La CNIL a été saisie par le Gouvernement sur le projet d’application StopCovid et a rendu son avis le 24 avril dernier.

Cette décision de la CNIL est très dense, nous avons donc pris le parti de rédiger 3 newsletters distinctes : La 1^ère newsletter  porte sur le fonctionnement de l’application StopCovid, la deuxième porte sur l’application StopCovid et les grands principes du RGPD, et la 3ème sur les aspects pratiques du projet.

Cette troisième newsletter sur la délibération de la CNIL présente donc la position de la Commission sur les aspects plus techniques :

La configuration de l’application

La Commission rappelle qu’elle ne se prononce que sur le principe du déploiement d’une application telle que celle décrite dans la saisine, dont les modalités précises pourraient, le cas échéant, évoluer. Elle souhaite cependant apporter dès à présent au Gouvernement les précisions suivantes.

Sur la nécessité de réaliser une analyse d’impact sur la protection des données

La Commission attire l’attention du gouvernement sur le fait qu’une analyse d’impact sur la protection des données (AIPD) devra être réalisée avant le déploiement de l’application. Elle recommande également la publication de cette analyse d’impact.

La CNIL précise bien qu’elle recommande cette publication au regard du contexte, car en effet, le RGPD n’oblige pas les responsables de traitement à publier leurs analyses d’impact.

Sur l’exactitude des données

Dans le dossier transmis par le Gouvernement, il est envisagé d’introduire des faux positifs dans les notifications transmises aux personnes afin de limiter les risques de ré-identification dans certains types d’attaques.

La CNIL souligne que le RGPD oblige les responsables de traitement à traiter des données exactes et qu’une telle mesure n’est pas envisageable, sous peine de remettre en cause la conformité du traitement.

La CNIL ajoute qu’en pratique cette mesure conduirait à alerter à tort des personnes n’ayant pas eu de contacts à risques, et qui seraient dès lors encouragées à se soumettre à des mesures de confinement volontaire, ce qui n’est pas envisageable.

 Données stockées dans le terminal mobile

Le projet transmis par le Gouvernement implique l’accès à des informations stockées dans le smartphone. Ce type d’accès est règlementé par l’article 82 de la loi informatique et libertés, et prévoit, dans certaines hypothèses de recueillir le consentement des utilisateurs[1].

La CNIL considère que l’accès à ces données est nécessaire au fonctionnement du dispositif, que cet accès est donc conforme à la loi.

Sur la sécurité des données

La CNIL souligne de nouveau que le dossier qui lui a été transmis n’était qu’un projet ne comportant pas l’intégralité des spécificités techniques de l’outil, cependant elle a estimé nécessaire d’attirer dès à présent l’attention du Gouvernement sur quatre points :

• le dispositif envisagé comprend un serveur chargé de la centralisation des identifiants des personnes exposées.
  La CNIL attire l’attention du Gouvernement sur les risques d’actes malveillants et de détournement de finalité. Dans ce cadre, la CNIL considère que les clés de chiffrement donnant accès aux identifiants des personnes concernées pourraient être protégées via des modules de sécurité matériels, ainsi que des tiers de confiance indépendants.

• des mesures doivent être prises à la fois au niveau du serveur central et au niveau de l’application afin d’éviter la possibilité de reconstituer un lien entre les pseudonymes temporaires et des informations permettant d’identifier les utilisateurs.
• la CNIL relève qu’en l’état du projet, il est envisagé d’utiliser l’algorithme 3DES, et attire l’attention du Gouvernement sur le fait qu’au regard du référentiel général de sécurité édité par l’ANSSI[2] cet algorithme ne devrait pas être utilisé[3].
  Elle rappelle que seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en oeuvre, afin d’assurer l’intégrité et la confidentialité des échanges.

• la CNIL relève que le dispositif envisagé ne prévoit pas de mécanisme d’enrôlement des personnes lors de la première utilisation de l’application afin de limiter les données personnelles collectées.
  Toutefois, il pourrait en résulter un risque d’attaque accru. Elle appelle donc le Gouvernement à mettre en place des mesures de sécurité nécessaires pour lutter contre ce risque.

Sur le respect des droits des personnes sur leurs données à caractère personnel

Ce point est le dernier abordé par la CNIL dans sa délibération.

Bien évidemment, les personnes concernées devront disposer d’une information compréhensible rédigée dans des termes clairs et simples, conformément aux articles 12 à 14 du RGPD.

La CNIL rappelle enfin que des situations telles que l’épidémie actuelle de COVID- 19 ne suspendent ni ne restreignent, par principe, la possibilité pour les personnes concernées d’exercer leurs droits prévues par les articles 12 à 22 du RGPD. Des modalités appropriées pour l’exercice des droits devront également être définies si l’application est déployée.

Dans la presse, le Secrétaire d’Etat au numérique a précisé le 3 mai dernier que l’application : « (…) devrait pouvoir entrer en test en conditions réelles la semaine du 11 mai — c’est donc dans la foulée que StopCovid devrait pouvoir être présentée au Parlement ; d’ici là, l’équipe-projet coordonnée par Inria, qui rassemble plus de 100 personnes issues de plusieurs entreprises engagées et d’un large écosystème de contributeurs, va continuer à travailler d’arrache-pied ; qu’ils en soient remerciés. »

Si, comme la CNIL l’a demandé, le Gouvernement la consulte de nouveau avant la mise en œuvre du projet, cette seconde consultation devrait donc intervenir très prochainement.

[1] Cet article prévoit que :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

[2] Agence nationale de la sécurité des systèmes d’information

[3] En effet, à l’Annexe B1 du RGS intitulée « Mécanismes cryptographiques Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques » indique en page 11 que « L’emploi de clés de 112 bits, comme dans le cas du triple DES, ne pose pas de problème pratique de sécurité vis-à-vis d’attaques par recherche exhaustive. L’utilisation du triple DES peut cependant être déconseillée pour d’autres raisons, en particulier liées à la taille du bloc (64 bits) insuffisante pour assurer une sécurité pratique avec certains modes opératoires classiques »