Concrètement, pour le développement de l’application « Stopcovid », on voit aujourd’hui s’affronter principalement deux protocoles…
- Le protocole DP-3T (Decentralized Privacy-Preserving Proximity Tracing), qui est un protocole décentralisé ouvert, ayant vocation à être implémenté dans une application et un serveur open source. Ici, ce sont les smartphones des utilisateurs qui génèrent des clés privées et qui se les échangent lorsqu’ils sont en « contact ». Lorsqu’une personne est testée positive, elle donne son accord pour diffuser les clés (anonymes) des personnes avec lesquelles elle a été en contact.
- Le protocole ROBERT (ROBust and privacy-presERving proximity Tracing), proposé par l’Inria, est un protocole centralisé. Une autorité centrale est chargée de gérer des pseudonymes pour tous les utilisateurs et de récupérer ceux des personnes qui ont été au « contact » d’une personne testée positive si celle-ci donne son accord (le pseudonyme de la personne infectée n’étant pas envoyé à ladite autorité). Ici, il s’agit d’un système de pseudonymisation (et non d’anonymisation), puisque l’autorité centrale a la possibilité de retrouver l’identité des personnes concernées à partir de leur pseudonyme.
On voit bien que dans un système centralisé, le niveau de sécurité du protocole est entièrement dépendant de celui mis en place par le responsable du serveur central, ce qui peut être aussi bien un inconvénient qu’un avantage. Car dans ce cas, le système centralisateur peut être audité afin d’apprécier sa sécurité, ce qui n’est pas le cas des terminaux des utilisateurs. De plus, il peut être responsable en cas de manquement à ses obligations de sécurité. Autrement dit, le problème ne devrait pas être focalisé sur le choix entre centralisation/décentralisation, mais sur une analyse des risques intégrant la capacité des utilisateurs à se protéger.
Certes, c’est également un système décentralisé que la CNIL a recommandé à plusieurs reprises pour le traitement des données biométriques liées à la voix ou aux images. Toutefois, il ne s’agit pas là d’une position de principe mais d’une appréciation des risques au cas par cas.
En effet, la CNIL ne s’oppose pas, de façon générale, à un système centralisé, dès lors que sont adoptées des mesures techniques ou organisationnelles pour en compenser les défauts. Telle est d’ailleurs la position qu’elle a adoptée au sujet du projet d’application « StopCovid » (Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »). A cette fin, elle préconise notamment :
- des clés de chiffrement permettant l’accès aux identifiants des personnes concernées, avec une protection via des modules de sécurité matériels, ainsi que des tiers de confiance indépendants. On retrouve ici les préconisations prises au sujet des données biométriques de la voix;
- des mesures empêchant l’identification des personnes grâce à la reconstitution d’un lien entre leur pseudonyme et les informations liées à leur terminal Bluetooth (qui peuvent permettre de les identifier) ;
- l’utilisation d’algorithmes cryptographiques conformes à l’état de l’art (ce qui n’est pas le cas de l’algorithme 3DES dont l’utilisation est envisagée dans le projet gouvernemental), afin d’assurer l’intégrité et la confidentialité des échanges ;
- des mesures destinées à pallier les risques d’attaque liés à l’absence d’enrôlement (celle-ci permettant de limiter les données à caractère personnel, mais au prix d’un risque accru en matière de cybersécurité).
