Il était attendu depuis plusieurs semaines, c’est désormais chose faite, la CNIL a publié hier son avis relatif à la conception de l’application StopCovid.
Et d’une manière général, le retour qui en est fait se révèle positif, même s’il appelle à la prudence, alors que de son côté, l’INRIA publiait parallèlement, le même jour son projet d’application contact tracing ainsi que la liste des partenaires qui s’y sont associés.
Une publication qui semble avoir quelque peu coupé l’herbe sous les pieds de la CNIL, qui publie uniquement ses recommandations alors qu’un cahier des charges plus précis semble d’ores et déjà établi entre les différents intervenants du projet déployé par l‘INRIA, dont bien évidemment Orange en première ligne, mais également l’ANSSI, Capgemini, Dassault Systèmes, l’Inserm, Lunabee Studio, Santé Publique France et Withings sont partie prenante.
Une apparence de flottement ?
En d’autres termes, nous sommes face à la suite logique de l’appel du pied fait au gouvernement fait la semaine passée par Stéphane Richard, son PDG, qui se déclarait d’ores et déjà au point techniquement parlant sur le sujet.
Une intervention à titre grâcieux est-il par ailleurs précisé et un avis positif qui permet au gouvernement d’envisager la suite numérique de ce son dispositif de sortie du confinement avec un peu plus de sérénité.
Mais cela vaut-il pour tout le monde et qu’en est-il véritablement concernant les questions qui se posent dorénavant quant à l’utilisation de données personnelles ? Sur ce point, la CNIL appelle à la plus grande vigilance de manière à ne pas banaliser le dispositif de tracing.
Et c’est le réel enjeu de StopCovid, qui risque de créer un précédent.
« L’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale », souligne l’autorité qui préconise un retour régulier sur le dispositif et son périmètre d’application.
« Ce type de dispositif est tout sauf anodin car il conserve l’historique des personnes rencontrées. L’application, qui repose sur le volontariat et ne recourt pas à la géolocalisation, doit notamment être temporaire et comporter des mesures de protection des données dès sa conception. L’avis souligne que les sujets de protection des données ont été intégrés en amont, dès l’architecture du projet », précisait au Monde la présidente de la CNIL, Marie-Laure Denis dans un entretien publié il y a quelques jours.
Au cœur du dispositif qui a rencontré l’approbation de l’autorité, trois points majeurs :
– l’utilisation du Bluetooth pour contrecarrer toute possibilité de géolocalisation ;
– le geste volontaire de l’utilisateur et le recueil de son consentement, sans condition ou réserve;
– une utilisation indifférenciée sous iOs ou Android.
… ou un projet plus abouti qu’il n’y paraît ?
Une application qui selon la CNIL ou le secrétariat d’Etat au Numérique, ne doit souffrir d’aucun problème de sécurité lié aux données recueillies.
Enonciations qui ont rencontré une oreille attentive auprès du consortium déployé par l’INRIA qui précise de son côté que :
- « L’inscription de l’application StopCovid dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique. StopCovid est une brique complémentaire qui fournit aux acteurs de la santé publique un outil d’aide à la décision pour la phase de déconfinement.
- Le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la commission européenne sur les applications de suivi de proximité.
- La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. Ceci afin d’apporter toutes les garanties en matière de contrôles par la société : transparence des algorithmes, code ouvert, interopérabilité, auditabilité, sécurité et réversibilité des solutions. Ainsi, cette solution pourrait proposer des briques de base exploitables par tous les pays qui le souhaiteraient.
- Le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l’épidémie et accélérer la recherche médicale.
- Le caractère temporaire du projet, dont la durée de vie correspondra, s’il est déployé, à la durée de gestion de l’épidémie de Covid-19 » apprend-on sur le site de l’INRIA.
En tout état de cause, si le projet d’application StopCovid n’est pas avancé de manière certaine par le gouvernement avant le 11 mai prochain, la date lui paraissant trop courte pour le développement d’un programme offrant toutes les garanties possibles en matière de protection des données, il paraît plus abouti que ce qu’il n’y paraît.
L’ensemble des mesures de déconfinement doivent cependant être circonscrites ce soir et présentées dès demain.
Le gouvernement annonce selon ses propres termes, du « très très lourd » et il y a fort à parier que StopCovid en question fera partie des surprises évoquées dans ce cadre.
Une manière comme une autre de ménager le suspense.