© Alexandre Boreo pour Clubic
© Alexandre Boreo pour Clubic

L'application StopCovid transférerait tous les contacts rencontrés par une personne déclarée positive au coronavirus, peu importe la distance et le temps passé entre les deux contacts.

Si le gouvernement avait souhaité rassurer la population quant à l'utilisation des données personnelles, Mediapart révèle aujourd'hui que le logiciel serait bien moins limité que prévu.

StopCovid récolte bien plus d'informations que ne l'autorise la loi

Un arrêté daté du 30 mai 2020 pose les conditions selon lesquelles StopCovid peut envoyer sur un serveur central les différents contacts rencontrés par un utilisateur. S'il se déclare positif à la maladie à COVID-19, seuls les utilisateurs de l'application ayant été en contact « à moins d'un mètre pendant au moins 15 minutes » sont supposés recevoir une notification pour les prévenir d'un risque de contamination.

C'est ce point que Gaëtan Leurant, chercheur en cryptographie à l’Institut national de recherche en informatique (Inria), a voulu éprouver en menant un test qui consistait à placer deux smartphones à cinq mètres de distance, pendant une minute, dont l'un des deux profils avait été signalé positif au coronavirus.

Il s'est aperçu que ce contact avait été finalement récupéré par l'application et transféré au serveur central, qui gère les différents contacts enregistrés et se charge d'envoyer les notifications le cas échéant.

Contacté, le secrétariat d'État chargé du Numérique confirme que l'ensemble de l'historique de contacts est envoyé par l'application StopCovid au serveur, qui se charge ensuite de faire le tri à l'aide d'un algorithme, pour respecter les conditions de distance et de temps posées par l'arrêté.

La CNIL en charge de vérifier le volume de données collectées

Le problème est que StopCovid fait transiter un très grand nombre de contacts, certes anonymisés, mais qui ne devraient pas figurer sur cette base de données, ce qui pose une nouvelle fois la question de la gestion des données personnelles par l'État français.

Pour Gaëtan Leurant, il suffirait que le téléphone calcule lui-même la distance entre les différents smartphones à l'aide de l'algorithme utilisé par le serveur central afin de garantir le respect de la vie privée des utilisateurs.

La CNIL, qui procède actuellement au contrôle des listings récupérés par l'application StopCovid, pourrait mettre son grain de sel et adopter des « mesures correctrices, telles que des mises en demeure et/ou des sanctions » en cas d'infraction.

Le secrétariat d'État chargé du Numérique ne semble pas inquiet outre mesure et explique de son côté que « ces informations sur le fonctionnement de l’application, et en particulier le fait que le calcul d’exposition se fait sur le serveur, sont bien celles auditées par la CNIL qui a jugé sur cette base que l’application respecte bien le principe de minimisation des données ».

Malgré une communication intensive des autorités, StopCovid ne semble toutefois pas convaincre les Français. Selon les chiffres du quotidien Le Monde, l'application aurait enregistré 1,4 million d'activations à date du 10 juin 2020, pour seulement 350 000 utilisateurs actifs, soit 0,2% de la population.

Source : Mediapart