Nos données sont-elles protégées avec #StopCovid ?

La question est légitime. Tout le monde a parfaitement conscience de l’enjeu de l’utilisation de nos données, surtout lorsqu’il s’agit de nos données médicales et de localisation. L’inquiétude face à cette application, et l’utilisation de la donnée qui en est faite, est compréhensible. Cette inquiétude est accrue par la crainte, une habitude française de défiance envers l’Etat. Si les français s’inquiètent beaucoup moins de la communication de leurs données, de leur vie privée au GAFA, cette inquiétude est présente vis-à-vis de l’Etat. Cette appréhension à deux vitesses, n’est pourtant pas à blâmer. Elle permet à l’Etat de redoubler d’effort dans le respect des réglementations en vigueur malgré l’urgence.

Cela nous a tous poussé à la vigilance sur la mise en place de cette application face à la pandémie qui a secoué le monde que nous connaissions. En effet, pendant cette période de crise sanitaire, la protection des données personnelles a été mise à mal pour permettre de protéger la vie des citoyens. De nombreuses dérives ont pu être constatées au sein des entreprises et des collectivités afin de participer activement à cette crise. Nous avons pu constater à quel point il était compliqué de trouver un équilibre entre protection de la santé des employés d’une entreprise et la protection de la vie privée. Face à cet équilibre précaire, la CNIL a été particulièrement attentive aux garanties de respect de la règlementation RGPD dans la construction et la mise en œuvre de l’application StopCovid. Mais comment fonctionne cette application ?

Comment fonctionne l’application ?

Le fonctionnement de l’application est relativement simple en définitif. Lorsque vous vous déplacez dans un lieu public, votre téléphone va éditer une liste pseudonymisée de chaque personne ayant elle-même téléchargée l’application que vous allez rencontrer et avec qui vous allez avoir une certaine proximité. Si l’une des personnes constate le développement de la maladie, elle en informe l’application qui viendra vous alerter afin de vous informer sur votre proximité de manière prolongée avec une personne atteinte par le virus et qu’il existe un risque de contamination.

L’État sait donc où je suis ?

La réponse est non. Nous ne sommes pas dans un contexte de géolocalisation. A aucun moment l’Etat ne connait votre position géographique. Pour éviter de faire usage d’un procéder aussi intrusif pour la vie privée qu’est la géolocalisation, le choix a été fait d’utiliser le Bluetooth. Via ce procédé, l’application est en capacité de lister les téléphones porteurs de l’application et avec qui vous avez été à proximité. Mais que vous soyez à Toulon, Bordeaux ou Paris, l’application n’est pas en mesure de l’identifier.

D’accord, mais comment l’État s’est-il assuré de la confidentialité de mes données ?

En France, le Règlement Général sur le Protection des Données (RGPD) encadre depuis 2018 l’utilisation et le traitement des données personnelles par les personnes morales. Le RGPD impose ainsi un certain nombre de garantie pour s’assurer de la bonne protection des données. Lors du développement de l’application et face à la sensibilité et l’attente accrue de la population en termes de confidentialité, le RGPD et les règles qu’il impose ont été pensés dès la conception de l’application. C’est ce que l’on appelle le Privacy By Design.

Le Privacy by Design (article 25 du RGPD) est une notion très importante lorsque l’on parle de projet manipulant des données à caractère personnel. Que cela soit un projet d’entreprise ou un projet d’application, l’usage de donnée imposera au chef de projet ou à l’éditeur le respect du RGPD. Appréhender et comprendre ce qui est attendu par cette réglementation en terme de protection et d’utilisation des données à caractère personnel permettra un gain de temps et une diminution du risque pour l’entreprise.

Cela se traduit par penser le projet autour même du RGPD et à se poser toutes les questions fondamentales :

  • Quel est mon but ?
  • Quelle est ma base légale ? Ai-je besoin du consentement de la personne ?
  • Quelles sont les données dont j’ai besoin pour atteindre mon objectif ?
  • Combien de temps ai-je besoin de conserver la donnée ?
  • Ai-je informé la personne sur ce que je fais de ses données et ses droits ?
  • Comment est-ce que je sécurise la donnée ? Quelles garanties apportent mon sous-traitant?

Pour répondre à ces questions, l’outil primordial est l’analyse d’impact sur la vie privée. Défini à l’article 35 du RGPD, elle permet de formaliser l’ensemble du projet et s’interroger sur la nécessité d’une donnée récoltée ou bien sur les mesures de protection mis en œuvre. Outre le fait d’imposer à l’esprit d’un chef de projet les obligations légales et non négociables d’un traitement respectueux du RGPD, l’Analyse d’impact permet donc une « gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles [1]».

Bien que l’Analyse d’impact ne soit pas systématiquement obligatoire, elle reste néanmoins recommandée. En effet, construire une analyse d’impact sur un projet permet également de documenter sa conformité que cela soit dans la tenue du registre de traitement ou dans la preuve de la bonne compréhension et prise en compte des obligations règlementaires au sein même du projet.

Répondre à l’ensemble de ses questions permet à tout chef de projet d’avoir englobé l’ensemble des points nécessaire pour garantir la conformité de son projet et ainsi éviter tout risque de sanction à la suite d’un contrôle. Mais là n’est pas l’unique but. Il faut bien avoir conscience que lorsqu’on dit Privacy by Design, cela signifie diminution de risque financier (ransomware, sanction, actions correctives de mise en conformité), d’atteinte à l’image (mise en demeure publique, publication journalistique de faille ou d’abus) et de risque juridique (action de groupe).

Dans la création de son application, l’Etat l’a ainsi pensé en la structurant à travers les exigences du RGPD. La CNIL a d’ailleurs pu se prononcer par deux fois sur cette application relevant les éléments garantissant la protection des données et les mesures devant encore être améliorée.   

Quelles sont les garanties pour la confidentialité de mes données ? 

L’un des points fondamentaux que la CNIL a imposé à l’Etat lors de la préparation de cette application est la notion du consentement. L’utilisation de cette application doit être sur la base du volontariat. Elle précise d’ailleurs qu’« il convient de souligner que le volontariat ne doit pas uniquement se traduire par le choix, pour l’utilisateur, de télécharger puis de mettre en œuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au COVID-19 dans l’application) ou la faculté de la désinstaller. Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application[2] Ainsi l’application garantie de n’avoir aucune conséquence négative pour la personne (comme un accès impossible au dépistage) si elle ne télécharge pas l’application.

Le niveau de sécurité est un autre élément primordial dans le cadre de la protection de la donnée. Il ne faut pas oublier qu’à tout moment, la donnée peut être manipulée, volée ou bien rançonnée. Pour que cela n’arrive pas, il est indispensable, comme c’est le cas pour l’application et son serveur, de mettre en place un niveau de sécurité suffisamment élevé. Cela passe notamment par le chiffrement de la donnée (rendant illisible toute lecture par une personne ne possédant par la clef de déchiffrement). Aujourd’hui, l’application StopCovid fait appel à l’algorithme de type SKINNY-CIPHER64/192 pour chiffrer la donnée, ce qui est conforme aux règles de l’art[3].

L’utilisation du mécanisme de fixation du certificat sur l’application « permettant aux applications d’authentifier de manière sûre le serveur avec lequel elles communiquent et par là même de garantir la stricte confidentialité des données échangées avec le serveur »[4] et le fait que l’hébergeur de l’application est « qualifié SecNumCloud par l’ANSSI, qu’il est certifié hébergeur de données de santé (HDS) et qu’il met en œuvre des centres de données certifiés ISO/IEC 27001 »[5] sont des garanties supplémentaires.

Dans cette continuité, l’absence de géolocalisation et la mise en place de la pseudonymisation pour éditer les listes sont des critères indispensables pour garantir le respect de la règlementation[6]. En effet, l’objectif de l’application n’est pas de créer une liste des personnes contaminées ni leur localisation mais bien d’informer de la proximité avec une personne contaminée. Pour atteindre cet objectif, la géolocalisation n’est pas nécessaire. En revanche, identifier quel appareil a été proche de tel autre appareil est nécessaire afin d’établir « l’historique de proximité »[7] (liste de personnes rencontrées possédant l’application avec une certaine proximité et pendant une certaine durée).

Pour autant, il n’est pas nécessaire pour les personnes concernées d’identifier les autres personnes possédant l’application ni même de connaitre l’identité des personnes contaminées. L’objectif sera atteint simplement via la communication de l’alerte du risque de contamination.

Mais si je suis sous pseudonyme, il n’est pas possible de m’identifier, n’est-ce pas ?

Il faut bien distinguer la pseudonymisation et l’anonymisation. Dans le cadre de la pseudonymisation, il est possible de remonter à l’identité de la personne concernée. Et c’est en cela que l’application StopCovid doit respecter le RGPD. En effet, afin de pouvoir constituer son historique de proximité et alerter le moment venu les personnes utilisatrices, l’application est dans l’obligation d’identifier par un identifiant unique chaque application téléchargée à un utilisateur. Cela permettra au serveur de l’application (seul à connaître l’identifiant) de lier l’identifiant aux différents pseudonymes générés de manière aléatoire et alerter les bonnes personnes le cas échéant[8].

L’application est donc parfaitement conforme ?

Si beaucoup de points attendus par la CNIL ont été respectés, cette dernière a dans sa dernière décision[9] mis en relief plusieurs points d’amélioration encore en attente. Elle attend en effet encore des garanties sur l’information fournie aux utilisateurs notamment en ce qui concerne les modalités d’effacement des données personnelles mais également l’information spécifique pour les mineurs et les parents.

La CNIL attend également la confirmation du droit d’opposition et du droit à l’effacement. En effet, « le ministère [a]considèr[é] que le droit à l’effacement et le droit d’opposition [n’était] pas applicables dans le cadre de la mise en œuvre du dispositif ». La CNIL a donc précisé qu’en raison du caractère volontaire du traitement, le droit à l’effacement et le droit d’opposition devait pouvoir s’exercer.

Aujourd’hui, ces dernières remarques semblent avoir été entendu pour partie. En effet, il est aisément accessible pour l’utilisateur d’accéder aux informations concernant l’utilisation de ses données au moment de l’ouverture de l’application. Il peut ainsi accéder dans une première partie à l’objet du traitement et les données récoltées, la localisation de la donnée, la durée de conservation et comment exercer son droit à la suppression de la donnée. Et dans une seconde partie, il est directement possible de supprimer d’un seul geste les données présentes sur son téléphone, les données présentes sur le serveur, les différentes alertes et la suppression du compte utilisateur en lui-même.

Il est cependant important de noter, qu’il n’est pas aisément compréhensible pour l’utilisateur de connaître quelles sont ses données présentes sur le serveur. En effet, il est possible de lire au sein de l’application que « Les données sont partagées par votre application avec le serveur, géré par le Ministères des Solidarités et de la Santé, seulement si vous êtes testé positif et avec votre accord ». Hors, nous avons vu plus haut, que le serveur possède tous les identifiants uniques associés à « chaque application téléchargée par un utilisateur, qui est généré de façon aléatoire […] et n’est connu que de ce serveur, où il est stocké »[10]. On constate donc un défaut de clarté sur ce point.

On peut également s’interroger sur l’information spécifique du mineur puisqu’il se traduit par une simple mention ne faisant pas l’objet d’une mise en avant particulière (pop-up par exemple) précisant « Si vous êtes un mineur de moins de 15 ans, discutez avec vos parents ou vos responsables légaux de l’opportunité d’installer cette application. » Il est légitime de s’interroger sur la réelle lecture de cette mention par un adolescent et c’est en ce sens que la CNIL attend des améliorations.

Comment s’assurer que la pratique est conforme à la théorie ?

Dans le cadre de ses prérogatives, la CNIL a lancé une campagne de contrôle dès le 4 juin.  « Il s’agit désormais pour la CNIL de vérifier, sur le terrain, le bon fonctionnement de ces dispositifs. »[11] Les vérifications porteront notamment sur les réserves que la CNIL a conservé à la date de sa dernière décision. Comme nous avons pu le voir précédemment, elle attend encore des garanties sur le consentement et l’information des personnes et notamment pour les mineurs. Elle est également en attente de preuve du respect des droits d’accès et d’opposition. Le reste du contrôle porteront sur la sécurité des systèmes d’information et le flux de données. L’objectif est de s’assurer que la sécurité est effectivement adéquate aux vues de la sensibilité des données.

La CNIL qui n’a pas encore rendu le résultat de ses contrôles mais se prononcera, sans nul doute, sur les dernières révélations de Médiapart confirmé par le secrétariat d’État au numérique[12]. En effet, l’enquête dévoile le non-respect de l’arrêté du 30 mai 2020 qui statuait sur l’entrée dans l’historique de proximité à un contact d’une durée de plus de 15 minutes et à moins d’un mètre. Les révélations et les tests ayant eu lieu par la suite ont démontré qu’un contact de quelques secondes à plus de 5 mètres séparé par un mur suffisait pour intégrer cet historique de proximité.

La rumeur du téléchargement automatique de l’application sur mon téléphone est donc fausse ?

Cette rumeur issue des réseaux sociaux a de quoi faire paniquer, c’est une certitude. Les questionnements sur la question et l’apparition d’une notification d’exposition au Covid-19 sur les téléphones sous Apple et Android inquiètent. L’Etat a-t-il ignorer l’exigence de consentement ? La réponse est non. Pour comprendre, il faut s’attarder sur la nature de ce qu’est cette notification d’exposition. Il s’agit d’une API qui signifie « Application Programming Interface ». Une API a pour but de permettre l’accès et les échanges de données avec une application. Aujourd’hui, certaines applications développées dans le tracking du Covid-19 dans d’autres pays du monde nécessitent l’utilisation d’une API. En France, le choix a été de ne pas passer par un tel fonctionnement et l’application StopCovid ne dépend pas de ce type d’interface.

Alors oui, votre téléphone lors de sa dernière mise à jour a mis en place cette API dans votre téléphone. Mais non, l’Etat n’a pas imposé le téléchargement de l’application sur les téléphones. Et quand bien même StopCovid utilise une API ou non, il faut savoir que, sans le téléchargement de l’application avec qui elle doit être mis en relation, l’API ne s’active pas.


[1] https://www.cnil.fr/fr/gerer-les-risques
[2] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »
[3] Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid »
[4] Ibid
[5] Ibid
[6] Ibid
[7] Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
[8] Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
[9] Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid »
[10] Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »
[11] https://www.cnil.fr/fr/si-dep-contact-covid-et-stopcovid-la-cnil-lance-sa-campagne-de-controles
[12] StopCovid, l’appli qui en savait trop