StopCovid : l'application de suivi des contacts contrôlée par la Cnil

L'application StopCovid est disponible depuis le 2 juin dans les "App Store" des Smartphones. Déjà téléchargée 600 000 fois en une journée, elle permet d'informer les personnes entrées en contact rapproché avec un patient positif au Covid-19. Comment ça marche ? Que faire en cas de contact "positif" ? Quelles informations personnelles sont utilisées ? La Cnil passe au contrôle. Détails.

[Mise à jour le jeudi 4 juin 2020 à 21h33] L'application StopCovid est disponible depuis mardi 2 juin midi sur tous les smartphones. Et déjà la Cnil (Commission nationale de l'informatique et des libertés) se lance dans le contrôle des "entrailles" de l'appli pour vérifier que les données des utilisateurs sont bien supprimées et qu'elle respecte bien "les droits d'accès et d'opposition" des citoyens. L'appli rencontre un grand succès. Dès son lancement mardi, elle a été téléchargée plus de 600 000 fois sur l'Apple Store et le Play Store, selon les informations de Cédric O, secrétaire d'Etat au Numérique. Cette application a été développée dans le contexte de la pandémie de coronavirus qui a déclenché une crise sanitaire sans précédent. Toutes les populations sont alors appelées à modifier leurs comportements et à télécharger cette application d'alerte de cas positif au Covid-19 que l'on peut être amené à "croiser". Elle n'est pas rendue obligatoire mais elle est recommandée : "J'invite les concitoyens à l'utiliser pour se protéger et protéger les autres" a précisé le Premier ministre Edouard Philippe jeudi 28 mai lors de son point d'étape sur la phase 2 du déconfinement. "StopCovid est un outil complémentaire au travail des équipes de suivi (traçage) des contacts". Depuis le déconfinement, les pays redoutent une deuxième vague épidémique. Parmi les solutions pour l'éviter : une application sur smartphone élaborée pour "prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même et si besoin d'être pris en charge très tôt, ou bien de se confiner", avait ainsi expliqué le secrétaire d'Etat au Numérique Cédric O au Monde. L'application a reçu le vote favorable de l'Assemblée nationale et du Sénat. La CNIL a également donné son feu vert. 

Quel est le principe de fonctionnement ?

L'application StopCovid, une fois installée sur le smartphone prévient les personnes qui ont été en contact avec un malade testé positif au coronavirus. La personne alertée par une notification peut alors se faire dépister et être prise en charge au plus tôt : il lui sera demandé de s'isoler, de limiter ses déplacement, de porter un masque et de consulter un médecin ou d'appeler le 0800 130 000 afin de briser les chaînes de transmission du virus, même si elle ne développe aucun symptôme. Cette alerte suppose que la personne testée positive au Covid-19 se déclare comme telle : via un code à usage unique qui lui sera remis avec le résultat de son test, pour informer les utilisateurs de l'application avec qui elle entre en contact dans la rue, les magasins, les transports... L'anonymat est respecté dans le cadre strict des diverses conditions établies par les directives européennes en vigueur : le RGPD Règlement général sur la Protection des données. "Un véritable volontariat est la meilleure garantie du respect du Règlement général sur la protection des données (RGPD)" indique la présidente de la CNIL, Marie-Laure Denis. Le Premier ministre Edouard Philippe l'assure "Nous avons pris toutes les garanties nécessaires pour que StopCovid respecte les données personnelles et de vie privée de ceux qui l'utilisent, son utilisation sera anonyme." 

Comment fonctionne l'application Stop Covid ?

Lorsque les téléphones de deux personnes qui ont installé l'application vont se croiser à une distance de moins d'un mètre et pendant quinze minutes, le mobile de l'un enregistre les références de l'autre dans son historique via la connexion Bluetooth. Si une personne s'est déclarée positive au Covid-19 sur l'application StopCovid, (via un code à usage unique qui leur a été communiqué sur le résultat du test effectué) ceux qui auront été en contact avec elle seront prévenus de manière automatique, sur leur smartphone, via l'application : il sera notifié qu'il a été "en contact qualifié avec quelqu'un qui vient d'être testé positif sans savoir qui, quand, où" précise Aymeril Hoang expert en numérique au conseil scientifique dirigé par le Pr Jean-François Delfraissy. La technologie Bluetooth permet d'estimer la distance entre deux smartphones en mesurant la puissance du signal. "Une application identique à StopCovid : TraceTogether est utilisée à Singapour. Elle enregistre les rencontres entre deux personnes dans un rayon de deux mètres. Les données sont conservées, de manière chiffrée, pendant 21 jours sur le téléphone. Le ministère de la Santé peut y accéder sur demande pour identifier les personnes ayant été en contact", indique la CNIL en exemple. 

L'application sera-t-elle obligatoire ?

L'application n'est pas obligatoire. Elle devra être installée volontairement.

"J'invite les concitoyens à l'utiliser pour se protéger et protéger les autres" enjoint le Premier ministre E.Philippe.

Quelles sont les informations personnelles utilisées par Stop Covid ?

Selon la Commission nationale de l'informatique et des libertés (Cnil) l'application traite bien de données personnelles et de santé, mais elle "respecte le concept de protection des données dès la conception," car l'application utilise des codes "générés automatiquement et ne permettra pas de remontée de listes de personnes contaminées" explique Marie-Laure Denis, la présidente de la Cnil dans son avis rendu le 24 avril. Cette application ne demande donc aucune donnée personnelle : pas d'état civil, ni même de numéro de téléphone. La personne testée positive reçoit un code (chiffré et un QR Code) avec le résultat de son test positif au Covid-19, à saisir ou à scanner dans l'application. Elle choisit ensuite de prévenir toutes les personnes croisé dans les derniers jours pendant plus de 15 minutes et à moins d'un mètre. Pour ce faire, les données stockées sur le téléphone et sur le serveur sont conservées 14 jours avant d'être automatiquement effacées. Pour la Cnil "il en résulte que demeure un lien entre les "codes" et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée. Du fait de ce lien, la Commission estime que le dispositif traite des données à caractère personnel au sens du RGPD" souligne Marie-Laure Denis. Les données de géolocalisation ne pas utilisées. Et conformément au règlement général sur la protection des données (RGPD), il est possible de supprimer : les données stockées sur votre téléphone, les données stockées sur le serveur et les données liées à l'activation de Stopcovid.

Les limites de l'application 

La technologie développée pour cette application suppose que les personnes disposent individuellement d'un téléphone portable, le conservent avec eux tout au long de la journée, activent la fonction Bluetooth, acceptent de télécharger ce type d'application et d'y entrer le code fourni en cas de test positif au Covid-19. "Si une de ces associations se délite, alors toute cette chaîne de surveillance de la population s'interrompt." Or "25 % des Français n'ont pas de smartphone et ce taux est plus élevé chez les plus de 70 ans (44 %) (...) Il y a aussi la question de la compétence numérique et celle des zones blanches" souligne Marie-Laure Denis, la présidente de la Cnil le 15 avril au Sénat. Un autre point, sans doute aussi important que l'aval de la Cnil, les accords des entreprises Google et Apple sont incontournables pour mettre à disposition l'application StopCovid sur "Google Play" et "Apple Store", afin d'être installée sur les smartphones sous Android et les iPhone. Cédric O l'assure, l'application fonctionnera bien sur tous les smartphones. 

Sources :

LINC Laboratoire d'innovation numérique de la CNIL, Coronoptiques : des modèles épidémiologiques au contact tracing, rendre visible la contagion, par Antoine Courmont, pour la CNIL, 10 avril 2020

Avis de la CNIL, 24 avril 2020.

Code source et documentation de l'application StopCovid, INRIA, 12 mai 2020.

StopCovid c'est quoi, informations du gouvernement, 28 mai 2020.

Pourquoi StopCovid, informations du ministère de l'Economie et des finances, 21 mai 2020.

Gestion de l'épidémie