Par Stéphane Astier et Anne-Charlotte Andrieux
En mai dernier, le Gouvernement Français annonçait le lancement de StopCovid, l’application de contact tracing développée en collaboration avec l’INRIA.
Face à l’échec du nombre de téléchargements (2,4 millions au 15 septembre 2020 d’après le dernier avis du comité de contrôle et de liaison) et à l’accélération de l’épidémie, StopCovid a laissé place à une nouvelle mise à jour baptisée Tous AntiCovid (TAC).
Tout comme son prédécesseur, ce nouvel outil est destiné à casser les chaînes de transmission.
Qu’en est-il exactement ?
1. Des principes de fonctionnement identiques
Tout d’abord constatons qu’il ne s’agit pas de nouvelle application mais d’une simple mise à jour de StopCovid qui vous permet de basculer sur le nouvel outil. En effet, les deux applications ont en commun de reposer sur le protocole « ROBERT ».
Pour chaque smartphone sur lequel l'application est téléchargée, des crypto-identifiants temporaires sont générés toutes les 15 minutes.
Lorsqu'un utilisateur indique à l'application qu'il est infecté, celle-ci envoie l'historique des identifiants cryptés que l'appareil a rencontrés (les "identifiants de contact") à un serveur central géré par Le Ministère des Solidarités et de la Santé sur lequel elles sont conservées pendant 14 jours.
Ces identificateurs cryptés de l'appareil ne sont toutefois pas divulgués au serveur central. Chaque smartphone qui a téléchargé l'application vérifie régulièrement auprès du serveur central si ses identifiants cryptés font partie des "identifiants de contact". Lorsque c'est le cas, une alerte est générée par l'application pour avertir l'utilisateur qu'il a été exposé au virus.
La politique de confidentialité de l’application insiste sur le fait que les données sont stockées en local sur le téléphone des utilisateurs et ne font l’objet d’un croisement avec les données du serveur central que lorsque l’utilisateur déclare avoir été contaminé. Par ailleurs, aucune donnée personnelle n'est transférée entre deux smartphones et aucune donnée directement identifiable n'est transférée au serveur central.
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
Le secrétaire d’Etat au numérique affirme que "la CNIL a audité en profondeur et validé l'application".
Or, le protocole de fonctionnement n’ayant pas évolué entre la version initiale et sa mise à jour les limites identifiées dans notre précédent article devraient rester d’actualité en ce qui concerne cette nouvelle sortie.
-
Les limites du Bluetooth
L’initiative se heurte à certaines limites technologiques, notamment en raison de l'utilisation de la technologie Bluetooth. En effet, le Bluetooth ne permet pas d’estimer avec suffisamment de précision la distance entre deux smartphones et pourrait engendre des faux positifs/faux négatifs si la mesure de la distance est erronée.
En outre, chacun aura pu observer que le Bluetooth entraine une baisse rapide de la batterie du smartphone sur lequel il est activé. L’efficacité de l’application est donc fortement corrélée à l’autonomie du terminal utilisé.
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
2. Tous AntiCovid vs. StopCovid : quelles différences ?
A. Des mentions d’information remaniées
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
Conformément à l’article 7 du RGPD[1] visant les conditions applicables au consentement, pour être loyale et licite la collecte des données personnelles doit s’accompagner d’une information claire et précise préalablement à la collecte des données.
Dans l’application la politique de confidentialité est accessible facilement et la collecte est désactivée par défaut jusqu’à l’activation du Bluetooth. A cet égard, la nouvelle version a été enrichie d’un bandeau permettant à l’utilisateur lorsqu’il scrolle dans l’application d’identifier si la détection des cas contact et activée ou désactivée.
Le ministère de la santé a travaillé sur une communication adaptée en employant un langage FALC (Facile à Lire et à Comprendre) répondant ainsi à l’objectif d’intelligibilité et de transparence prôné par le CEPD. De même, la politique de confidentialité prévoit un double niveau d’information avec une première page contenant des informations synthétiques sur le traitement des données renvoyant à un second niveau d’information plus détaillé sur le RGPD et la protection des données
En outre, l’utilisateur est en mesure de supprimer ses données et de se désinscrire à tout moment.
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
B. De nouvelles fonctionnalités intégrées à l’application
Pour susciter l’adhésion et augmenter le taux d’utilisation de l’outil, prérequis indispensable à l’endiguement des chaines de contamination, le gouvernement a enrichi sont application en ajoutant :
-
Des informations en temps réel relatives à situation épidémiologique
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
- Un accès la carte DépistageCovid répertoriant l’ensemble des centres de dépistage
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
- L’accès à l’attestation de déplacement dérogatoire, obligatoire sur les heures de couvre-feu
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
-
L’accès à Mes Conseils Covid, service du ministère de la santé contenant des conseils personnalisés pour agir contre l’épidémie
Source : Visuel réalisé par l’équipe TousAntiCovid sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’Etat chargé du Numérique.
C. Que faut-il en retenir ?
La France a fait le choix d’un protocole autonome centralisé basé sur la pseudonymisation afin que les données remontées puissent être utilisées par les autorités sanitaire pour lutter contre l’épidémie. Si ce choix a pu faire craindre des risques de surveillance étatique, la CNIL considère que l’application française est entourée des garanties nécessaires pour la protection de la vie privée des citoyens.
On regrettera néanmoins l’absence de possibilité d’interopérabilité avec les dispositifs anti-Covid utiliséss par 17 de nos voisins européens lesquels ont opté pour des applications dites « décentralisées » permettant aux citoyens concernés de continuer à bénéficier du contact tracing lors de leurs déplacements à l’étranger.
Pour les plus sceptiques, rappelons que l’application peut être utilisée sans activer le Bluetooth afin d’obtenir en temps réel des renseignement relatifs à l’évolution de l’épidémie et aux mesures sanitaires.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)