Carnets d'actualités

Application StopCovid et données personnelles

Application StopCovid et données personnelles

Publié le : 04/06/2020 04 juin juin 06 2020

Face à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation de l’épidémie, est disponible depuis le 2 juin dernier sur l’Apple Store et Google Play, et semble connaître un véritable succès. 

A quoi sert l’application StopCovid ? 

Développée par une équipe-projet d’acteurs du numérique et de la recherche française (INRIA, ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings), StopCovid est une application de « contact tracing » (suivi de contacts) et non de « contact tracking » supposant l’utilisation de la géolocalisation. Elle informe les utilisateurs s’ils ont été à proximité d’une personne diagnostiquée positive au Covid-19, disposant elle aussi de la même application, en vue de limiter la transmission du virus. 
Le 25 mai 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés), a rendu un avis globalement positif sur le projet de décret relatif à StopCovid. 
Le 27 mai 2020, le Parlement s’est prononcé en faveur du déploiement de l’application sur le territoire national. 

Comment fonctionne l’application StopCovid ? 

Une fois installée sur un téléphone portable, l’application utilise le système de liaison sans fil Bluetooth de l’appareil pour permettre d’estimer la distance entre deux appareils mobiles.
Si l’utilisateur a été en contact, pendant une durée significative et à une distance rapprochée (dans un rayon de 1,5 mètres environ), avec une personne porteuse du Covid-19, StopCovid l’en informe via une notification. L’utilisateur est alors invité à consulter un professionnel de santé, bien que la contamination ne soit pas forcément effective. 
En cas de test positif au virus, il est enregistré dans les deux autres systèmes d’information utilisés dans la lutte contre le Covid-19 : 
•    SIDEP : Service Intégré de Dépistage et de Prévention, (Ministère des Solidarités et de la Santé). 
•    Contact Covid, (Assurance Maladie). 
Toutefois, pour beaucoup, StopCovid porte atteinte à la vie privée et plus particulièrement aux données personnelles collectées. Qu’en-est-il ?

Quel sort des données personnelles collectées par l’application StopCovid ? 

Le Ministère des Solidarités et de la Santé, en charge de la politique sanitaire, a été désigné responsable de traitement et détermine les finalités de StopCovid (article 1er du projet de décret) : 
•    L’information de la personne utilisatrice du risque qu’elle ait été contaminée à son tour, après avoir été « en contact » avec une personne diagnostiquée positive au Covid-19 ; 
•    La sensibilisation des utilisateurs de l’application, identifiés comme contact à risque, sur les symptômes de la maladie, les gestes barrières et la conduite à adopter pour lutter contre la propagation du virus ; 
•    L’orientation des contacts à risque vers les acteurs de santé compétents pour leur prise en charge et l’accès aux examens de dépistage ; 
•    L’amélioration de l’efficacité du modèle utilisé par l’application pour la définition des cas contacts grâce à l‘utilisation de données statistiques anonymes au niveau national.

Dans le cadre de l’application StopCovid, plusieurs organismes agissent en qualité de sous-traitants, pour le compte du Ministère des Solidarités et de la Santé, dans le respect des dispositions de l’article 28 du RGPD, tel que l’INRIA, ou encore le fournisseur de service d’informatique en nuage (« cloud computing »), Outscale, puisqu’il héberge l’infrastructure de l’application. Sa certification en tant qu’hébergeur de données de santé permet d’assurer la sécurité des données collectées par l’application. 

Pour rappel, StopCovid est téléchargeable sur la base du volontariat. La visite d’un professionnel de santé, une fois l’alerte donnée par l’application, n’est pas non plus obligatoire, bien que fortement recommandée. Ces mesures permettent de répondre à l’obligation de loyauté et de licéité du traitement. Face aux menaces potentielles planant sur cette dernière, StopCovid a fait l’objet d’une AIPD (Analyse d’Impact relative à la Protection des Données), sur laquelle s’appuie la CNIL dans son rapport du 25 mai 2020. 

De plus, lors de la première ouverture de l’application, aucune donnée personnelle – telles que nom, prénom, adresse ou encore numéro de téléphone – pas demandée. Les données collectées ne sont pas nominatives mais les personnes exposées à la maladie utilisent des identifiants pseudonymes, stockés sur des serveurs centraux, et contrôlés par les autorités sanitaires. Aucun fichier de personnes contaminées ne sera créé dans ce contexte sanitaire. Concrètement, le Ministère s’assure de la minimisation et de l’exactitude des données collectées par l’application au cours de son utilisation. 

Sur la durée de conservation, l’article 5 du RGPD énonce qu’elles doivent être conservées pendant « une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Sur StopCovid, les données seront conservées pendant le temps de l’application et maximum six mois à compter de la fin de l’état d’urgence sanitaire. Concernant l’historique des données permettant de vérifier si le patient positif au Covid-19 a pu engendrer une contamination, elles sont conservées pendant quinze jours. Le Ministère a aussi mis à disposition l’intégralité du code source de l’application mobile. 

La sécurité des données est assurée par des clés de chiffrement pour accéder aux identifiants des personnes concernées et par un algorithme cryptographique, conformément aux recommandations de l’ANSSI. Il convient de préciser que l’application a recours à un système de « captcha » lors de l’initialisation de l’application, afin de vérifier que celle-ci est bien utilisée par une personne physique. Géré par Google, la CNIL appelle ainsi le « ministère à la vigilance ». Une solution devrait prochainement être trouvée. 

En ce qui concerne les droits reconnus aux utilisateurs dans le cadre du traitement de leurs données personnelles, l’application StopCovid les rappelle dans les mentions d’informations. Toutefois, au regard des caractéristiques du traitement, la CNIL précise dans son rapport que certains droits ne pourront pas être exercés. C’est le cas notamment du droit à la rectification, du droit à la limitation du traitement, ou encore le droit à la portabilité. 

Quelle comparaison faire avec l’API de Google et Apple ? 

Le choix d’une application « centralisée » par le gouvernement français répond à une volonté de sécurisation des données de santé face aux géants américains Google et Apple. Ces derniers ont développé une « solution comprenant des interfaces de programmation d’application (dites « API »). Les informations essentielles ne sont pas stockées sur des serveurs centraux mais directement sur les appareils mobiles des utilisateurs et circulent entre eux lorsque c’est nécessaire. Cette différence de stockage a incité certains pays, dont le Royaume-Uni et la France, à refuser ce second système afin d’assurer le respect et la sécurité des données personnelles des utilisateurs, en conformité avec le RGPD. Des pays européens se sont déjà tournés vers cette solution, tel que l’Allemagne ou encore l’Italie qui va tester une application de pistage baptisée « Immuni », très proche de StopCovid, et qui intègre l’API de Google et Apple. 

Alors que l’application StopCovid fait encore l’objet de nombreuses réticences à l’échelle nationale, aucune solution commune à l’échelle internationale n’a donc pu être développée. L’évolution de la crise sanitaire mondiale devrait nous donner, sans aucun doute, une idée de l’impact de cet outil technologique sur l’arrêt de la transmission du Covid-19, selon le système « centralisé » ou non, choisi par chacun des États. 
 
Par Ludovic de la Monneraye, du département IP/IT 

Historique

  • Données personnelles et invalidation du Privacy Shield : Quelles conséquences pour les entreprises ?
    Publié le : 20/07/2020 20 juillet juil. 07 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Dans un arrêt rendu jeudi 16 juillet 2020 (Arrêt Schrems II), la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2016/1250 de la Commission Européenne relative à l’adéquation de la protection assurée par le bouclier de protection des données UE - Etats-Unis, plus couramment ap...
  • Application StopCovid et données personnelles
    Publié le : 04/06/2020 04 juin juin 06 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    Face à la crise sanitaire actuelle, la technologie est utilisée comme outil supplémentaire pour tenter de maîtriser l’épidémie de Covid-19, dans le cadre de la stratégie dite de « déconfinement ». Bien que l’épidémie continue de ralentir, l’application StopCovid, destinée à enrayer la propagation...
  • La signature électronique : mode d’emploi et benchmark de 4 solutions !
    Publié le : 26/05/2020 26 mai mai 05 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    La signature électronique, beaucoup en ont entendu parler, certains l'ont pratiquée lors de la réception de colis, à la banque, de la signature d'un contrat, chez le notaire / l'avocat, d'autres enfin retardaient son adoption compte tenu de sa complexité (juridique, technique, financière…). La pa...
  • Conférence 16/ 04/ 2020 : Mieux comprendre le RGPD et la protection des données
    Publié le : 15/04/2020 15 avril avr. 04 2020
    We are vaughan
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Participez à la conférence en live sur Youtube Google Ateliers Numériques jeudi 16 avril. Vous pourrez appréhender la notion de donnée personnelle et découvrir les droits et obligations liés aux données personnelles pour les TPE/PME. Nous pourrons identifier les pièges à éviter et vous donner...
  • Données personnelles, cybersécurité et Coronavirus
    Publié le : 01/04/2020 01 avril avr. 04 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    Suite à l’émergence de l’épidémie de Covid-19, au développement massif du télétravail et la volonté des entreprises de protéger leur personnel, les questions liées à la cybersécurité et aux données personnelles doivent rester une préoccupation majeure des entreprises. Ces préoccupations sont soum...
  • Ce que vous devez savoir pour (ne pas) déposer la marque « CORONAVIRUS » ou « COVID 19 »
    Publié le : 27/03/2020 27 mars mars 03 2020
    Domaine d'expertise / Propriété intellectuelle & Numérique (IP / IT)
    Décryptage actualités
    A l’heure où nous traversons des jours difficiles, où nombreux sont ceux qui craignent pour la survie de leur activité, certains visionnaires ne se laissent pas abattre et décident de surfer sur la vague coronavirus qui traverse actuellement la planète. Depuis le début de l’épidémie, de nombre...
<< < 1 > >>
Information sur les cookies
Nous avons recours à des cookies techniques pour assurer le bon fonctionnement du site, nous utilisons également des cookies soumis à votre consentement pour collecter des statistiques de visite.
Cliquez ci-dessous sur « ACCEPTER » pour accepter le dépôt de l'ensemble des cookies ou sur « CONFIGURER » pour choisir quels cookies nécessitant votre consentement seront déposés (cookies statistiques), avant de continuer votre visite du site. Plus d'informations
 
ACCEPTER CONFIGURER REFUSER
Gestion des cookies

Les cookies sont des fichiers textes stockés par votre navigateur et utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site utilise des cookies d'identification, d'authentification ou de load-balancing ne nécessitant pas de consentement préalable, et des cookies d'analyse de mesure d'audience nécessitant votre consentement en application des textes régissant la protection des données personnelles.
Vous pouvez configurer la mise en place de ces cookies en utilisant les paramètres ci-dessous.
Nous vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
Google Analytics est un outil de mesure d'audience.
Les cookies déposés par ce service sont utilisés pour recueillir des statistiques de visites anonymes à fin de mesurer, par exemple, le nombre de visistes et de pages vues.
Ces données permettent notamment de suivre la popularité du site, de détecter d'éventuels problèmes de navigation, d'améliorer son ergonomie et donc l'expérience des utilisateurs.