IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

StopCovid : la CNIL relève plusieurs irrégularités sur l'application
Et donne un mois au ministère des Solidarités et de la Santé pour corriger les différents problèmes

Le , par Stéphane le calme

883PARTAGES

16  0 
Dans le contexte de l'état d'urgence sanitaire lié à l'épidémie de covid-19, et plus particulièrement de la stratégie dite de « déconfinement » menée par le gouvernement, le ministère des Solidarités et de la Santé a proposé dans les magasins d'applications App Store et PlayStore, depuis le 2 juin 2020, une application dénommée «StopCovid France », disponible sur smartphones tournant sur iOS et Android. Le traitement de données personnelles dénommé « StopCovid » a pour responsable de traitement le ministre chargé de la santé (direction générale de la santé).

L'application « StopCovid France » est une application de suivi de contacts (ou « contact tracing ») qui permet à chaque utilisateur d'enregistrer un historique de « contacts » avec d'autres utilisateurs, c'est-à-dire une information relative à la proximité entre deux terminaux mobiles. Elle permet à l'utilisateur de se déclarer diagnostiqué ou dépisté au virus SARS-CoV 2. Elle permet également aux utilisateurs d'être informés qu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus SARS-CoV-2 et, le cas échéant, d'être invités à prendre attache avec un professionnel de santé pour être pris en charge le plus rapidement possible et, ainsi, d'être intégrés dans le système plus général de gestion du virus SARS-CoV-2 (systèmes d'information « SI-DEP » et « Contact Covid »).

L'application, dont le téléchargement et l'utilisation reposent sur une démarche volontaire de l'utilisateur, fonctionne grâce à la conservation de l'historique de proximité, constitué des pseudonymes émis par les ordiphones via la technologie Bluetooth à basse consommation (Bluetooth Low Energy — BLE).

En pratique, une fois installée et les fonctionnalités activées, l'application émet des messages Bluetooth spécifiques et en reçoit en provenance d'autres ordiphones sur lesquels l'application « StopCovid France » a été installée et activée.

Si un utilisateur de l'application est diagnostiqué ou dépisté positif au virus SARS-CoV-2, il peut le déclarer dans l'application grâce à un code fourni par le professionnel de santé (via un code de 6 caractères ou un QR Code). L'utilisation de ce code par l'utilisateur lui permet d'envoyer son historique de « contacts » au serveur central qui traite alors chacun des contacts présents dans l'historique, afin d'en estimer le risque de contamination au virus SARS-CoV-2. Le serveur maintient une base de données dont chaque enregistrement correspond à un utilisateur et contient le score de risque associé à cet utilisateur.

L'application contacte une fois par jour le serveur afin de vérifier le statut d'exposition de l'utilisateur. Les utilisateurs ayant été en contact (à moins d'un mètre pendant au moins 15 minutes) avec la personne diagnostiquée ou dépistée positive sont prévenus qu'ils ont été exposés à un risque de contamination au virus SARS-CoV-2. Ils sont alors invités à suivre des consignes spécifiques liées à la protection de leur santé et à la lutte contre la propagation du virus (surveillance des symptômes, confinement, mise en relation avec un professionnel de santé).


La mise à jour

Une nouvelle version de l'application « StopCovid France » (version v1.1) a été déployée fin juin 2020, et constitue une version mise à jour de la version « StopCovid France » à sa date de lancement (version v1.0.). Cette nouvelle version de l'application apporte deux changements majeurs. D'une part, la méthode d'authentification par « captcha » - qui permet de vérifier lors de l'activation initiale de l'application que cette dernière est utilisée par un être humain - qui reposait sur la technologie « reCaptcha » de la société GOOGLE, est désormais remplacée par la technologie « captcha » développée par la société ORANGE. D'autre part, une fonction de préfiltre de l'historique des contacts de l'utilisateur qui se déclare positif au virus SARS-CoV 2, fondée sur des critères de durée et de distance du contact, est activée pour agir au niveau du téléphone de l'utilisateur.

À ce jour, les deux versions de l'application coexistent. Les utilisateurs qui ont téléchargé l'application à compter du 25 juin 2020 ou qui ont procédé à la mise à jour de l'application depuis cette date disposent sur leurs smartphones de la version v1.1.

Les contrôles de la CNIL

Durant le mois de juin, la CNIL a procédé à trois contrôles afin de s’assurer que le fonctionnement de l’application « StopCovid France » répond aux exigences de protection de la vie privée et des données personnelles de ses utilisateurs. Ils ont débuté le 9 juin dernier par un contrôle en ligne de l’application et l’envoi d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre. Ils se sont poursuivis par des contrôles sur place les 25 et 26 juin 2020.

Au jour des contrôles de la CNIL des 25 et 26 juin 2020, l'application « StopCovid France >> dans sa version v1.0 avait été téléchargée environ 1,9 million de fois et avait été activée environ 1,5 million de fois.

Ces contrôles ont permis de constater que le fonctionnement de « StopCovid France » respecte pour l’essentiel les dispositions applicables relatives à la protection des données à caractère personnel et que la plupart des préconisations formulées par la CNIL dans ses avis des 24 avril et 25 mai 2020 ont été prises en compte par le ministère des Solidarités et de la Santé.

En particulier, elle a estimé régulier le fait que l’adresse IP de l’équipement terminal soit utilisée par le système de sécurité dit anti DDOS (Distributed Denial of Service, ou déni de service distribué) déployé dans le cadre de l’application Stopcovid.

Lors de ses contrôles, la CNIL a toutefois constaté certains manquements aux dispositions du RGPD et de la loi Informatique et Libertés dans la première version de l’application. Concomitamment au contrôle de la CNIL, le ministère a rapidement déployé une deuxième version de l’application afin d’apporter des changements sur la manière dont les données sont traitées. À ce jour, les deux versions de l’application coexistent.


La CNIL a notamment relevé les points suivants lors de ses contrôles :
  • L’historique de contacts de l’utilisateur est désormais filtré afin de ne conserver que l’historique de proximité, à savoir les utilisateurs de l’application ayant été en contact à moins d’un mètre pendant au moins 15 minutes. Cependant, dans la première version de l’application toujours utilisée, ce filtrage est opéré au niveau du serveur central au lieu d’être réalisé au niveau du téléphone de l’utilisateur contrairement à ce que prévoit le décret. Ce problème a été résolu dans la seconde version de l’application déployée le 26 juin dernier. La CNIL demande à ce que l’utilisation de cette nouvelle version soit généralisée parmi les utilisateurs.
  • L’information fournie aux utilisateurs de l’application « StopCovid France » est quasiment conforme aux exigences du RGPD. Néanmoins, cette information devrait encore être complétée en ce qui concerne les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture.
  • Le contrat de sous-traitance conclu entre le Ministère et INRIA comporte un grand nombre d’informations exigées par le RGPD, mais nécessite encore d’être complété, en particulier en ce qui concerne les obligations du sous-traitant.
  • Une analyse d’impact relative à la protection des données a bien été réalisée par le Ministère, mais est incomplète en ce qui concerne des traitements de données réalisées à des fins de sécurité (solution anti-DDOS collectant l’adresse IP et recaptcha).

Les conclusions de la CNIL

Au regard des manquements constatés, le ministère des Solidarités et de la Santé a donc été mis en demeure de mettre l’application Stopcovid en conformité dans le délai d’un mois sur ces différents points. Il est également invité à engager dans les meilleurs délais une démarche d’évaluation du dispositif sur la contribution de l’application Stopcovid à la stratégie sanitaire globale et à rendre compte régulièrement de ses résultats à la CNIL.

Compte tenu du nombre particulièrement important de personnes concernées (près de 2 millions d’utilisateurs) et du caractère sensible des données personnelles issues de l’application « StopCovid France », qui portent sur l’état de santé des utilisateurs, le Bureau de la CNIL a décidé de rendre publique cette mise en demeure.

Cette publicité contribue également à l’objectif de transparence du contrôle mené par la CNIL sur les conditions et modalités du fonctionnement de l’application « StopCovid France », mise en œuvre par un responsable public dans le cadre d’une mission d’intérêt public. À cet égard, elle permet de sensibiliser les usagers de l’application à la nécessité d’accepter la mise à jour afin de disposer d’une application plus protectrice de leurs données.

La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le ministère des Solidarités et de la Santé se conforme au RGPD et à la loi Informatique et Libertés dans le délai imparti. Dans ce cas, la clôture de la procédure sera également publique. Dans le cas contraire, la Présidente pourra saisir la formation restreinte de la CNIL afin qu’une sanction soit prononcée.

Source : CNIL

Voir aussi :

Covid-19 : seuls 3,1 % des Français ont téléchargé l'application StopCovid, selon une étude de Sensor Tower
StopCovid : l'application collecte bien plus de données que ce que le gouvernement avait annoncé, le secrétariat d'État au numérique s'explique
StopCovid : l'association anticorruption ANTICOR s'interroge sur le coût de maintenance de l'application et alerte le parquet national financier sur des soupçons de favoritisme

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pierre-y
Membre chevronné https://www.developpez.com
Le 26/08/2020 à 16:03
A si il y a eu les résultats voulu. La boite du bon copain qui a eu ça en charge c'est fait un max de blé dessus et si je ne me plante a même surfacturé les serveurs.
10  1 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 21/07/2020 à 10:22
Et je trouve ce genre d'article sur le COVID bien plus pertinent que ces soi-disant applis de suivi :

https://theconversation.com/covid-19...afrique-139943

les Africains ont l'expérience d'Ebola. Les asiatiques ont l'expérience de la grippe aviaire (et quelques autres). et on continue à ignorer leurs retours d'expérience. Pas étonnant qu'on en prenne plein la tronche. L'article est sans doute angéliste par bien des aspects, mais il point une faille réelle de l'occident : son complexe de supériorité.
8  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 04/12/2020 à 2:12
Moi je veux bien faire la prochaine appli du gouvernement, seulement 1 M € au lieu de 6 M €, offre spéciale Black friday

Macron, j'attends ton coup de fil

PS : je n'oublierais pas évidement de verser 500 000 € à la fondation Brigitte Macron comme convenu la dernière fois
9  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 09/06/2021 à 20:48
Citation Envoyé par Stéphane le calme Voir le message
Dans sa délibération, la CNIL émet des doutes quant à la sécurité des données transmises.
Des doutes...
Des doutes ?
Elle voit noir sur blanc que les données sont en clair et elle se contente d'émettre des doutes sur la sécurité des données ?
Elle se fout de qui là, la CNIL ?

Encore un bel exemple de son abandon de poste. Quand c'est ambiguë, elle se garde bien de dire quoi que ce soit, et se contente de relever les évidences grosses comme des maisons en les relativisant. C'est juste honteux !

Citation Envoyé par Stéphane le calme Voir le message
Si ces modalités de stockage peuvent être admises compte tenu des contraintes techniques et de la nécessité de mettre en œuvre, à brève échéance, le système de contrôle des justificatifs, elle appelle néanmoins le Gouvernement à mettre en place des mesures d’information des personnes
C'est le gouvernement qui décide des dates. S'il n'est pas capable de fournir ce qu'il faut en temps et en heure, il recule la date. S'il ne veut pas reculer la date, alors qu'il mette les moyens nécessaires pour faire un travail de qualité en temps et en heure. Si c'est une question de sécurité sanitaire, et vu le temps qu'on a passé chez nous, on n'est plus à une semaine près. Ça fait combien de temps qu'il bosse sur cette foutue application ? Non, un tel niveau de sécurité n'a rien d'acceptable.

Gouvernement d'incompétents soutenu par des contrôleurs incompétents ! C'est juste scandaleux !
9  1 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 20/01/2021 à 13:36
Citation Envoyé par Stan Adkens Voir le message
La personne flash ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu.
Je crois qu'il faut également que le téléphone soit connecté à internet

Citation Envoyé par Stan Adkens Voir le message
L’avis du CCL-Covid évoque que les codes QR pourraient être déployés dans un large éventail de lieux publics fermés où le risque de transmission du SARS-CoV-2 est élevé, dont les transports en commun. Le cabinet de Cédric O précise quant à lui que la fonctionnalité a surtout été pensée pour accompagner la réouverture des bars, restaurants et salles de sport, dont la date n’est toujours pas connue.
Il y a quelque chose que je n'ai pas trouvé dans l'article :
- Est-ce qu'il est possible d'entrer dans le lieu public sans flasher le QR Code ?
- Si ce n'est pas le cas, comment on contrôle qu'une personne a flashé le QR Code avec succès ? Et comment on l'empêche d'entrer dans le lieu public si elle ne l'a pas fait ?

Par contre si c'est facultatif, il n'y a aucun problème, les gens qui n'ont pas de smartphone pourront aller au bar et à la salle de sport.
7  0 
Avatar de ijk-ref
Membre confirmé https://www.developpez.com
Le 24/03/2021 à 17:00
Citation Envoyé par ddoumeche Voir le message
La France vient de perdre plus de 250 milliards à cause du covid et de la médiocrité intersidérale de la santé, et Anticor s'inquiète du coût dérisoire d'une application. Application qui ne sert probablement à rien mais qu'il serait bête de ne pas avoir dans le cas contraire. Ces associations n'ont plus les pieds sur terre elles non plus.
Rien ne tient dans tes propos. Anticor est une association anticorruption donc elle est dans son rôle de dénoncer une potentielle corruption. Sa fonction n'est pas de jouer aux cartes et de se plaindre du coût du Covid dû à sa gestion. C'est encore plus ridicule quand tu prétends qu'elle dénonce l'utilisation d'une telle application alors que c'est clairement écrit que ce n'est pas sa fonction.
7  0 
Avatar de Almopine
Membre averti https://www.developpez.com
Le 15/12/2020 à 15:17
Ayant travaillé sur des applications TRES grand publique, je connais pas mal le sujet de la géolocalisation

Quels commentaires faites-vous des coûts liés au développement et à la maintenance de StopCovid au regard des résultats obtenus ?
Les coûts de développement ne me choque absolument pas, c'est exactement ce qu'aurais déboursé une entreprise en voulant se lancer dans une nouvelle application rapidement, c'est à dire, créer un comité d'expert en interne de 7/8 personnes dédiées qui vont à leur tour prendre chacun des prestataires pour faire l'avant projet et pouf tu as déjà dépassé largement le million de budget avant même d'avoir écrit le moindre cahier des charges.

Seulement après des semaines de réunionnite aigu, on se décide enfin à prendre un presta pour la réalisation cette fois, prestataire qui lui même vas externaliser auprès d'un autre qui n'est absolument pas un expert sur les applications mobiles. Et surtout le médiocre cahier des charges n'est pas réalisable parce que au final PERSONNE connaissait réellement les spécificités des applications mobiles.

L'exemple même, c'est qu'ils ne savaient pas qu'Apple interdit aux tiers d'accéder à des fonctionnalités pour identifier les appareils autours par le bluetooth et qu'ils sont allé leur demander de lever ce verrou, chose qu'Apple a déjà refusé à l'état américain il y a plus de 10 ans donc bien sûr qu'ils se sont heurtés à un mur ... Apple à littéralement envoyé un lien de leur documentation pour leur expliquer qu'ils devaient demander la permission à l'utilisateur pour le faire mais que ça ne serait pas une fonctionnalité par défaut de l'OS. Le principe de permission sur iOS c'est littéralement le truc le plus BASIQUE du développement et là on était à plus de 3 mois de projets déjà

Le coût d'hébergement vue les données et la sensibilité de celle-ci, ça me choque pas. L'Etat français ne peut pas se permettre de déconner la dessus.

Selon vous, qu’est-ce qui n’a pas marché avec StopCovid et que le gouvernement français devrait corriger pour éviter le même échec avec TousAntiCovid ?
Déjà c'est une première expérience pour l'état français d'avoir une application pour s'aider en temps de crise, donc forcément il y allait avoir des ratés. Le projet reste une réussite, son coût est TRES loin d'être exorbitant surtout qu'il y avait la communication, au final l'application fonctionne.

Le problème c'est qu'elle est sortie 4/5 mois trop tard.

Pour éviter ce genre de situation, il faut du génie civil, il faut des tasks forces capable de répondre rapidement à toute problématique, à défaut d'avoir des experts embauché en permanence par le gouvernement, ils doivent être identifié et pouvoir rapidement apporter leurs expertises, c'est pourquoi il est important d'avoir de la recherche en IT chose qui nous fait défaut.

Les défauts du projet sont pas lié à l'état mais au prestataire derrière.
6  0 
Avatar de smarties
Membre éclairé https://www.developpez.com
Le 24/03/2021 à 12:32
Les licences (69.676 € TTC/an), le support utilisateur (720.000€ TTC/an), l’animation du déploiement (432.000€ TTC/an), l’hébergement (576.000€ TTC/an)
Licences, ils utilisent un SGBD propriétaire à ce prix là ? Oracle ?
Support utilisateur : ça doit faire environ 25 personnes
Hébergement : le prix me parait beaucoup trop élevé
Animation du déploiement : le prix me parait beaucoup trop élevé aussi
6  0 
Avatar de brulain
Membre habitué https://www.developpez.com
Le 26/08/2020 à 14:10
Dans le contexte actuel, la mission des managers qui nous gouvernent est triple :
  • Favoriser le business des entreprises pharmaceutiques (vaccin à venir).
  • Ralentir la grogne montante depuis de nombreux mois.
  • Se protéger au mieux d'éventuelles conséquences juridiques.


Leur bidule est un ingrédient du 3ème point qui, comme le reste, ne sert à rien, ce qui constitue un moindre mal.
6  1 
Avatar de watchinofoye
Membre confirmé https://www.developpez.com
Le 26/08/2020 à 16:00
Citation Envoyé par Patrick Ruiz Voir le message
Êtes-vous en accord avec l’avis selon lequel l’installation de StopCovid sur la base du volontariat est pour beaucoup dans l’explication de son échec ?
Suivi de la propagation du coronavirus par smartphones : qu’est-ce qui n’a pas marché selon vous ? Quels sont les facteurs qui expliquent cet échec
En admettant qu'il soit possible d'obliger les gens à installer l'application (quid des gens qui n'ont pas de smartphones, par choix ou par contrainte ?), ça n'aurait vraiment eu d'effet que si les gens se soumettaient au bon vouloir de l'Etat, ce qui est loin d'être le cas en Europe (heureusement, d'ailleurs). Une obligation aurait très probablement provoqué une réactance de la part des gens, qui auraient trouvé des combines (comme désactiver le Bluetooth, l'installer sur un vieux smartphone secondaire qui reste bien sagement à la maison).
De plus, l'application n'est pas vraiment fiable, soulève certaines questions sur son implémentation douteuse et choque par le coût de sa maintenance. Si on veut chercher des causes de son échec, je proposerais plutôt de chercher de ce côté-là.
5  0