Carnets d'actualités

Application StopCovid et données personnelles

Application StopCovid et données personnelles

Publié le : 04/06/2020 04 juin juin 06 2020

Face à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation de l’épidémie, est disponible depuis le 2 juin dernier sur l’Apple Store et Google Play, et semble connaître un véritable succès. 

A quoi sert l’application StopCovid ? 

Développée par une équipe-projet d’acteurs du numérique et de la recherche française (INRIA, ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings), StopCovid est une application de « contact tracing » (suivi de contacts) et non de « contact tracking » supposant l’utilisation de la géolocalisation. Elle informe les utilisateurs s’ils ont été à proximité d’une personne diagnostiquée positive au Covid-19, disposant elle aussi de la même application, en vue de limiter la transmission du virus. 
Le 25 mai 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés), a rendu un avis globalement positif sur le projet de décret relatif à StopCovid. 
Le 27 mai 2020, le Parlement s’est prononcé en faveur du déploiement de l’application sur le territoire national. 

Comment fonctionne l’application StopCovid ? 

Une fois installée sur un téléphone portable, l’application utilise le système de liaison sans fil Bluetooth de l’appareil pour permettre d’estimer la distance entre deux appareils mobiles.
Si l’utilisateur a été en contact, pendant une durée significative et à une distance rapprochée (dans un rayon de 1,5 mètres environ), avec une personne porteuse du Covid-19, StopCovid l’en informe via une notification. L’utilisateur est alors invité à consulter un professionnel de santé, bien que la contamination ne soit pas forcément effective. 
En cas de test positif au virus, il est enregistré dans les deux autres systèmes d’information utilisés dans la lutte contre le Covid-19 : 
•    SIDEP : Service Intégré de Dépistage et de Prévention, (Ministère des Solidarités et de la Santé). 
•    Contact Covid, (Assurance Maladie). 
Toutefois, pour beaucoup, StopCovid porte atteinte à la vie privée et plus particulièrement aux données personnelles collectées. Qu’en-est-il ?

Quel sort des données personnelles collectées par l’application StopCovid ? 

Le Ministère des Solidarités et de la Santé, en charge de la politique sanitaire, a été désigné responsable de traitement et détermine les finalités de StopCovid (article 1er du projet de décret) : 
•    L’information de la personne utilisatrice du risque qu’elle ait été contaminée à son tour, après avoir été « en contact » avec une personne diagnostiquée positive au Covid-19 ; 
•    La sensibilisation des utilisateurs de l’application, identifiés comme contact à risque, sur les symptômes de la maladie, les gestes barrières et la conduite à adopter pour lutter contre la propagation du virus ; 
•    L’orientation des contacts à risque vers les acteurs de santé compétents pour leur prise en charge et l’accès aux examens de dépistage ; 
•    L’amélioration de l’efficacité du modèle utilisé par l’application pour la définition des cas contacts grâce à l‘utilisation de données statistiques anonymes au niveau national.

Dans le cadre de l’application StopCovid, plusieurs organismes agissent en qualité de sous-traitants, pour le compte du Ministère des Solidarités et de la Santé, dans le respect des dispositions de l’article 28 du RGPD, tel que l’INRIA, ou encore le fournisseur de service d’informatique en nuage (« cloud computing »), Outscale, puisqu’il héberge l’infrastructure de l’application. Sa certification en tant qu’hébergeur de données de santé permet d’assurer la sécurité des données collectées par l’application. 

Pour rappel, StopCovid est téléchargeable sur la base du volontariat. La visite d’un professionnel de santé, une fois l’alerte donnée par l’application, n’est pas non plus obligatoire, bien que fortement recommandée. Ces mesures permettent de répondre à l’obligation de loyauté et de licéité du traitement. Face aux menaces potentielles planant sur cette dernière, StopCovid a fait l’objet d’une AIPD (Analyse d’Impact relative à la Protection des Données), sur laquelle s’appuie la CNIL dans son rapport du 25 mai 2020. 

De plus, lors de la première ouverture de l’application, aucune donnée personnelle – telles que nom, prénom, adresse ou encore numéro de téléphone – pas demandée. Les données collectées ne sont pas nominatives mais les personnes exposées à la maladie utilisent des identifiants pseudonymes, stockés sur des serveurs centraux, et contrôlés par les autorités sanitaires. Aucun fichier de personnes contaminées ne sera créé dans ce contexte sanitaire. Concrètement, le Ministère s’assure de la minimisation et de l’exactitude des données collectées par l’application au cours de son utilisation. 

Sur la durée de conservation, l’article 5 du RGPD énonce qu’elles doivent être conservées pendant « une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Sur StopCovid, les données seront conservées pendant le temps de l’application et maximum six mois à compter de la fin de l’état d’urgence sanitaire. Concernant l’historique des données permettant de vérifier si le patient positif au Covid-19 a pu engendrer une contamination, elles sont conservées pendant quinze jours. Le Ministère a aussi mis à disposition l’intégralité du code source de l’application mobile. 

La sécurité des données est assurée par des clés de chiffrement pour accéder aux identifiants des personnes concernées et par un algorithme cryptographique, conformément aux recommandations de l’ANSSI. Il convient de préciser que l’application a recours à un système de « captcha » lors de l’initialisation de l’application, afin de vérifier que celle-ci est bien utilisée par une personne physique. Géré par Google, la CNIL appelle ainsi le « ministère à la vigilance ». Une solution devrait prochainement être trouvée. 

En ce qui concerne les droits reconnus aux utilisateurs dans le cadre du traitement de leurs données personnelles, l’application StopCovid les rappelle dans les mentions d’informations. Toutefois, au regard des caractéristiques du traitement, la CNIL précise dans son rapport que certains droits ne pourront pas être exercés. C’est le cas notamment du droit à la rectification, du droit à la limitation du traitement, ou encore le droit à la portabilité. 

Quelle comparaison faire avec l’API de Google et Apple ? 

Le choix d’une application « centralisée » par le gouvernement français répond à une volonté de sécurisation des données de santé face aux géants américains Google et Apple. Ces derniers ont développé une « solution comprenant des interfaces de programmation d’application (dites « API »). Les informations essentielles ne sont pas stockées sur des serveurs centraux mais directement sur les appareils mobiles des utilisateurs et circulent entre eux lorsque c’est nécessaire. Cette différence de stockage a incité certains pays, dont le Royaume-Uni et la France, à refuser ce second système afin d’assurer le respect et la sécurité des données personnelles des utilisateurs, en conformité avec le RGPD. Des pays européens se sont déjà tournés vers cette solution, tel que l’Allemagne ou encore l’Italie qui va tester une application de pistage baptisée « Immuni », très proche de StopCovid, et qui intègre l’API de Google et Apple. 

Alors que l’application StopCovid fait encore l’objet de nombreuses réticences à l’échelle nationale, aucune solution commune à l’échelle internationale n’a donc pu être développée. L’évolution de la crise sanitaire mondiale devrait nous donner, sans aucun doute, une idée de l’impact de cet outil technologique sur l’arrêt de la transmission du Covid-19, selon le système « centralisé » ou non, choisi par chacun des États. 
 
Par Ludovic de la Monneraye, du département IP/IT 

Historique

<< < ... 27 28 29 30 31 32 33 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK