Application StopCovid : cinq questions pour comprendre l'application de traçage numérique

La Commission nationale de l'informatique et des libertés a donné son feu vert, mardi, à la mise en route de cette application. Son objectif est de pouvoir retrouver les utilisateurs qui ont été en contact avec une personne testée positive au Covid-19, pour contrer l'épidémie.

Un aperçu de l\'application StopCovid, le 26 mai 2020. 
Un aperçu de l'application StopCovid, le 26 mai 2020.  (DAVID HIMBERT / HANS LUCAS)

Dernier épisode d'une série de rebondissements : l'application StopCovid est validée par le gendarme des libertés informatiques. La Cnil (Commission nationale de l'informatique et des libertés) donne son feu vert, mardi 26 mai, pour la mise en route de l'application de traçage française contre la propagation du Covid-19. Annoncée le 8 avril par le gouvernement, elle ne devrait être mise en place que début juin. A condition qu'elle obtienne un dernier aval : celui des députés et sénateurs, qui doivent se prononcer sur le sujet mercredi 27 mai.

>> Epidémie de coronavirus : l'article à lire pour comprendre les enjeux autour de l'application StopCovid développée par la France

La mise en place de l'interface a suscité ces dernières semaines de nombreuses suspicions. Des voix se sont élevées pour marquer leur opposition au projet porté par le ministère de la Santé et le secrétariat d'Etat au Numérique. Pour cause : l'application faisait craindre de nombreux problèmes informatiques, techniques mais aussi juridiques. Franceinfo fait le point en cinq questions. 

1À quoi va-t-elle servir ?

Alors que le déconfinement se poursuit, la perspective d'un rebond épidémique ou "deuxième vague" est toujours présent. Pour l'éviter, il faut parvenir à enrayer la chaîne de transmission du virus. Comment ? En plus des mesures de distanciation sociale encouragées, le gouvernement a décidé de mettre en place des "brigades Covid".

Visuel de l\'application StopCovid
Visuel de l'application StopCovid (CAPTURE D'ÉCRAN)
L'application StopCovid a pour objectif d'apporter "une aide complémentaire au travail des médecins et de l’Assurance-maladie pour identifier les 'personnes contacts' et les prendre en charge", explique le site du ministère de l'Économie. La technologie permettrait d'obtenir des listes de contact plus exhaustives que celles que peuvent constituer les brigades, notamment en identifiant des personnes hors cadre familial et amical " qui ont été à proximité d'une personne testée positive". Ce serait le cas, par exemple des personnes croisées à la boulangerie ou dans les transports en commun. 

2A qui est-elle destinée ?

A priori, à tous. Ou du moins aux détenteurs d'un smartphone équipé de la technologie du Bluetooth. En 2019, 77% des Français possédaient un smartphone, selon le baromètre du numérique

L'application de "suivi de contact" ou "contact tracing" sera gratuitement téléchargeable. Toutefois, pour espérer qu'elle porte ses fruits, il faut qu'elle soit utilisée par le plus grand nombre d'utilisateurs. Par plus de 80% ou plus de la population, estime l'association La Quadrature du Net, elle-même opposée au projet. 

 Comment fonctionne-t-elle ?

L'application sera disponible sur tous les systèmes d'exploitation mobile (Android et iOS). Elle devra donc être téléchargée, et le bluetooth de l'appareil devra être actif pour permettre au système de recenser les contacts entre les utilisateurs. Pour cela, l'outil de traçage n'utilisera pas la géolocalisation mais bien la connexion bluetooth, qui permet d'identifier des appareils tiers à proximité. Chaque smartphone sera doté d'identifiants chiffrés, qui changeront au fil du temps pour éviter que le lien entre l'utilisateur et son identifiant ne puisse être fait.

Capture d\'écran de l\'application StopCovid. 
Capture d'écran de l'application StopCovid.  (CAPTURE D'ÉCRAN)

Ainsi, si vous allez vous balader ou faire des courses et que vous rencontrez des personnes utilisant StopCovid, votre téléphone enregistrera leurs identifiants anonymisés dans l'historique de l'application. Si vous développez des symptômes quelques jours plus tard et que vous réalisez un test qui s'avère positif au Covid-19, le laboratoire vous fournira un QR code que vous pourrez importer sur l'application. 

Ce dernier permettra à StopCovid de prévenir automatiquement tous les utilisateurs que vous avez croisés dans les deux semaines précédentes à moins d'un mètre et pendant plus de quinze minutes. Les smartphones des utilisateurs de l'application vérifient régulièrement si leurs identifiants chiffrés figurent sur ces listes. Si c'est le cas, ils affichent une alerte. Pour cela, ils se connecteront à un serveur central qui "assurera le stockage et la transmission d'un certain nombre de données nécessaires au fonctionnement global du dispositif" précise la Cnil dans un rapport publié mardi 26 mai.  

4Est-elle obligatoire ?

Non, le téléchargement et l'utilisation de l'application ne se fera que "sur la base du volontariat", a précisé le gouvernement. La Cnil insiste dans son rapport pour que ce volontariat "signifie aussi qu’aucune conséquence négative" ne soit attachée "à l’absence de téléchargement ou d’utilisation de l’application". 

5Y a-t-il un risque pour nos données personnelles ?

C'est l'un des points noirs de ce dispositif. Il suppose en effet de s'enregistrer et de relever l'identifiant de toutes les personnes que nous croisons pour ensuite permettre un traitement automatisé de ces identifiants. Un projet auquel se sont opposés des spécialistes du numérique et des juristes. L'association La Quadrature du Net et l'Observatoire des libertés et du numérique ont ainsi appelé à rejeter le projet, qu'elles qualifient de "technologie de surveillance" "portant une grave atteinte à nos libertés". 

Un avis que partage en partie la Cnil, qui considère "que ce projet pose des questions inédites en termes de protection de la vie privée" et propose donc plusieurs modifications pour assurer la pleine sécurité des données personnelles qui pourront transiter via l'application et le serveur relié.

La Commission nationale de l'informatique et des libertés demande ainsi que des mesures soient prises pour "éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal" et que les "clés de chiffrement permettant l’accès aux identifiants des personnes concernées" soient "protégées via des modules de sécurité matériels" et par "des tiers de confiance indépendants". 

Cependant, si elle demande des améliorations, la Cnil considère que le dispositif n'enfreint aucun cadre juridique, car il n'implique pas la création d'une liste des personnes déclarées malades, mais des listes d'identifiants anonymisés et chiffrés. Les données personnelles des utilisateurs sont donc a priori protégées. Toutefois, il revient au gouvernement et à l'institut de recherche en informatique français (Inria) qui a développé l'application, de s'assurer qu'aucun lien ne pourra pas être fait entre un pseudonyme chiffré et des caractéristiques spécifiques d'un smartphone, permettant d'indentifer un utilisateur.

Onglet \"mes données\" de l\'application. 
Onglet "mes données" de l'application.  (CAPTURE D'ÉCRAN)

Le dispositif de protection des données personnelles des utilisateurs pourrait évoluer dans les prochains jours, en réponse aux préconisations de l'institution, mais également à celles des députés et sénateurs, sous réserve qu'ils en émettent. Si modifications il y a, le gendarme des libertés devrait en être informé : "La Commission demande, après la tenue du débat au Parlement et s’il était décidé de recourir à un tel instrument, qu’elle soit à nouveau saisie", précise le communiqué de la Cnil.