Le gouvernement a lancé le jeudi 22 octobre dernier l’application « TousAntiCovid », une version mise à jour de Stopcovid, avec le même but que celle-ci : avertir l’utilisateur s’il a été en contact avec une personne positive au Covid-19.
Le fonctionnement de l’application TousAntiCovid
TousAntiCovid est une application de « contact tracing » (ou recherche de cas contacts). Elle utilise le signal bluetooth d’un téléphone pour détecter un smartphone à proximité. Un utilisateur qui a été en contact prolongé, c’est-à-dire à moins d’un mètre pendant au moins quinze minutes, avec une personne contagieuse est averti par une notification.
L’application TousAntiCovid, développée par l’INRIA (Institut national de recherche en informatique et en automatique), repose sur le même protocole d’aide à l’identification des cas contacts que StopCovid, mais apporte des fonctionnalités nouvelles que la version 1.0 n’offrait pas : plus interactive, avec un suivi de situation nationale et la possibilité de télécharger l’attestation de déplacement.
Les moyens mis en œuvre pour protéger les données des utilisateurs
L’application française de tracing contact repose sur le volontariat en France, contrairement à la Russie ou la Turquie où l’usage d’une application mobile de traçage par les malades du Covid-19 est obligatoire.
TousAntiCovid ne stocke que l’historique de proximité d’un téléphone mobile. Dès lors, il n’est pas possible de connaître l’identité d’un utilisateur de l’application, ni qui il a croisé, ni où, ni quand. L’utilisateur peut également faire le choix d’effacer son historique.
L’application est basée sur un modèle centralisé, c’est-à-dire que les historiques de proximité sont échangés entre l’utilisateur et un serveur. Dans le cas d’une application basée sur un modèle décentralisé, comme en Allemagne, en Belgique ou au Royaume-Uni, les « crypto identifiants » des personnes testées positives sont envoyés dans tous les téléphones via un serveur. Selon le Gouvernement, le choix du modèle centralisé permet d’éviter qu’un serveur ne collecte la liste des personnes testées positives et que cette liste ne circule, ou ne soit stockée, sur un serveur ou sur des téléphones.
Concernant la transparence du développement de l’application, l’INRIA a publié une partie de son code source, pour des raisons de sécurité de l’infrastructure. « On peut donc consulter le code, les développements effectués, ainsi que les bugs corrigés, les problématiques trouvées en matière de sécurité » a déclaré le hacker éthique Guillaume Vassault-Houlière, lors d’une interview accordée à France 3.
Une application décriée…
Pour les défenseurs de la vie privée, cette application met en danger les libertés et la vie privée ; « La Quadrature du Net » fait notamment état des risques de basculement vers une société de surveillance.
Parmi les effets indésirables de cette application, l’association dénonce également « une acclimatation sécuritaire » avec pour corollaire un pas vers des technologies catégoriquement rejetées aujourd’hui telles que la reconnaissance faciale.
Cette application est également discutable du point de vue éthique. On peut redouter l’émergence d’une société de technoprophètes, avec la croyance aveugle dans la technologie comme réponse aux crises.
Toutefois, il convient de rappeler le caractère temporaire de TousAntiCovid qui a été mise en œuvre dans le cadre de l’état d’urgence sanitaire et n’a pas vocation à perdurer après la crise.
… mais conforme au RGPD
L’application qui compte aujourd’hui près de 10 millions d’utilisateurs a été déclarée conforme au RGPD par la Commission nationale de l’informatique et des libertés (CNIL). Dans son avis du mois d’avril 2020, la CNIL saisie sur le projet d’application Stopcovid indique qu’elle respecte le concept de « protection des données dès la conception », car elle utilise des pseudonymes et ne permet pas de remontée de listes de personnes contaminées.
Le déploiement de la nouvelle version n’a pas nécessité de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation de « TousAntiCovid ».
L’application reste sous la surveillance de la CNIL : dans son avis du 23 octobre 2020, l’Autorité de contrôle indique être « mobilisée afin de s’assurer du respect de la vie privée des utilisateurs de l’application ». Un nouvel avis sera publié d’ici la fin de l’année.
Sonia Boucheneb
Master 2 Cyberjustice promotion 2020/2021
Sources :
http://www.leptidigital.fr/technologie/tousanticovid-contact-tracing-18354
https://www.gouvernement.fr/info-coronavirus/tousanticovid
https://www.cnil.fr/fr/focus-sur-le-projet-dapplication-mobile-tousanticovid-stopcovid
