StopCovid : la Cnil demande des garanties supplémentaires
La Cnil a publié dimanche 26 avril 2020 son avis sur le projet d'application de traçage de contacts StopCovid. Si celui-ci respecte globalement le RGPD, la Commission insiste sur le caractère facultatif de son activation et s'inquiète d'une possible banalisation du traçage. Elle émettra un avis complémentaire à l'issue du débat prévu ce mardi 28 à l'Assemblée nationale et mercredi 29 avril au Sénat.
La Cnil a délibéré vendredi 24 avril sur le projet d'application de traçage de contacts StopCovid, dont le Parlement doit avaliser cette semaine le déploiement pour accompagner le déconfinement à partir du 11 mai. La commission rappelle s'être fondée sur la seule base des informations transmises par le gouvernement et notamment le protocole conçu par l'Inria (notre article), l'application en tant que telle n'étant à ce jour pas encore finalisée.
Face à une application qui pose des "questions inédites sur la vie privée", la Cnil estime en premier lieu que ce projet "doit s’inscrire dans une stratégie sanitaire globale" (protections, tests, enquêtes épidémiologiques…) et ne doit être déployée que si "son utilité pour la gestion de la crise est suffisamment avérée". Car au-delà de "la tentation du solutionnisme technologique", cette application pourrait "créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée". Aussi doit-elle doit être strictement réservée aux "situations exceptionnelles" exhorte la Cnil.
Un volontariat éclairé à garantir par la loi
En second lieu, la commission insiste sur le volontariat éclairé des utilisateurs de StopCovid. Un volontariat qui implique "qu’il n’y ait pas de conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun". De même, "les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application". Enfin, les personnes ne doivent pas être obligées de sortir avec leur smartphone et pouvoir à tout moment choisir de désinstaller l'application. La Cnil souhaiterait du reste que ce principe de volontariat soit garanti par un texte de loi précisant également les finalités du traitement, le mode de fonctionnement de l'application et la durée de conservation des données. Sur ce dernier point, la commission insiste sur le "caractère temporaire de la collecte et du traitement de données" et l'impérieuse nécessité de leur suppression "dès le moment où l’utilité de l’application ne sera plus avérée".
Sur le plan technique, la Cnil se félicite de l'absence de recours à la géolocalisation et de l'usage de pseudonymes qui "ne permettra pas de remontée de listes de personnes contaminées". Elle juge globalement le dispositif "conforme au RGPD", sous réserve de quelques ajustements. Le serveur sur lequel les données seront stockées et centralisées appelle ainsi "des mesures de sécurité organisationnelles et techniques de très haut niveau" avec en particulier un renforcement des algorithmes de chiffrement. Elle recommande aussi la publication des documentations techniques afin de donner la possibilité à la communauté scientifique de contribuer à l’amélioration du dispositif et à la correction d'éventuelles failles de sécurité.
Une concurrence entre applications nuisible
La Cnil relève ensuite un certain nombre de points de vigilance pour garantir une large diffusion de StopCovid, l'application devant être téléchargée par plusieurs millions de personnes pour espérer produire des résultats probants. Parmi ceux-ci, sa disponibilité sur l'ensemble des magasins d'application (App'store, Google play) et sa compatibilité avec la majorité des terminaux mobiles en circulation. La Cnil pointe cependant les risques liés à la coexistence de plusieurs applications, générant "une concurrence susceptible de nuire à l’efficacité du dispositif". Une allusion aux annonces d'Apple et Google – qui devraient sortir un protocole de suivi de contact d'ici le 28 avril avec des options techniques différentes par rapport au projet StopCovid – et au projet d'un consortium d'industriels français qui ont annoncé la semaine dernière l'organisation d'un test en Île de France (lire l'encadré ci-dessous).
Cet avis de la Cnil ne manquera pas d'alimenter les débats à venir à l'Assemblée nationale et au Sénat. Noyé dans la présentation du dispositif global de déconfinement, et sans vote spécifique sur l'application mobile, on peut cependant s'interroger sur la marge de manœuvre des parlementaires alors que le projet a suscité des réserves jusque dans les rangs de la majorité. C'est du reste peut-être une des raisons qui a conduit le collège de la Cnil à préconiser l'adoption formelle d'un texte législatif sur StopCovid.
Une application concurrente testée en Île-de-France
Bruxelles avait plaidé pour une application de traçage de contact unique européenne. C'est visiblement mal parti car pas une semaine ne passe sans qu'un nouveau projet d'application émerge. Après Apple et Google, c'est au tour d'un consortium incluant Orange, Capgemini, Dassault Systèmes, Sopra Steria et le cabinet de conseils SIA Partners d'annoncer le lancement de "StopC19". Tout comme StopCovid, StopC19 utilise la technologie Bluetooth pour bâtir son application de traçage de contacts. Déjà bien avancé (mais on n'en sait pas plus) l'application devrait être testée prochainement à Sartrouville et Saint-Germain-en-Laye a annoncé Orange aux Echos. Fera-t-elle concurrence à StopCovid ? Le projet "ne se fera pas sans l'aval des autorités sanitaires" tempère Orange. La Cnil a de son côté alerté qu'elle aurait son mot à dire. Si les industriels se disent prêt à conformer leur application à un appel d'offre gouvernemental, force est de constater que cet entrisme des industriels abonde dans le sens de ceux qui dénoncent le "solutionnisme technologique".