Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

StopCovid : nos données sont-elles en danger ?

mai 2020 par Patrick Blum, Vice-Président de l’AFCDP

Quand j’ai dit à voix haute que je ne voulais pas installer l’application #StopCovid pour ne pas me faire espionner, Alexa a ri. (https://twitter.com/ComplotsFaciles)

Dans un contexte technique et politique difficile, le Gouvernement a donc lancé l’application StopCovid développée sous la houlette de l’Institut national de recherche en sciences et technologies du numérique (Inria). Son objectif est d’informer l’utilisateur de l’application du fait que son téléphone mobile s’est trouvé à proximité, récemment, d’un autre téléphone disposant de la même application et dont l’utilisateur a depuis été diagnostiqué positif à la maladie Covid-19. L’application s’appuie sur la technologie Bluetooth, donc sans géolocalisation, mais elle a soulevé de nombreuses craintes, voire des oppositions, au motif qu’elle constituerait un risque grave pour nos données personnelles et nos libertés.

L’Association des correspondants à la protection des données (AFCDP) s’est exprimée à ce sujet, en portant sur cette application le même regard que celui qu’un Délégué à la protection des données (DPD/DPO) porte sur un projet de nouveau traitement de données dans son organisme. Cette position ne porte donc que sur la protection des données personnelles, et ne prend pas position sur la légitimité médicale du projet StopCovid dans le cadre de la gestion de la crise sanitaire. L’AFCDP s’en tient à une analyse aussi objective que possible, compte tenu des éléments dont elle dispose, de l’impact du projet StopCovid sur les données personnelles, et sur les mesures qui l’accompagnent.

Finalité, base légale

Le traitement de données mis en œuvre dans le cadre du projet StopCovid affiche une finalité claire et bien définie : informer l’utilisateur de l’application du fait que son téléphone s’est trouvé à proximité, récemment, d’un autre téléphone disposant de l’application et dont l’utilisateur a depuis été diagnostiqué positif à la Covid-19.
Le traitement est mis en œuvre avec pour « base légale » une mission d’intérêt public (prévue par l’article 6(e) du RGPD), intégrée à la politique sanitaire. Comme la CNIL l’a rappelé, le choix de cette base légale n’exclut pas que le téléchargement et l’utilisation de l’application soient fondés sur le volontariat. L’AFCDP note à cette occasion que les citoyens ont toute liberté pour décider ou refuser d’installer l’application sur leur équipement personnel. Au-delà, la personne qui se sait malade reste libre de le signaler ou non dans l’application.

Nature des données traitées

Les données qui font l’objet du traitement sont, en particulier, des identifiants pseudonymes, attribués par le service centralisé de l’autorité qui en a la charge et, le cas échéant, l’indication qu’un identifiant a été signalé malade. Ces identifiants sont attribués de manière aléatoire et ne sont pas liés à des données personnelles.
Les risques de réidentification sont très faibles, et nécessiteraient des efforts non négligeables.
Ceci étant, au regard de la législation, il ne s’agit pas de données anonymes, mais de données pseudonymes, soumises au RGPD.

Information des personnes

L’AFCDP souligne l’importance de mettre en œuvre des modalités renforcées d’information des personnes, incluant la finalité du traitement des données, leur nature, les modalités d’obtention et de retrait du consentement. Ces informations devraient être apportées lors du téléchargement et de l’installation de l’application, et il doit être clair pour l’utilisateur que l’activation de l’application implique son consentement, de même que son signalement comme personne malade. Ces informations doivent également permettre à la personne concernée de retirer son consentement, en particulier par suppression définitive de l’application, qui doit entraîner en principe suppression de toutes les données éventuellement stockées sur l’équipement.

Sécurité

La sécurité de l’application et de toute l’architecture impliquée a été placée sous la supervision de l’ANSSI, qui est membre de l’équipe projet. L’AFCDP a pris connaissance des premières recommandations de l’ANSSI sur la conception du projet, et considère que son implication est un gage de respect des meilleures pratiques en termes de sécurité.

Durée de conservation

L’AFCDP a pris acte de la conservation limitée des données dans la mesure où le projet StopCovid a pour vocation de durer le temps de l’épidémie et est donc lié directement à la notion d’état d’urgence sanitaire Dans l’hypothèse où celle-ci serait de longue durée, l’interruption pourrait n’intervenir qu’à une échéance très éloignée. En tout état de cause, compte tenu des modalités de contagion, la conservation des données au-delà d’un mois paraît superflue.
L’historique des personnes déclarées malades, et l’historique de contacts rencontrés par la personne concernée devraient être effacés de manière continue pour ne conserver que les informations les plus récentes.

Transparence

L’AFCDP considère que la publication de l’ensemble des codes sources est une garantie sérieuse que le projet ne porte que sur les finalités annoncées et que les précautions indispensables sont bien mises en œuvre.

Contrôle et audit

S’agissant d’un projet destiné à traiter de grandes quantités de données, et comportant potentiellement des indications sur la santé, l’AFCDP prend acte de l’implication de la CNIL dont les prérogatives lui permettront d’effectuer tous les contrôles de conformité que les citoyens sont en droit d’attendre.
L’AFCDP regrette toutefois que le projet ne prévoie pas la contribution de professionnels de la protection des données, extérieurs aux organismes impliqués. Comme pour le système d’information mis en place par la loi prorogeant l’état d’urgence (Contact-Covid et SI-Dep), en tant qu’association représentative des Délégués à la protection des données (DPD/DPO) l’AFCDP souhaiterait être invitée à participer à ces projets, au même titre que les associations représentatives de malades.

Risques résiduels

Des chercheurs ont publié une mise en garde contre les applications de traçage et en particulier contre le projet StopCovid. Le document qu’ils ont publié constitue une sorte d’analyse des risques pour la protection des données (AIPD) d’un traçage prétendu anonyme, et présente une quinzaine de scénarios comme la fausse déclaration de maladie d’une personne qui souhaiterait nuire à l’un de ses contacts, la levée de l’anonymat lorsqu’une personne n’a qu’un seul contact (je ne sors que pour acheter mon pain tous les matins, et je reçois une alerte : je sais que c’est mon boulanger qui est malade), l’enquête de voisinage (je laisse un téléphone dédié à cet usage dans ma boite aux lettres : s’il reçoit une alerte, je sais qu’un de mes voisins est malade) ou le recruteur malveillant (il utilise un téléphone dédié durant l’entretien d’embauche, et saura donc si le candidat est déclaré malade ultérieurement).
Ces risques existent certes, mais avec une probabilité qui les rend acceptables au regard des bénéfices attendus.

Dans ce contexte, l’AFCDP estime que l’application StopCovid répond aux exigences de protection des données, en particulier aux prescriptions du RGPD. Elle rappelle que chacun est libre de télécharger et d’activer cette application mais qu’il convient de rester attentif aux risques possibles de dérives pouvant consister à rendre l’application obligatoire dans certaines situations, comme l’accès aux locaux professionnels ou à des lieux publics.




Voir les articles précédents

    

Voir les articles suivants