
L'application « StopCovid France » est une application de suivi de contacts (ou « contact tracing ») qui permet à chaque utilisateur d'enregistrer un historique de « contacts » avec d'autres utilisateurs, c'est-à-dire une information relative à la proximité entre deux terminaux mobiles. Elle permet à l'utilisateur de se déclarer diagnostiqué ou dépisté au virus SARS-CoV 2. Elle permet également aux utilisateurs d'être informés qu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus SARS-CoV-2 et, le cas échéant, d'être invités à prendre attache avec un professionnel de santé pour être pris en charge le plus rapidement possible et, ainsi, d'être intégrés dans le système plus général de gestion du virus SARS-CoV-2 (systèmes d'information « SI-DEP » et « Contact Covid »).
L'application, dont le téléchargement et l'utilisation reposent sur une démarche volontaire de l'utilisateur, fonctionne grâce à la conservation de l'historique de proximité, constitué des pseudonymes émis par les ordiphones via la technologie Bluetooth à basse consommation (Bluetooth Low Energy — BLE).
En pratique, une fois installée et les fonctionnalités activées, l'application émet des messages Bluetooth spécifiques et en reçoit en provenance d'autres ordiphones sur lesquels l'application « StopCovid France » a été installée et activée.
Si un utilisateur de l'application est diagnostiqué ou dépisté positif au virus SARS-CoV-2, il peut le déclarer dans l'application grâce à un code fourni par le professionnel de santé (via un code de 6 caractères ou un QR Code). L'utilisation de ce code par l'utilisateur lui permet d'envoyer son historique de « contacts » au serveur central qui traite alors chacun des contacts présents dans l'historique, afin d'en estimer le risque de contamination au virus SARS-CoV-2. Le serveur maintient une base de données dont chaque enregistrement correspond à un utilisateur et contient le score de risque associé à cet utilisateur.
L'application contacte une fois par jour le serveur afin de vérifier le statut d'exposition de l'utilisateur. Les utilisateurs ayant été en contact (à moins d'un mètre pendant au moins 15 minutes) avec la personne diagnostiquée ou dépistée positive sont prévenus qu'ils ont été exposés à un risque de contamination au virus SARS-CoV-2. Ils sont alors invités à suivre des consignes spécifiques liées à la protection de leur santé et à la lutte contre la propagation du virus (surveillance des symptômes, confinement, mise en relation avec un professionnel de santé).
La mise à jour
Une nouvelle version de l'application « StopCovid France » (version v1.1) a été déployée fin juin 2020, et constitue une version mise à jour de la version « StopCovid France » à sa date de lancement (version v1.0.). Cette nouvelle version de l'application apporte deux changements majeurs. D'une part, la méthode d'authentification par « captcha » - qui permet de vérifier lors de l'activation initiale de l'application que cette dernière est utilisée par un être humain - qui reposait sur la technologie « reCaptcha » de la société GOOGLE, est désormais remplacée par la technologie « captcha » développée par la société ORANGE. D'autre part, une fonction de préfiltre de l'historique des contacts de l'utilisateur qui se déclare positif au virus SARS-CoV 2, fondée sur des critères de durée et de distance du contact, est activée pour agir au niveau du téléphone de l'utilisateur.
À ce jour, les deux versions de l'application coexistent. Les utilisateurs qui ont téléchargé l'application à compter du 25 juin 2020 ou qui ont procédé à la mise à jour de l'application depuis cette date disposent sur leurs smartphones de la version v1.1.
Les contrôles de la CNIL
Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. Ils ont débuté le 9 juin dernier par un contrôle en ligne de l’application et l’envoi d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre. Ils se sont poursuivis par des contrôles sur place les 25 et 26 juin 2020.
Au jour des contrôles de la CNIL des 25 et 26 juin 2020, l'application « StopCovid France >> dans sa version v1.0 avait été téléchargée environ 1,9 million de fois et avait été activée environ 1,5 million de fois.
Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été prises en compte par le ministère des Solidarités et de la Santé.
En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.
Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. À ce jour, les deux versions de l’application coexistent.
La CNIL a notamment relevé les points suivants lors de ses contrôles :
- L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployée le 26 juin dernier. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
- L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Néanmoins, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
- Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD, mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
- Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère, mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).
Les conclusions de la CNIL
Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points. Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.
Compte tenu du nombre particulièrement important de personnes concernées (près de 2 millions d’utilisateurs) et du caractère sensible des données personnelles issues de l’application « StopCovid France », qui portent sur l’état de santé des utilisateurs, le Bureau de la CNIL a décidé de rendre publique cette mise en demeure.
Cette publicité contribue également à l’objectif de transparence du contrôle mené par la CNIL sur les conditions et modalités du fonctionnement de l’application « StopCovid France », mise en œuvre par un responsable public dans le cadre d’une mission d’intérêt public. À cet égard, elle permet de sensibiliser les usagers de l’application à la nécessité d’accepter la mise à jour afin de disposer d’une application plus protectrice de leurs données.
La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti. Dans ce cas, la clôture de la procédure sera également publique. Dans le cas contraire, la Présidente pourra saisir la formation restreinte de la CNIL afin qu’une sanction soit prononcée.
Source : CNIL
Voir aussi :


