StopCovid, enfin téléchargeable (mais difficile à trouver) peut démarrer. Voici les liens et quelques bases technico-juridiques.

Finalement, l’application mobile StopCovid à la française a donné lieu à une présentation officielle, à un avis de la CNIL, à un vote au parlement, à un décret ce week-end… et à une diffusion un peu tardive ce jour sur les appstores d’Apple et d’Android. Avec une efficacité prévisionnelle qui donne lieu à débats, et un contenu en tensions entre centralisation ou décentralisation technique, entre libertés et efficacité. 

 

 

NB : à ne pas confondre avec l’application de tracing réservée à l’Etat et aux ARS issue de la loi du 11 mai 2020.  Voir :

 

 

I. Accès sur les stores ce jour

 

Le Gouvernement et l’Inria ont du un peu louper les mots clefs car l’application, au moins sur l’AppStore d’Apple est un peu dure à trouver.

Voici un lien :

 

Et sur Androïd :

II. Voir la FAQ du Gouvernement et le site dédié

 

 

III. Données juridiques de base (en avril)

 

III.A. L’avis de la CNIL (en date du 24 avril 2020)

 

Le texte qui suit reprend mot pour mot celui de la CNIL

Dans le cadre de l’état d’urgence sanitaire lié à l’épidémie de COVID-19, et plus particulièrement de la stratégie globale de « déconfinement », la CNIL a été saisie d’une demande d’avis par le secrétaire d’État chargé du numérique. Celle-ci concerne l’éventuelle mise en œuvre de « StopCovid » : une application de suivi de contacts dont le téléchargement et l’utilisation reposeraient sur une démarche volontaire. Les membres du collège de la CNIL se sont prononcés le 24 avril 2020.

Dans le contexte exceptionnel de gestion de crise, la CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) si certaines conditions sont respectées. Elle relève qu’un certain nombre de garanties sont apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes.

La CNIL appelle cependant à la vigilance et souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale. Elle demande certaines garanties supplémentaires. Elle insiste sur la nécessaire sécurité du dispositif, et fait des préconisations techniques.

Elle demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

 

 

III.B. L’avis du Conseil national du numérique (24 avril 2020)

 

En réponse à sa saisine par le secrétaire d’État chargé du Numérique le 17 avril dernier, le Conseil national du numérique a rendu lui aussi un avis favorable sur l’application StopCOVID.

Cet avis se fonde sur trois éléments :

• L’application peut s’avérer utile dans la lutte contre la pandémie, en tant qu’élément d’une stratégie plus globale. Une telle application doit être unique et spécifiée par l’État afin de garantir sa souveraineté numérique.
• Une série de conditions doivent être assurées afin de garantir l’intérêt général et l’État de droit. Elles touchent à la confiance des citoyens, qui doit s’appuyer sur la transparence et l’indépendance du contrôle de l’application, ainsi que sa limitation dans le temps et la reconnaissance de son caractère exceptionnel.
• L’inclusion, l’accessibilité et la loyauté de l’information sont les facteurs-clés de la réussite de son déploiement. À ce titre, l’accent doit être mis sur l’expérience utilisateur de l’application, l’accompagnement des publics fragiles ou éloignés du numérique et la mobilisation des acteurs de la médiation numérique.

Dans un effort de pédagogie et afin d’éclairer un débat passionnel, le Conseil détaille ses positions en proposant plusieurs pistes de réponses sur des problématiques technique, sociétale, d’acceptabilité, de confiance et de communication soulevées par l’application.

Afin d’accompagner son avis, le Conseil émet quinze recommandations, parmi lesquelles :

  1. Créer un comité de pilotage, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application.
  2. Renommer l’application « AlerteCOVID » pour ne pas lui faire porter de fausses promesses.
  3. Favoriser une seule application pour la France, sous l’autorité du Ministère de la Santé.
  4. Encadrer l’application par un décret fixant les conditions de sa mise en œuvre, sa durée dans le temps et des garanties sur la protection des données.
  5. Clarifier les procédures à suivre en cas de réception d’une notification ou de test positif .
  6. Organiser des séances de questions-réponses entre les citoyens et les responsables politiques, par exemple à travers des directs sur des médias généralistes (sur les mêmes modalités, organiser des séances à destination de la communauté technique et de la médiation).
  7. Mobiliser les acteurs de terrain (collectivités, structures de médiations, associations) pour évaluer les besoins et accompagner les plus éloignés du numérique, voire participer à leur équipement.
  8. Comme toutes les organisations mobilisées pour accompagner la décision collective dans cette période de crise sanitaire, le Conseil rappelle qu’il n’est qu’en mesure de fournir une lecture sous forme de « photographie », représentative de ses connaissances à la date de sa publication. Le développement de l’application et de toutes les briques qui la composent n’est pas terminé.

 

VOICI CET AVIS DÉTAILLÉ DE 25 PAGES :

 

III.C. Les orientions de la Commission européenne

 

Au JOUE du 17 avril était diffusée une importante Communication de la Commission intitulée « Orientations sur les applications soutenant la lutte contre la pandémie de COVID-19 en ce qui concerne la protection des données» ((2020/C 124 I/01).

VOICI CE DOCUMENT TRÈS PRÉCIS :

 

La Commission est assez stricte sur les informations en matière de responsable du traitement, de contrôle et d’information des utilisateurs, de stockage des données (avec partage aux cas de contamination confirmés avec consentement exprès), de respect du RGPD et du principe de minimisation (utilisation uniquement des données indispensables), de conservation des données, d’accès au code source, d’association des structures nationales comme la CNIL, etc.

 

III.D. Les lignes directrices du CEPD

 

Dans la foulée, les lignes directrices (« guidelines ») très précises ont été diffusées par le CEPD (European Data Protection Board ; EDPB). Les voici (en anglais) :

 

IV. Le projet français tel que coordonné par l’INRIA sur une base plus ouverte que ce qui résultait des choix initiaux

 

La France avait commencé par refuser (au nom d’une indépendance nationale que l’on peut certes bien comprendre) les offres d’Apple et de Google visant à un outil mondial sans transmission de données (voir ici et  ou encore de ce côté là ; au contraire de l’Allemagne ce qui peut comme ici être interprété comme une défaite teutonne — voir ici une présentation de ce tonneau là — ou au contraire être perçu comme un pragmatisme, outre-Rhin, intelligent et surtout plus respectueux des droits : voir ici pour une approche en ce sens) ?

Avouons-le : nous étions dès lors dubitatifs en voyant les tentatives de recoller les morceaux via notamment des discussions entre Orange et Apple (voir ici)…

Et puis badaboum vers les 10 à 13 mai.

Au moment où l’Etat de son côté lance son application de tracing mais à son usage exclusif (rien à voir avec stopcovid donc si ce n’est que justement tout le monde confond les deux… et qu’à cette occasion le Conseil constitutionnel a émis un nouveau principe de surcroît de vigilance pour les données de santé : voir ici pour la loi et voir là pour la décision du Conseil constitutionnel…)… au moment précis où est promulguée cette loi n° 2020-546 du 11 mai 2020 donc, voici que l’application StopCovid à la française… devient d’une part sauvée des eaux et d’autre part plus si franco-française et plus si fermée sur elle-même que prévu.

L’Inria est l’institut national de recherche en sciences et technologies du numérique (voir ici).

L’Inria pilote depuis le 7 avril 2020 le développement de l’application « StopCovid » auquel contribue à titre gracieux un ensemble d’acteurs publics et privés, au sein de l’équipe-projet StopCovid, qui rassemble ANSSI, Capgemini, Dassault Systèmes, INSERM, Lunabee, Orange, Santé Publique France et Withings, et que complète un écosystème de contributeurs. Ce projet contribue à la gestion de la crise sanitaire Covid-19 et au suivi épidémiologique par les autorités de santé.

Le projet repose sur l’implémentation d’un protocole, ROBERT (voir en annexe).

OR, L’INRIA A FINALEMENT RÉUSSI À INSÉRER LE SYSTÈME APPLE DANS SON RÉGIME (mais avec ou sans coordination avec l’application Apple elle-même ?) et, plus surprenant encore, l’Allemagne (là encore via le régime proposé par Android et Apple ?)

Dès le 18 avril, la version 1 du protocole de communication ROBERT avait été publiée par Inria mais en lien, déjà, avec l’Allemagne (via Fraunhofer/AISEC, dans le cadre d’un projet franco-allemand).

Sur la base de ce protocole, les développeurs membres de l’équipe-projet StopCovid ont travaillé à l’implémentation des premières briques fonctionnelles de l’application et de son infrastructure, dans l’optique de proposer une application déployable opérationnellement en tant que de besoin, dans le cadre d’un calendrier fixé par le gouvernement.

La publication des codes sources et de la documentation de StopCovid a démarré le 12 mai, selon l’INRIA. Avec un régime moins centralisé qu’avant, ce qui rassurera peut être un peu certaines associations inquiètes sur ce point.

La technologie utilisée est celle du bluetooth : il n’y aurait donc aucune géolocalisation.

Les travaux en cours étudient la faisabilité d’une application qui pourrait fonctionner de la manière suivante :

  • L’utilisateur installe de manière volontaire l’application sur son téléphone. Au moment de l’installation, l’application s’enregistre auprès du serveur central (opéré par une autorité sanitaire) qui génère et partage un ensemble d’identifiants temporaires et pseudonymisés avec l’application de l’utilisateur (« crypto-identifiants éphémères»). Ce protocole vise à  protéger l’utilisateur en prenant toutes les dispositions utiles pour qu’un observateur externe ou l’utilisateur de l’application ne puisse relier ces identifiants ensemble et les utiliser pour suivre l’utilisateur dans le temps.
  • Lorsqu’un utilisateur de l’application est testé ou diagnostiqué positif, il peut donner son consentement pour partager alors son historique de proximité avec l’autorité centrale à travers l’utilisation d’un QR code (hypothèse retenue à ce stade) remis par un professionnel de santé, étant entendu que le QR code n’est relié ni à la personne ni au test. L’autorité centrale reçoit ainsi l’historique de proximité, sans aucune information sur l’utilisateur qui les transmet (ni ses pseudonymes ni a fortiori ses informations personnelles). Cet historique de proximité se rajoute ainsi à une liste de crypto-identifiants potentiellement « à risque ».

Pour vérifier si un utilisateur a été en contact avec un utilisateur ayant été déclaré positif, les applications envoient régulièrement leurs crypto-identifiants à l’autorité centrale. Celle-ci vérifie si les crypto-identifiants font partie de la « liste à risque ». Si c’est le cas, alors l’autorité centrale renvoie l’information vers l’application et l’utilisateur est informé.

L’évolution du code prévoit l’analyse et l’intégration éventuelle des améliorations qui seront soumises par la communauté des développeurs pour les parties appropriées.  Les mises à jour de l’application seront disponibles au fur et à mesure.

En parallèle un ensemble de tests a été réalisé courant mai :

  • tests techniques, indispensables, pour des projets de ce type : tests unitaires, tests fonctionnels, tests de montée en charge, etc.
  • tests de terrain, pour compléter des tests déjà réalisés par les partenaires européens de StopCovid, notamment en matière d’évaluation de la « brique Bluetooth ».
  • tests de simulation de conditions « réelles de la vie quotidienne » : comment se comporte le système dans un centre commercial, dans un transport en commun, dans un lieu de travail avec une forte densité de personnes.

Notamment, un test de trois jours a été réalisé par 60 militaires armés de téléphones de 17 marques différentes.

 

V. Le second avis de la CNIL

 

Par une délibération n° 2020-056 du 25 mai 2020, la CNIL a :

  • rappelé que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions. Par ailleurs, des données à caractère personnel concernant la santé seront traitées.
  • constaté que l’application « StopCovid » ne conduira pas à créer une liste des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudonymisées. Elle respecte ainsi le concept de protection des données dès la conception.
  • renouvelé ses recommandations du 24 avril (voir ci-avant) portant notamment sur :
    • la responsabilité du traitement confiée au ministère en charge de la politique sanitaire,
    • l’absence de conséquence juridique négative attachée au choix de ne pas recourir à l’application,
    • la mise en œuvre de certaines mesures techniques de sécurité.
  • estimé que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus.
  • souligné que l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement. La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière.

 

Surtout, compte tenu de la sensibilité de l’application, la CNIL a formulé dans ce nouvel avis plusieurs recommandations complémentaires parmi lesquelles :

  1. L’amélioration de l’information fournie aux utilisateurs, en particulier s’agissant des conditions d’utilisation de l’application et des modalités d’effacement des données personnelles.
  2. La nécessité de délivrer une information spécifique pour les mineurs et les parents des mineurs.
  3. La confirmation dans le décret à venir d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.
  4. Le libre accès à l’intégralité du code source de l’application mobile et du serveur.

 

 

VI. Les étapes de finalisation dont le décret ce WE

L’INRIA a ensuite passé son application au crash test consistant à la mettre entre les mains de hackers pour chercher d’éventuelles failles (Bug Bounty). Voir :

 

Mardi 26 mai après-midi, la commission des lois a auditionné Cédric O, Secrétaire d’État auprès du Ministre de l’économie et des finances et du Ministre de l’action et des comptes publics, chargé du numérique.

Ce jour, à 15h, il y aura à l’Assemblée Nationale en plénière une déclaration du Gouvernement « relative aux innovations numériques dans la lutte contre l’épidémie de covid-19 », suivie d’un débat et d’un vote (art. 50-1 de la Constitution).

Mais auparavant, à savoir ce matin, ledit Cédric O aura planché devant la commission des lois du Sénat…. avant un débat au Sénat cet après-midi et un vote pour avis ce soir.

Pour un aperçu, et pour les derniers débats relatifs à l’efficacité ou non de telles applications, voir :

 

Puis vint le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » (NOR: SSAZ2012567D) : https://www.legifrance.gouv.fr/eli/decret/2020/5/29/SSAZ2012567D/jo/texte

 

 

 

ANNEXES

1. L’avis de la Quadrature du net, de la LDH, de la CNDH, etc.

 

Il n’aura pas été difficile de deviner que la Quadrature du net aura face à ces positions été à tout le moins critique. Voir :

 

Voir aussi une tribune parue dans le Monde et que nous diffusons ici via sa reproduction sur le site de la Quadrature du Net afin que les non abonnés à ce quotidien puissent y accéder :

 

Voir la position de la Ligue des droits de l’homme sous la forme d’une lettre ouverte très argumentée :

 

Pour une position radicale :

 

Voir aussi l’avis de la CNCDH rendu en autosaisine :
www.cncdh.fr/sites…es.pdf

2. Confusions possibles

 

Diverses applications utilisent déjà le nom de stopcovid ou des termes proches. Ce qui entraîne des confusions :

 

3. Accès au protocole « Robert » (à jour en avril sauf que l’on a évolué vers un régime moins centralisé depuis semble-t-il)

 

Voir :

 

4. Tests locaux

 

https://www.bloomberg.com/news/articles/2020-05-07/paris-tests-face-mask-recognition-software-on-metro-riders

https://www.datakalab.com/detection-de-masques

 

 

5. Articles intéressants