Si un certain nombre de correctifs ont été appliqués, tous les utilisateurs ne disposent pas de la bonne version de StopCovid car ils n'ont pas effectué la mise à jour de l'application. La Cnil estime notamment qu'il faut "forcer" cette actualisation.

La Commission nationale de l'Informatique et des Libertés avait mis en demeure le ministre de la Santé.
La Commission nationale de l'Informatique et des Libertés avait mis en demeure le ministre de la Santé. © AFP

C'était il y a un mois. Le 15 juillet, la Commission nationale informatique et libertés (Cnil) mettait en demeure le ministre des Solidarités et de la Santé à propos de l’application StopCovid. Si, dans l’ensemble, ce système de traçage numérique est jugé "satisfaisant" par l'autorité parce qu’il respecte le Règlement général sur la protection des données (RGPD), plusieurs manquements avaient été relevés. En conséquence, la Cnil avait donné un délai aux autorités - et au premier rang l'Inria - pour procéder aux correctifs, qui doivent donc normalement intervenir avant ce week-end.

Pré-filtrage et captcha

"StopCovid permet de signaler que vous êtes contaminé puis de prévenir les personnes avec lesquelles vous avez été en contact plus de 15 minutes et à un mètre de distance, sous réserve qu’elles aient aussi téléchargé l’application. Dans l’ancienne version proposée au téléchargement, l’application ne permettait pas un pré-filtrage des données [il se faisait sur un serveur central, NDLR]. Il y a donc désormais un système de filtrage qui permet de détecter si vous avez été à proximité et le temps de cohabitation avec la personne. Nous demandions que ce pré-filtrage se fasse au niveau du téléphone", explique Mathias Moulin, directeur de la direction de la protection et des droits à la Cnil. 

"Une deuxième demande concernait le Captcha, un petit outil qui vise à sécuriser l’utilisation de l’application", ajoute-t-il. "Dans la première version, cette technologie impliquait la remontée de données vers les serveurs de Google puisque c’est une technologie de l'entreprise et réutilisait ainsi une partie des données pour ses propres analyses. Cela nécessitait de reposer sur le consentement de l’utilisateur, ce qui n’était pas fait. Dans la nouvelle version, c’est une technologie de Orange qui est utilisée, sans réutilisation à d’autres fins. Donc il n’est plus nécessaire de recueillir le consentement des personnes."

Mise à jour

Mais si les développeurs se sont conformés aux exigences de la Cnil, le reproche majeur est surtout que cette application n’est pas, dans sa version déjà en partie modifiée (1.1), accessible à tous les utilisateurs. En l’absence de communication, sur les deux millions d’utilisateurs qui ont téléchargé StopCovid sur leur smartphone, seuls les derniers téléchargements ou les 147 000 personnes qui ont effectué la mise à jour bénéficient des correctifs. La Cnil demande en conséquence que la mise à jour soit "forcée", c’est-à-dire de faire en sorte "d’inhiber l’utilisation de la première version en l’empêchant de fonctionner si elle n’a pas été mise à jour".

"Le plus important est cette question de la mise à jour de l’application", poursuit Mathias Moulin. "Car en fonction de la version que vous avez, si vous passez à la V1.1, ces questions sont résolues. Le pré-filtrage est fait au niveau du téléphone et le Captcha ne transmet plus de données à une société tierce. En revanche si vous êtes sur la version initiale, le pré-filtrage se fait donc toujours au niveau du serveur, ce qui n’est pas conforme au décret."

Un frein au téléchargement ?

Pour Mathais Moulin, ce ne sont pas des "points critiques" mais des "ajustements". Il se félicite d'ailleurs que StopCovid soit, à l’arrivée, une application très franco-française. Cela "a permis d’avoir une finesse de contrôle importante. Si les données étaient parties dans un autre pays, on n’aurait pas pu avoir le même niveau de contrôle sur les données. On a pu aller sur les serveurs, interroger toutes les personnes impliquées". La publication de la mise en demeure comme les contrôles successifs sont selon lui "ce qui doit permettre aux gens d’avoir un bon niveau d’information et de juger en conscience". Il estime que la mise en garde n’a pas agi comme un frein au téléchargement.

Est-ce alors seulement l’absence de communication à son sujet du gouvernement qui explique la timidité des français à utiliser StopCovid ? Après la date limite, faut-il s’attendre à une campagne d’incitation au téléchargement ? La Cnil a en tout cas prévu des contrôles tous les trois mois pour s’assurer que ses demandes soient exaucées et que les Français soient clairement informés des données recueillies dans le cadre de cette crise sanitaire et de leur utilisation. 

Une communication défaillante, c’est une fois encore un point-clé dans la gestion de la pandémie. À ce jour, sans "réclame", le nombre de personnes ayant téléchargé StopCovid reste très faible. Bien trop pour être d’une quelconque utilité dans la recherche des contacts.

Ce contenu n'est pas ouvert aux commentaires.