StopCovid : une application de traçage numérique privacy by design

Protocole Robert de l'application StopCovid
@Inria

En partenariat avec d’autres chercheurs européens, l’Inria a conçu le protocole ROBERT de la future application française de « contact tracing ». Basée sur le bluetooth, elle ne permet pas, y compris à l’Etat, d’identifier les personnes et leurs contacts.

Auditionnée par le Sénat, la présidente de la Cnil, Marie-Laure Denis, listait ses préoccupations à l’égard de la future application de traçage numérique. Elle soulignait ainsi la nécessité pour StopCovid de respecter « le principe de minimisation des données traitées. »

Les inquiétudes des régulateurs et des ONG semblent avoir été prises en compte par les chercheurs en charge de son développement. En France, c’est l’Inria qui pilote ce projet, en partenariat avec des acteurs publics et privés, dont des chercheurs allemands, italiens et suisses.

Pas d’accès de l’Etat à une liste de personnes malades

Le résultat de cette collaboration, c’est donc le protocole ROBERT, pour ROBust and privacy-presERving proximity Tracing. L’application StopCovid exploitera donc ce protocole. Son principe est détaillé dans une tribune de Bruno Sportisse, PDG d’Inria.

Et en préambule, le patron de l’institut de recherche tient à souligner qu’il ne s’agit en rien d’une application de tracking. En effet, « elle n’utilise que le bluetooth, en aucun cas les données de bornage GSM ni de géolocalisation. »

Autre précision : son objet n’est pas la surveillance. Ainsi, les utilisateurs, volontaires, resteront anonymes. Mais en outre, « sa conception permet que PERSONNE, pas même l’Etat, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes. »

Les utilisateurs n’auront quant à eux accès qu’à des notifications. Celles-ci les informent de la proximité de leur smartphone avec des personnes testées positives au Covid-19 – non de l’identité de ces dernières. Lorsqu’un individu se déclare lui-même positif dans l’application, son identité restera secrète, comme celle des utilisateurs notifiés.

Pas de données personnelles, mais des crypto-identifiants éphémères

Comme la présidente de la Cnil, Bruno Sportisse rappelle par ailleurs qu’une telle application demeure « complémentaires » d’autres mesures. Le dirigeant de l’Inria estime cependant que le recours au « proximity tracing » constitue bien « une aide utile pour casser la propagation de l’épidémie. »

Il reconnaît toutefois à ce type d’usage du numérique des limites liées à la technologie bluetooth elle-même et à la transmission du virus, « très incertaine. » Mais le principal enjeu du contact tracing porte sur la nature des données collectées.

L’Inria note à ce titre que les informations circulent sous la forme de crypto-identifiants éphémères. Il s’agit donc de données pseudonymisées. Les informations sont associées à un terminal et non à une personne.

« C’est-à-dire qu’un smartphone va rencontrer au cours de ses déplacements des crypto-identifiants éphémères (ceux des smartphones rencontrés) » précise le PDG de l’institut français. Dans le cas de ROBERT, un utilisateur de StopCovid reçoit des identifiants temporaire (ou un générateur).

Un historique des contacts est donc construit pour chacun sur la base des crypto-identifiants rencontrés « à proximité ». Cet historique est stocké sur le terminal. En cas de diagnostic positif, cette information est transmise à un serveur. Celui-ci pourrait être géré par une autorité de santé.

StopCovid : débat parlementaire le 28 avril

Toutefois, le ou les identifiants de l’utilisateur positif ne sont pas divulgués. Ainsi, aucun « lien n’est fait entre le téléphone de la personne et son historique. » L’application permet en outre, à une fréquence restant à fixer, de vérifier si ses identifiants associent l’utilisateur à un risque.

« La notification se fait sur la base d’une évaluation du risque (dont le calcul doit être défini avec les épidémiologistes, je l’ai déjà évoqué) en utilisant l’information de proximité » ajoute Bruno Sportisse. Ces modes de calcul ne sont donc pas figés. Ils sont susceptibles d’évoluer afin notamment de réduire les faux positifs.

Ce système exclut donc la constitution d’une base de données des personnes contaminées. Il demeure en outre maîtrisé exclusivement par une autorité (de santé), non par « une compagnie privée, aussi innovante soit-elle. »

L’Inria conclut en rappelant qu’il revient à l’Etat « de décider d’utiliser ou non le protocole qu’il désire en fonction de sa politique. Et c’est notre responsabilité de scientifique de lui procurer les moyens de ce choix. »

Le secrétaire d’Etat au numérique, Cédric O annonce que le protocole Robert constituera la base des éléments soumis à la Cnil. Il fera en outre l’objet d’un débat parlementaire prévu le 28 avril. Le régulateur des données personnelles se prononcera enfin sur la version finale de l’application.

A propos de Christophe Auffray 353 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.