Cybersécurité Données personnelles E-santé IT

StopCOVID & Brave New World

28 avril 2020
Fred
I Avis de la CNIL
II Avis du CNNUM
III Avis de l’ANSSI

“Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux” (Benjamin Franklin)

”L’urgence a tendance à se pérenniser. Les autorités se familiarisent avec ce nouveau pouvoir et commencent à l’apprécier. Ils savent ce que vous regardez sur Internet, où votre téléphone se déplace, et maintenant ils sont au fait de votre rythme cardiaque” (Edward Snowden)

 

Alors que Google et Apple, notoirement connues pour protéger la vie privée des citoyens, annoncent travailler ensemble pour permettre l’usage de la technologie Bluetooth afin d’aider les gouvernements à réduire la propagation du virus en développant une solution complète permettant l’interopérabilité entre appareils Android et iOS, la CNIL, le Conseil National du Numérique (CNNUM) et l’ANSSI et ont rendu leurs avis sur les modalités de développement, de fonctionnement, de déploiement et d’utilisation de l’application pour téléphones mobiles StopCOVID​. Le projet StopCovid sera soumis à débat puis au vote du Parlement cette semaine.

 

 

StopCOVID a pour objectif d’alerter les personnes l’ayant téléchargée qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application permet la recherche de contacts (“contact tracing”) grâce à l’utilisation de la technologie Bluetooth sans recourir à une géolocalisation des individus. En sus de la contribution de Google et Apple, les acteurs au projet sont Accenture/Octo, Atos, C4Diagnostic, Enalees, Sia Partners, Sopra STeria, Thales et:

  1. Inria : coordination et protocole de transmission, privacy-by-design;
  2. ANSSI : cybersécurité;
  3. Capgemini : architecture et développement back-end;
  4. Dassault Systèmes : infrastructure souveraine de données (SecNumCloud) ;
  5. Inserm : modèles de santé;
  6. Lunabee Studio : développement des applications mobiles;
  7. Orange : diffusion de l’application et interopérabilité;
  8. Santé Publique France : insertion et articulation de l’application dans la stratégie globale de détection et suivi des contacts;
  9. Withings : objets connectés

 

Avis de la CNIL

La CNIL estime le dispositif conforme au Règlement Général sur la Protection des Données (RGPD) si certaines conditions sont respectées:

  1. Volontariat;
  2. Pseudonymisation;
  3. Utilisation temporaire des données et durée de conservation limitée;
  4. Sécurisation des données.

Télécharger (PDF, 253KB)

 

Avis du CNNUM

Le CNNUM est également favorable au principe de StopCOVID dans la lutte contre la pandémie en tant qu’élément d’une stratégie plus globale:

  1. Application unique spécifiée par l’État afin de garantir sa souveraineté numérique (une seule application en France sous contrôle du Minsitère de la santé);
  2. Transparence et indépendance du contrôle de l’application (comité de pilotage avec des parlementaires, chercheurs citoyens-experts, etc.);
  3. Limitation dans le temps et reconnaissance de son caractère exceptionnel (Décret fixant les conditions de sa mise en œuvre, sa durée dans le temps et des garanties sur la protection des données);
  4. Accessibilité et loyauté de l’information (clarifier les procédures à suivre en cas de réception d’une notification ou de test positif; organiser des séances de questions-réponses dans les médias; mobiliser collectivités, structures de médiations, associations pour évaluer les besoins et accompagner les plus éloignés du numérique, etc).

Télécharger (PDF, 1Mo)

 

Avis de l’ANSSI

L’ANSSI en charge de la cybersécurité recommande notamment :

  1. Un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central les informations pseudonymisées envoyées par les terminaux téléphoniques des utilisateurs;
  2. Des audits et contrôles de sécurité réalisés par l’ANSSI tout au long de la conception;
  3. Des mécanismes d’audit de l’imputabilité et de la traçabilité des actions menées sur le système;
  4. Un dispositif de gestion des vulnérabilités pour maintenir un bon niveau de sécurité de l’application et du serveur central durant toute la durée d’utilisation de l’application;
  5. Un dispositif de détection des cyberattaques pour réagir au plus tôt en cas de tentatives de compromission du système;
  6. Des mises à jour régulières du terminal téléphonique des utilisateurs pour assurer une meilleure sécurité du protocole Bluetooth utilisé.

Télécharger (PDF, 237KB)

 

https://www.nextinpact.com/brief/stopcovid—les-recommandations-de-l-anssi-12186.htm

https://www.nextinpact.com/news/108931-stopcovid-appel-a-prudence-cnil-craintes-chercheurs-et-avis-cnnum.htm