Archives

StopCovid : feu vert de la Cnil en attendant celui du Parlement

Le vote du Parlement sur l'application de traçage StopCovid aura lieu ce mercredi 27 mai à 15h à l'Assemblée nationale puis à 21h30 au Sénat. Avant ce débat qui divise jusque dans les rangs de sa propre majorité, le gouvernement a multiplié interventions pédagogiques et explications techniques. Si la Cnil a d'ores et déjà délivré son feu vert au lancement de l'application, le suspense sur l'issue du vote reste entier. 

"La décision de déployer l’application StopCovid n’est pas encore prise", a assuré le Premier ministre dans un courrier adressé aux sénateurs le 25 mai dans la perspective du débat organisé à l'Assemblée puis au Sénat ce 27 mai. Le Parlement aura donc bel et bien le dernier mot sur le lancement de l'application de traçage de contact, même si son caractère facultatif n'obligeait pas le gouvernement à recueillir l'aval de la représentation nationale.

Freiner la chaîne de transmission

Or ce vote est loin d'être acquis, le projet ne faisant pas consensus au sein même de la majorité. Le Premier ministre est donc lui-même monté au créneau pour défendre un projet porté à bras le corps par le secrétaire d'Etat au numérique, Cédric O. Dans ce courrier, judicieusement conjugué au conditionnel, le Premier ministre rappelle que l'application "permettrait de limiter la propagation de l'épidémie en freinant les chaînes de transmission" tout en respectant les principes de "volontariat" et "d'anonymat". Il précise que "chacun serait libre de l’installer comme de la désinstaller, mais aussi d’en auditer le code source, dont une partie a d’ores et déjà été publiée, afin de s’assurer du respect de ces principes, nécessaire à l’efficacité de la démarche". L'architecture, pilotée par l'Inria sous le contrôle de l'Anssi, garantit que "personne - pas même l'État - n'a la possibilité d'identifier les individus qui ont été testés positifs au covid-19, ni ceux avec lesquels un contact rapproché a été relevé par l'application".

Un seuil d'efficacité dès 10% de téléchargements

En parallèle, le secrétariat d'Etat au numérique a détaillé les aspects techniques de StopCovid et diffusé des captures d'écran de l'application. StopCovid ne tiendra ainsi compte que des contacts ayant eu lieu "à moins d’1 mètre de distance pendant au moins 15 minutes". L'application réservera aussi à la personne infectée – cette infection devant être confirmée par un laboratoire qui lui fournira un code à renseigner dans l'application – la possibilité de prévenir elle-même les personnes avec lesquelles elle aura été en contact rapproché. Deux fonctionnalités qui ne marcheront cependant que si les personnes croisées ont elles-mêmes un smartphone, ont téléchargé l'application et activé le Bluetooth… Pour les personnes peu familières des smartphones, une "montre connectée" devrait être proposée et le secrétaire d'Etat a assuré que l'application montrerait une efficacité dès que 10% de la population d'un bassin de vie l'auront téléchargée. Quant à l'idée d'associer des "récompenses" proposée par un député – comme une liberté de circulation plus importante en période de déconfinement –, elle a d'ores et déjà été refusée au nom de l'égalité.

La souveraineté numérique préservée

Le caractère temporaire de l'application – "uniquement le temps de la crise sanitaire" – et la destruction des données collectées au bout de 15 jours sont également confirmés. Concernant l'architecture centralisée retenue par l'Inria, Cédric O défend le choix de la "souveraineté numérique". Les propositions d'Apple et Google, basées sur une architecture décentralisée, ont ainsi été écartées au nom des risques pesant sur la sécurité, le stockage en local des pseudonymes des personnes infectées, qui sont des données de santé, étant plus particulièrement incriminé. Le système fonctionnera-il pour autant sur tous les smartphones ? Selon la foire aux questions associée à la présentation du projet, la réponse est oui.  Du reste, auditionné le 26 mai par la commission des lois de l'Assemblée nationale, Cédric O a affirmé que "StopCovid avait été testé sur 17 marques de smartphones, les 100 téléphones les plus utilisés des Français". Quant à l'interopérabilité – la Commission européenne militait pour un système de traçage de contacts unique en Europe – le secrétariat d'Etat se borne à évoquer les collaborations européennes de l'Inria et la possibilité pour un pays tiers de réutiliser le code de son application. On sait cependant depuis que le bilan de ces collaborations est bien maigre : l'Allemagne et la Suisse ont finalement choisi la solution portée par Apple et Google.

Un décret à venir sur l'effacement des données

Le principal atout avec lequel le gouvernement part sur ce dossier est le feu vert définitif de la Cnil accordé le 25 mai. La commission constate que "l’application utilisera des données pseudonymisées, sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées" et que "ses principales recommandations [publiées le 24 avril] ont été prises en compte". Aussi estime-t-elle "que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre". La Cnil fait néanmoins plusieurs recommandations complémentaires sur l’amélioration de l’information des utilisateurs et plus particulièrement des mineurs. Elle demande aussi la confirmation, dans le décret à venir, d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées. Elle rappelle enfin son attachement à une évaluation régulière du dispositif pour étudier son "utilité réelle". 
Si l'application est adoptée cette semaine par le Parlement, elle devrait être disponible sur l'Apple store et Google play dès ce weekend. D'ici là, l'Anssi et l'Inria ont annoncé mobiliser la communauté de hackers de YesWeHack pour vérifier la sécurité de l'application.