L’annonce de la mise en place d’une application mobile de traçage numérique des citoyens Français, baptisée « StopCovid », est au cœur de tous les débats (conférence du Conseil de l’Europe).
Le Gouvernement français, s'inspire largement des autres États (voir la Partie 1) et du projet européen "Pan-European Privacy Preserving Proximity Tracing" (PEPP-PT), qui rassemble des chercheurs travaillant sur la conception d'application de "contact tracing". L’application, actuellement en phase de test, sera officiellement lancée le 2 juin 2020 (voir le site sur le portail de l’Économie, des Finances, de l'Action et des Comptes publics). Le pilotage opérationnel du projet a été confié à l’Inria, qui s’associe à plus de 130 acteurs publics et privés.
L’objectif de StopCovid serait de retracer le parcours social d’une personne, afin de la prévenir si elle a été en contact avec une personne malade testée positif et ainsi mieux prévenir de futures contaminations. Toutefois, la mise en œuvre de cette application, qui devrait être à la fois efficace sur le plan sanitaire, sécuritaire et la moins intrusive possible à l’égard du traitement des données personnelles, s’avère plus difficile que prévu.
Les institutions européennes ont rappelé que l’application ne pourrait totalement se défaire des grands principes du Règlement général sur la protection des données (RGPD) qui garantissent l’intégration de la protection des données personnelles par défaut et dès la conception de l’application (Privacy by Design et Privacy by Default - article 25 RGPD).
Dans un communiqué, l’Inria a souhaité rassurer les futurs utilisateurs de StopCovid car le Gouvernement français a, contrairement à d’autres États, refusé d’opter pour le système proposé par Apple et Google, de crainte pour la vie privée des usagers.
La CNIL, dans un premier avis, estime que le dispositif est conforme au RGPD, mais seulement s’il respecte un certain nombre de conditions. Elle relève :
- Son caractère volontaire : il ne pourrait y avoir de conséquences négatives en cas de non-utilisation
- L’exigence d’information claire et complète des utilisateurs et de relever leur consentement libre et éclairé
- Sa volonté de minimiser les données collectées : pas de collecte des données d’identification (nom, adresse…), utilisation du Bluetooth et non « des données de bornage GSM ni de géolocalisation ». Cette technologie ne permettrait donc pas de suivre le parcours d’un individu, mais uniquement de retracer la liste des téléphones, et donc des personnes, qui ont été à proximité de l’individu.
- La pseudonymisation des données : StopCovid attribuerait des « crypto-identifiants », sortes d’identifiants «générées de manière éphémères (pour une période de 15 minutes), associées à un terminal et non à une personne. » et accessibles seulement par la personne concernée. Aucun fichier regroupant les personnes contaminées ne sera créé.
Néanmoins, la CNIL souligne la nécessité de son utilisation temporaire, dans le cadre d'une stratégie sanitaire globale, et une conservation des données pour une durée limitée. En effet, elle appelle à une vigilance particulière contre une « banalisation » de son utilisation et la tentation du « solutionnisme technologique ».
Le 22 avril dernier, l’Académie nationale de médecine donne, elle aussi, un avis favorable à StopCovid mais pointe quelques problèmes relatifs à son efficacité :
- L’adhésion des Français : presque 20% de la population n’aurait pas de smartphone, existence de zones blanches, un sondage a montré que peu de Français ont l'intention de l'utiliser
- Les limites techniques du Bluetooth
Or, c’est notamment pour ces raisons que les autorités singapouriennes ont constaté l’échec de l’application TraceTogether.
StopCovid n’est donc pas l’unique solution à la crise sanitaire, mais pourrait seulement être un complément. Comme l'a dit la Présidente de la CNIL: "ce serait dangereux de penser qu’une application de ce type pourrait tout résoudre".
- elle ne peut fonctionner que si les malades, sensés prévenir les personnes croisées, sont testés et s’ils souhaitent partager l'information
- elle n’arrête pas les contaminations, mais permettrait seulement de les endiguer
Finalement, dans un second avis du 25 mai 2020, la CNIL "constate que ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre." Le Parlement, quant à lui, valide l'application le 27 mai dernier, après plus de quatre heures de débats.
A quelques jours de son lancement, lorsque des voix s’élèvent contre l’application, que la Commission nationale consultative des droits de l'Homme a donné un avis négatif à son utilisation, et que le Conseil de l'Ordre du barreau de Paris demande à ses avocats de ne pas l'installer, des questions subsistent :
Faut-il mettre en péril nos données lorsqu’il existe des risques importants d’inefficacité de cette application ? Comment seront stockées ces informations si aucune base de données centralisée n’est créée ? Y a-t-il des risques liés à la banalisation de ce système, restreignant in fine nos libertés ?
Le Gouvernement se veut rassurant, mais il est impossible d’en savoir davantage à ce jour.
Posted from my blog with SteemPress : http://blog.economie-numerique.net/2020/05/29/stopcovid-loutil-francais-de-la-gestion-du-deconfinement-partie-2/