StopCovid, une application qui collecte trop de données ?

StopCovid, une application qui collecte trop de données ?

L’application devait officiellement se limiter au suivi des contacts de 15 minutes à 1 mètre de distance. Selon un chercheur et Mediapart, StopCovid se montre en réalité plus gourmande en données et trace un plus grand nombre de contacts, même distants et brefs.

Une différence majeure entre la promesse et la réalité ? Le but de l’application StopCovid est de pouvoir identifier les contacts d’un individu testé positif au Covid-19. L’outil stocke pour cela des identifiants.

Pour s’exposer à un risque de contamination, les contacts doivent cependant être prolongés (15 minutes) et s’effectuer à faible distance (un mètre). Ces règles sont au cœur de StopCovid. Elles permettent ainsi de limiter la collecte de données.

Les contacts de 10 secondes à 10 mètres transmis au serveur

Toutefois, comme a pu le constater le chercheur en cryptographie Gaëtan Leurent, la collecte se révèle en vérité bien plus large. Le décret relatif à StopCovid prévoyait un envoi au serveur uniquement des contacts avec un risque de transmission (1 mètre et 15 minutes.

Des expérimentations démontrent que lorsqu’un utilisateur se déclare malade, ce sont en fait tous les contacts croisés pendant les 14 derniers jours qui sont transmis au serveur central. Et qu’importe si ces ‘contacts’ sont intervenus à plusieurs mètres de distance ou durant une poignée de secondes.

2% des Français ont activé StopCovid
2% des Français avaient activé StopCovid le 9 juin, pour 350.000 utilisateurs

Officiellement, la raison est d’ordre technique. L’application attribue un nouvel identifiant à l’utilisateur toutes les 15 minutes. « Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques » explique au Monde le secrétariat au numérique.

Des contrôles de la Cnil en cours

Cette explication ne convainc cependant pas Gaëtan Leurent. Une autre solution, plus soucieuse de la vie privée, aurait pu être mise en œuvre, juge-t-il.

Les concepteurs « de StopCovid ont modifié le protocole ROBERT en ajoutant des métadonnées pour permettre de faire cette mesure sur le téléphone. Cela soulève des questions de respect de la vie privée, et il n’est guère judicieux d’ajouter ces données si elles ne sont pas utilisées pour faire l’évaluation à distance sur le téléphone lui-même » commente-t-il.

Contacté par Mediapart, la Cnil annonce que des contrôles sont en cours. Ces contrôles de l’autorité étaient d’ailleurs déjà programmés. Dès le 4 juin, la Cnil promettait une campagne de contrôles. Ceux-ci ciblent les dispositifs mis en place par le gouvernement dans le cadre de la crise sanitaire. Cela englobe SI-DEP, Contact Covid et StopCovid.

En Norvège, des révélations d’Amnesty International sur la collecte de données de l’application gouvernementale de Contact Tracing ont conduit à son arrêt. En cause, le suivi en temps réel ou quasi réel de la localisation des utilisateurs via le téléchargement de coordonnées GPS sur un serveur central.

A propos de Christophe Auffray 228 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.