La CNIL donne son aval au déploiement de StopCovid dont l'algorithme de chiffrement a été remplacé

Bercy en profite pour partager des captures d'écran de l'application

Dans le cadre de la stratégie globale de « déconfinement progressif », le Gouvernement a prévu la mise en œuvre de plusieurs dispositifs numériques. Le Gouvernement a souhaité mettre à disposition de la population une application mobile, disponible sur smartphones et dénommée « StopCovid ». Son objectif est d’informer les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué positif au COVID-19. Il s’agit d’un dispositif de « suivi de contacts » (contact tracing), qui repose sur le volontariat des personnes et se fonde sur la technologie Bluetooth.

La CNIL s’était prononcée le 24 avril 2020 sur le principe de la mise en œuvre d’une telle application et avait formulé un certain nombre de préconisations. Elle a rendu public un second avis le 26 avril 2020 où elle note que ses principales recommandations formulées dans le premier avis ont été suivies.

Par exemple, l’INRIA faisait appel à l’algorithme 3DES pour chiffrer l’identifiant des utilisateurs, algorithme qui avait été déconseillé par la CNIL dans sa délibération du 24 avril 2020. Comme l’a noté la CNIL dans son second avis, conformément à la recommandation de l’ANSSI, l’INRIA l’a remplacé par SKINNY-CIPHER64/192 : « sur le recours à des mécanismes cryptographiques, la Commission rappelle s’être prononcée dans son avis sur la nécessité d’utiliser des algorithmes cryptographiques à l’état de l’art et conformes au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle note à cet égard que le protocole a évolué, l'algorithme de chiffrement 3DES ayant été remplacé par SKINNY-CIPHER64/192, tel que recommandé par l’ANSSI ».

Étant donné que ses recommandations ont été suivies dans l’ensemble, la CNIL estime qu’il est possible de déployer cet instrument :

« La Commission rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions. Par ailleurs, des données à caractère personnel concernant la santé seront traitées.

« Elle constate que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées, mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.

« Les principales recommandations de la CNIL, formulées dans son avis du 24 avril afin de compléter les garanties initialement prévues par le Gouvernement, ont été suivies. Elles concernent notamment la responsabilité du traitement confiée au ministère en charge de la politique sanitaire, l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application, ou encore la mise en œuvre de certaines mesures techniques de sécurité.

« La CNIL estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus ».

Néanmoins, la CNIL estime que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière. Elle a également émis de toutes nouvelles recommandations parmi lesquelles :

• L’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles.
• La nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs.
• La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.
• Le libre accès à l’intégralité du code source de l’application mobile et du serveur.

Des captures d’écran disponibles

Le ministère de l’Économie et des Finances a partagé des premières captures d'écran de l'application StopCovid qui pourrait être lancée dès le 2 juin prochain sur Android et iOS. L’application dispose également d’un thème sombre.

Une fois téléchargée et installée sur le smartphone, l’application affiche trois grandes rubriques (« protéger », « me déclarer » et « partager ») dans lesquelles des options supplémentaires sont visibles. Ces rubriques sont accessibles manifestement une fois que l’utilisateur confirme une nouvelle fois au premier lancement de l’application qu’il veut bien participer au traçage des contacts.


A priori, vous ne pourrez pas être identifié comme un porteur du Covid-19 si vous n’avez eu un code fourni par une autorité de santé : « vous avez effectué un test de COVID-19 et il est positif ? Votre médecin ou laboratoire vous a remis un code : merci de le rentrer pour que les personnes que vous avez croisées soient alertées ». Le code sera inscrit sur les résultats du test Covid-19 seulement s’il est positif. Il pourra être entré manuellement ou scanné via un code QR. Il s’agit probablement d’une mesure pour éviter d’avoir de fausses déclarations.

Pour rappel, l’utilisation de l’application sera basée sur le volontariat, comme l’a déjà indiqué le gouvernement. Cependant, les autres écrans partagés par le ministère montrent notamment une rubrique qui incite les utilisateurs à promouvoir l’application.


Une autre capture montre également à quoi ressemblera une notification reçue via StopCovid. Voici le message d’alerte :


Vous pourrez désactiver temporairement StopCovid si vous le souhaitez, un bouton est prévu à cet effet et des écrans de réglages sont également accessibles depuis l’onglet Protéger : Gérer mes données et Confidentialité.

L’application est techniquement prête, mais la décision de la déployer n’est pas encore prise. Un débat parlementaire est prévu à partir du 27 mai 2020. Visiblement, les captures d'écran ont été faites depuis un iPhone. Un choix qui n'est peut-être pas fortuit. En effet, lors de son audition par la commission des Lois du Sénat, Cédric O, secrétaire d’État au numérique, a déclaré que l’équipe de développeurs chargée de mettre au point l’application rencontre actuellement des « difficultés techniques avec le système d’exploitation des mobiles de marque Apple ». D'après lui, le problème réside sur le fait que les applications fonctionnant en arrière-plan seraient « progressivement éteintes et déconnectées » automatiquement par l’iPhone. « Nous avons besoin qu’Apple modifie cet élément (…) faute de quoi l’application européenne telle qu’elle a été conçue ne pourra pas fonctionner correctement »

Invité sur BFM Business, il n'a pas manqué de le rappeler : « Nous considérons que la surveillance du système de santé, la lutte contre le coronavirus, est une affaire de gouvernements et pas nécessairement de grandes entreprises américaines » avant de dire qu’il ne comprenait pas la raison pour laquelle Apple refuse d’apporter son aide à la France. StopCovid fonctionne grâce au Bluetooth et Apple a opposé son veto quand la France lui a demandé d’amoindrir l’accès au Bluetooth de l’iPhone pour lui faciliter la tâche.

« Apple aurait pu nous aider à faire fonctionner l'application encore mieux sur l'iPhone. Ils n'ont pas souhaité le faire », a-t-il déclaré Cédric O. «  Je le regrette, alors que nous sommes dans une période où tout le monde est mobilisé pour lutter contre l'épidémie, et qu'une grande entreprise qui se porte si bien sur le plan économique refuse d’aider un gouvernement dans cette crise », a-t-il continué.

Ces captures d'écran sur iOS seraient-elles le signe que l'équipe a réussi à contourner ce problème ?

Source : délibération de la CNIL, captures d'écran StopCovid (ministère de l’Économie et des Finances)