LEBIGDATA.FR I.A, Cloud & Cybersécurité
Faut-il autoriser l'application de tracking StopCovid du gouvernement français pour arrêter la pandémie de Covid-19 ? Le débat fait rage, alors que le vote à l'Assemblée nationale aura lieu le 28 avril 2020…
Ce mardi 28 avril 2020, le gouvernement présentera à l'Assemblée nationale sa stratégie de déconfinement. L'un des éléments au coeur de cette stratégie est le projet d'application mobile » StopCovid « , dont l'adoption sera décidée par un vote à l'issue d'un débat entre les députés.
Cette application mobile permettra d'être immédiatement averti si une personne avec qui on a été en contact se révèle infectée par le Covid-19. Lorsque deux personnes se croisent avec l'application installée sur leurs téléphones, leur contact est détecté via le Bluetooth et enregistré. Si l'une d'elles est testée positive au coronavirus par la suite, la deuxième sera notifiée.
Un tel dispositif a permis à Singapour ou à la Corée du Sud de lutter efficacement contre la propagation du virus. Cependant, il représente aussi une menace potentielle pour la confidentialité.
La CNIL approuve StopCovid, mais demande » des garanties supplémentaires «
#Covid19 Publication de l'avis de la CNIL sur le projet d'application mobile #StopCovid 👉https://t.co/lW70m9pJQL pic.twitter.com/HjUCCtsHXt
— CNIL (@CNIL) April 26, 2020
C'est la raison pour laquelle la CNIL demandait, ce dimanche 26 avril, » certaines garanties supplémentaires « lors du déploiement de cette appli de tracking. Selon l'autorité française de protection des données, elle doit être » intégrée dans une stratégie sanitaire globale « .
En temps normal, une telle application serait perçue comme liberticide et provoquerait une levée de boucliers. Néanmoins, la CNIL admet que nous sommes » dans un contexte exceptionnel de gestion de crise « .
De fait, » si certaines conditions sont respectées « pour que StopCovid reste conforme aux exigences européennes de protection des données, la commission ne s'y oppose pas même si elle met en garde contre le » solutionnisme technologique « .
La CNIL demande tout d'abord à ce que cette application soit proposée uniquement sur la base du volontariat. Les personnes qui refuseront de l'utiliser ne doivent subir aucune pression ni aucune conséquence négative.
Le gendarme de la confidentialité craint notamment que les personnes refusant d'installer StopCovid puissent se voir refuser l'accès aux tests et aux soins ou aux transports en commun. En outre, la CNIL souhaite aussi que les Français puissent utiliser l'application avec des pseudonymes.
L'autorité souligne aussi le fait que l'efficacité de l'application dépendra de sa disponibilité dans les boutiques d'applications iOS et Android, » d'un paramétrage adéquat « , et d'une large adoption par les citoyens.
Dans le Journal du Dimanche, le secrétaire d'État au numérique, Cedric O, indique que l'appli ne fonctionne pas sur iPhone pour le moment. De fait, près de 20% des utilisateurs de smartphones en France n'y auront pas accès si ce problème n'est pas résolu…
Enfin, pour éviter tout abus ou dérive, la CNIL recommande » que l'impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière « . Ceci permettra de s'assurer que l'application soit efficace et d'éviter que la confidentialité soit compromise.
La CNIL demande à être nouveau saisie par le gouvernement » quand la décision aura été prise et le projet précisé » après la tenue du débat au Parlement. Son avis a été adopté le 24 avril par les membres du collège et rendu public le dimanche 26.
L'AFCDP rejoint la CNIL
De son côté, l'Association française des correspondants à la protection des données à caractère personnel s'est également exprimée concernant le projet StopCovid et rejoint la CNIL. Cette association regroupe plus de 6000 professionnels de la conformité au RGPD et à la loi LIL.
Selon l'AFCDP, » même si la constitution par l'État d'un fichier centralisé peut toujours soulever des inquiétudes légitimes, l'AFCDP note avec satisfaction que l'application StopCovid devrait être encadrée par un certain nombre de garanties, comme les DPO le préconisent dans leurs organismes respectifs. Ainsi l'usage de l'application ne pourrait reposer que sur une démarche volontaire des personnes, sans impact possible en cas de refus. Elle ne devrait traiter que des données « pseudonymisées » avec des mesures protectrices contre les risques de ré-identification « .
Comme la CNIL, l'association demande toutefois à ce qu'une Analyse d'Impact sur la Protection des Données (AIPD) soit réalisée. Elle estime aussi que l'usage de l'application devra être temporaire et que les données devront être détruites après la crise sanitaire.
En outre, conformément au RGPD, StopCovid devra respecter le concept de » Privacy by Design « (protection des données dès la conception). Elle devra aussi répondre à des » motifs d'intérêt public dans le domaine de la santé publique ». Pour l'heure, ces conditions semblent respectées et le projet est donc a priori conforme au règlement européen…
StopCovid inquiète de nombreux experts en protection des données
Cependant, tous les experts ne sont pas aussi confiants. Selon Eric Filiol, expert en cybersécurité basé à Laval et interrogé par France Bleu Mayenne, il est tout simplement impossible de garantir la confidentialité des données avec une telle application.
D'après ce spécialiste, l'application sera téléchargée via les plateformes de Google et Apple et ces géants de la tech auront donc accès aux données via l'analyse de trafic. Il estime par ailleurs qu'une antenne suffit pour collecter le signal Bluetooth, scanner les téléphones, récupérer les adresses MAC et s'emparer d'informations supplémentaires.
Pour finir, Eric Filiol estime que StopCovid ouvre la porte au traçage numérique. Selon lui, les crises font toujours apparaître » des tentations pour admettre un principe qui est par nature liberticide « . Or, les modalités pourront être discutées après la crise » et ça, c'est dangereux « …
- Partager l'article :
