Une Application mobile de détection des porteurs du Covid-19

Mise à jour du 28 mai 2020:

C'est article est mis à jour suite au dernier avis de la CNIL du 26 avril 2020 et du vote du Parlement français du 27 mai 2020

Suite au vote consultatif favorable du parlement du 27 mai 2020 par 338 voix pour et 215 voix contre, le gouvernement français va mettre à disposition du public à partir du weekend prochain sur les magasins en ligne Apple Store et Google Play Store l'application mobile StopCovid. Cette application vise à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et utilisant la même application, cette proximité induisant un risque de contamination.

Principe de fonctionnement de StopCovid

Cette application permettra de collecter des informations d'identification anonymisées de la part de personnes consentantes l’ayant téléchargée et configurée correctement sur leur smartphone.

Parmi ces personnes, les porteurs du virus Covid-19 seront invités à se déclarer sur un serveur via l’application pour permettre aux personnes de leur entourage ayant activé la même application d’être prévenues et signalées au serveur d’un risque de contamination.

Ce mode de fonctionnement, exclut l’usage de la géolocalisation par GPS, par les Réseaux radio ou par la Box Internet.

Par contre il nécessite l’activation de Bluetooth pour détecter la proximité d’un autre smartphone et l’activation des Données mobiles (ou du WiFi) pour les échanges avec le serveur

Pour aller plus loin

Cet article propose des informations principalement extraites de l'avis de la CNIL (Commission Nationale de l'Informatique et des Libertés) sollicitée sur le sujet, ainsi qu'un certain notre de liens pour élargir le champ des sources d'information.

Numerinaute n'a pas la prétention de vous indiquer "ce que vous devez faire ni penser" sur le sujet, mais de vous apporter :

  • des sources d'information par les liens ci-dessous
  • de vous proposer un diaporama de vulgarisation sur le fonctionnement du mobile dans son environnement radio
  • un focus sur les points qui nous semblent importants dans l'avis de la CNIL

Au sujet de l'Avis de la CNIL (Mise à jour du 26 avril 2020)

L'application sera installée que sur la base du volontariat. Mais la CNIL met en garde contre une dérive pouvant conduire à une obligation de fait par des structures particulières comme les entreprises, les cliniques, les transporteurs, etc...

Le principe de l'application consiste à permettre au porteur d'un smartphone (ordiphone pour parler français, comme nos amis Canadiens), de détecter dans un rayon d'une dizaine de mètres la présence d'un autre smartphone dont le porteur aurait accepté de déclarer qu'il est porteur du Coronavirus. Il faut que l'application soit active, et que l'usager ait aussi activé Bluetooth. (Il n'est pas précisé dans les documents référencés ci-dessous, si l'application devra être lancée par l'usager ou bien activée en tâche de fond au démarrage du smartphone?).

Il existe bien un serveur destiné à collecter des informations venant des applications StopCovid installées sur les smartphones .  Cela implique que l'usager dispose d'un accès au réseau Internet, par les données cellulaires, ou bien avec accès WiFi par un point d'accès public ou à domicile.

La CNIL s'est prononcée le 8 mai 2020 sur la création de deux fichiers nationaux: Contact Covid et SI-DEP, autorisés par la loi de prorogation de l’état d’urgence sanitaire.

La CNIL précise: L’application utilisera des données pseudonymisées, sans recours à la géolocalisation, et ne conduira pas à créer un fichier des personnes contaminées. La CNIL constate que ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre.

La Commission (de la CNIL) rappelle que le fait d’instituer un dispositif qui enregistre automatiquement les cas contacts de ses utilisateurs constitue une atteinte à la vie privée qui n’est admissible qu’à certaines conditions.  Par ailleurs, des données à caractère personnel concernant la santé seront traitées.

Par contre, le gouvernement a exclu l'usage du geo-positionnement du mobile par GPS (satellites) en raison du pistage qui serait une atteinte à la vie privée (même si de nombreux usagers n'hésitent pas à l'utiliser pour se localiser dans des applications, comme celles de Google par exemple). Mais ce procédé est largement utilisé en extrême orient, comme par exemple en Chine.

Les informations collectées seront rendues anonymes et sécurisées au moyen de plusieurs mécanismes :

  • Le remplacement de l'identifiant du smartphone et de l'application (pour éviter le piratage par une fausse application destinée à soutirer à l'usager des informations personnelles dans un but malveillant) par un identifiant anonyme
  • Utiliser des identifiants aléatoires temporaires ("pseudo temporaires") pour les transaction avec le mobile
  • Les données privées stockées sur le serveur, et utilisées dans les transactions entre le serveur et les mobiles doivent être chiffrées par un algorithme renforcé

La CNIL souligne la nécessité de protéger de système contre toute "réidentification", ou retro-identification, qui permett"rait de remonter aux données personnelles de l'usager, en particulier en exploitant les innombrables informations de contexte collectées de type "Big data", et l'adresse physique du smartphone (MAC Address).

La CNIL souligne que dans le cadre du RGPD, le minimum d'informations correspondant à l'objectif de santé publique doivent être collectées, qu'elles doivent être transmises à des tiers validés par une structure de confiance (typiquement, des scientifiques). Ces informations devront être détruites lorsque les objectifs seront atteints, c'est à dire dans une durée limitée affichée.

La CNIL s'interroge sur la l'efficacité de la solution technologique pour des publics éloignés du numérique, et qui pourtant ont des chances plus importantes de propager le virus. Cette application n'a de sens que si elle fait partie d'une politique globale.

Numerinaute qui soutient la démarche du logiciel "Open Source", se réjouit que la CNIL demande la mise à disposition du code source ayant servi au développement de l'application. Cela permettra à la communauté des développeurs de rendre le code plus robuste, et de participer à "l'explicabilité" du fonctionnement de l'application.

Des liens pour en savoir plus

  • Lire l'Avis de la CNIL du 26 avril 2020
  • Télécharger le rapport complet, l'Avis de la CNIL du 25 mai 2020
  • Compte-rendu du débat CORONAVIRUS sur le site web de La Chaîne Parlementaire (LCP) de l'Assemblée Nationale
  • Facebook va publier des données pour cartographier et prévoir la propagation du Covid-19 à partir des données anonymisées et agrégées issues de sa base d'utilisateurs. Infos sur UsineDigitale et Facebook
  • L'INRIA (Institut national de recherche en sciences et technologies du numérique) a mis en place le 21 mars 2020 la Mission Inria Covid-19. Cette mission coordonne les actions en partenariat avec l'ANSSI (Agence nationale de la sécurité des systèmes d'information), Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings et participent à l’équipe-projet StopCovid afin de structurer et renforcer leur contribution au projet gouvernemental de mise en place d’une application mobile de contact tracing (StopCovid). En savoir plus sur le site INRIA

  • Un tour d'horizon mondial des applications mobiles pour tracer la contamination par le Covid-19 sur le site Wikipedia (article en évolution)

  • "Comment le Covid-19 bouleverse le paysage des applis", un article de deux sociologues de l'innovation à lire sur le Journal du CNRS

  • Un article et des conseils sur le Coronavirus sur le site de Que Choisir, (Association indépendante de l’État, des syndicats, des producteurs et des distributeurs depuis 1951)

  • Des conseils sur le site de "60 Millions de Consommateurs" (revue éditée par l'INC (Institut National de la Consommation)

  • L'Ile-de-France va expérimenter l'application de contact tracing StopC19 développée par Orange, Capgemini, Dassault Systèmes, Sopra Steria et SIA Partners.

A noter également:

  • D'autres applications apparaissent sur les magasins en ligne (AppleStore et GooglePlay pour Androïd). Il y a lieu de faire attention à ce que l'on installe sur son mobile.
  • Ne pas confondre avec l'application Covidom destinée au suivi médical à domicile des patients porteurs ou suspectés d'être infectés par le Covid-19 passés par certains Hôpitaux de Paris (AP-HP) mais qui ne nécessitent pas d'être hospitalisés.
  • Nes pas confondre avec l'application StopC19 de la Région Ile-de-France

N'hésitez pas à donner votre avis ci-dessous

Inscrivez-vous en cliquant sur l'icône du ballon ci-contre, pour continuer à voyager dans le numérique avec l'association Numerinaute