre aux personnes utilisatrices, sur présentation du statut “contact à risque de contamination” dans l'application, de bénéficier d'un examen ou test de dépistage dans des conditions de réalisation prioritaire, au même titre que les autres personnes à risque d'infection ».
La Commission avait en effet rappelé au ministère que « le fait de télécharger et d'utiliser l'application "TousAntiCovid" n'emporte pas, de facto, la possibilité de bénéficier d'un accès prioritaire à ces examens, seuls les utilisateurs notifiés comme contacts à risques étant concernés par ce caractère prioritaire ».
Elle estime dès lors que ce dispositif « ne saurait remettre en cause le caractère volontaire de l'utilisation de l'application », et qu'il serait « néanmoins nécessaire que l'information fournie, notamment dans l'application elle-même, soit sans ambiguïté sur le fait que la priorité est attachée à la qualité de "cas-contact" et non à l'utilisation de l'application par elle-même ».
Reste donc à voir ce que l'application proposera comme information à ce sujet. Ce 15 février, elle affichait plus de 13 millions d'« enregistrements nets » (à savoir de personnes ayant téléchargé et activé l'application) depuis le 2 juin 2020, et 140 150 personnes s'étant déclarées positives dans l'application (soit 1,07 % de ses utilisateurs). TousAntiCovid ne recense par ailleurs que 78 772 potentiels « cas contacts » notifiés par l'application (soit 0,6 % du total). Les utilisateurs ayant déclaré leur positivité dans l'application n'auraient donc, en moyenne, permis de notifier que 1,78 autres personnes qu'elles pourraient potentiellement être des « cas contact ».
Des remontées statistiques pour améliorer les performances
Le décret prévoit en outre la réalisation d'« analyses statistiques à partir des données anonymes issues de l'application afin d'adapter les mesures de gestion nécessaires pour faire face à l'épidémie et d'améliorer les performances de l'application ».
D'après les éléments transmis par le ministère à la CNIL, ces analyses statistiques ne constituent « ni des traitements à des fins de recherche, d'études et d'évaluation dans le domaine de la santé, ni des traitements visant à adapter les mesures de gestion nécessaires à la lutte contre l'épidémie ».
Le ministère a précisé au CCL qu’il s’agissait de mettre en place des paramètres dans l’application permettant d’évaluer la manière dont les personnes l’utilisent : données de navigation de l’utilisateur, temps d’activation moyen du Bluetooth dans la journée, temps d’ouverture moyen de l’application, nombre de contacts « scorés », nombre de contacts croisés.
Il s’agirait d’identifier ce qui fonctionne ou non dans l’application, afin de pouvoir évaluer certaines dimensions de son efficacité. Le but serait également de disposer de données statistiques pouvant être mis en regard des indicateurs employés par Santé Publique France (SPF), ceci afin de mieux guider l’utilisateur grâce à différentes recommandations et conduites à tenir.
« Concernant la dimension confidentielle », relevait d'ailleurs le CCL, « quand une personne choisit de se déclarer positive dans TAC, elle autorise la remontée de ses contacts sans jamais faire remonter son identifiant. C’est dans cette remontée que les données statistiques se retrouvent, sans lien donc avec des données nominatives ou pseudonymisées ».
« Il s’agit d’une analyse d’usage et ceci pourrait être indiqué plus précisément », soulignait le CCL, pour qui « les objectifs de ces analyses, le type de données traitées et les destinataires des analyses doivent être explicités ». La CNIL demandait elle aussi que le projet de décret « soit précisé sur ce point et sur les données effectivement traitées à cette fin ». Ces deux demandes de précisions concernant les données n'ont pas été suivies d'effet dans le décret.
Des « transferts de données vers les États-Unis »
La Commission relève en outre que l'analyse d'impact relative à la protection des données (AIPD) transmise par le ministère mentionne que les dispositifs fonctionnant sous le système d'exploitation iOS ont désormais recours à un système de « notifications push ».
Le ministère indique en effet que le bon fonctionnement de l'application sur ces appareils « nécessite, en raison des limitations techniques imposées par Apple, qu'elle soit réactivée périodiquement, faute de quoi les interrogations régulières du serveur central pour vérifier le statut d'exposition au virus de l'utilisateur ne pourraient intervenir ».
Techniquement, explique la CNIL, ce système se traduit par l'envoi d'une « notification » qui « implique l'envoi de données supplémentaires au serveur central ainsi qu'au serveur de notification d'Apple, et notamment un identifiant unique spécifique au terminal et à l'application ».
La Commission reconnaît l'intérêt de recourir à cette fonctionnalité, « par ailleurs commune à la plupart des applications développées sur iOS (notamment pour avertir l'utilisateur d'une mise à jour), dans le cadre de la crise sanitaire, dès lors qu'elle permet de "réveiller" l'application aux fins d'interroger le serveur central ».
Elle attirait néanmoins l'attention du ministère sur le fait que cette fonctionnalité « pourrait entraîner des transferts de données vers les États-Unis nécessaires au bon fonctionnement technique de l'application ». Elle invitait à ce titre le ministère à « se rapprocher de la société Apple pour avoir confirmation que cette fonctionnalité n'implique pas de transfert ou pour essayer, le cas échéant et dans la mesure du possible, de les éviter. En tout état de cause, l'information des utilisateurs de l'application devra être clarifiée en conséquence ».
Dès lors, elle suggérait au ministère de compléter le projet de décret afin de mentionner, au titre des données traitées, les données techniques nécessaires à ces « notifications push ». Là encore, elle n'a pas été entendue. La Commission regrettait au surplus que l'AIPD dédiée au dispositif relatif aux codes-QR mis à disposition dans certains lieux, en cours de réalisation, ne lui ai pas été transmise en appui de la saisine.
Elle demande donc que celle-ci lui soit transmise et rappelle « en tout état de cause que les risques résiduels devront être ramenés à un niveau acceptable. Elle réitère enfin son appel à la transparence sur ce point et recommande que cette AIPD soit rendue publique ».
Un traitement autorisé « jusqu'au 31 décembre 2021 »
Au-delà des modifications commentées par la CNIL, le décret autorise le traitement « jusqu'au 31 décembre 2021 », alors qu'il l'était jusqu'alors « pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire ».
Initialement prorogé jusqu'en juillet 2020, il l'avait depuis une nouvelle fois été jusqu'en février, et a récemment été de nouveau prorogé jusqu'au 1er juin 2021. L'article 5 du décret disposait à ce titre que « le responsable de traitement rend public un rapport sur le fonctionnement de StopCovid dans les trente jours suivant le terme de la mise en œuvre de l'application, et au plus tard le 30 janvier 2021 ». Les mots « et au plus tard le 30 janvier 2021 » sont supprimés.
Le précédent décret disposait par ailleurs qu'« un arrêté du ministre chargé de la santé, pris après avis de l'Agence nationale de santé publique, définit les critères de distance et de durée du contact permettant de considérer que deux téléphones mobiles se trouvent, au regard du risque de contamination par le virus du Covid-19, à une proximité suffisante l'un de l'autre ».
Le nouveau remplace cet alinéa pour préciser que « les critères de contact entre deux téléphones permettant de considérer que leurs utilisateurs se trouvent dans une situation présentant un risque de contamination par le virus du Covid-19 sont définis par l'Agence nationale de santé publique et sont rendus publics. » La FAQ de TousAntiCovid n'a, elle, pas été mise à jour depuis le 21 octobre 2020.
L'avis de la CNIL se bornant au volet juridique de la mise à jour, restent, au demeurant, les questions et problèmes d'usage et de faisabilité : comment seront générés et distribués les QR Codes, seront-ils scannés par les utilisateurs de l'application, quel sens cela aurait-il d'être alerté parce que l'on se serait trouvé dans un même établissement « au même moment », mais pas dans la même salle (nonobstant le respect des mesures barrières), et donc quels seront les « seuils » permettant de définir la notion de visite d'un établissement « en même temps » ?...
