Notre analyse de l’application Alerte COVID

MISE À JOUR (27/08/2020): Depuis la publication de cette analyse, nous avons effectué un suivi auprès de Santé Canada et des Services numériques du Canada. Les informations sont ajoutées ci-dessous. Nous attendons toujours quelques informations finales de Santé Canada et mettrons à jour l’analyse quand nous les aurons reçues.

MISE À JOUR (03/09/2020): Nous avons reçu plus de clarifications de Santé Canada. La mise à jour est ci-dessous.


Plusieurs personnes sur nos fils d’actualité supportent l’utilisation de la nouvelle application fédérale Alerte COVID sous prétexte que notre vie privée est déjà violée par Facebook. Nous ne croyons pas que cet argument devrait être utilisé pour justifier l’utilisation de l’application, et ce n’est pas parce que les gouvernements ont échoué à assurer la protection de nos données et de notre vie privée lorsque nous utilisons Facebook – une plateforme très importante, y compris pour les activistes – que nous devrions accepter d’autres violations de notre vie privée,  surtout lorsque le Commissariat à la protection de la vie privée du Canada a publié un Examen des répercussions sur la vie privée de l’application.

Liens importants

Version abrégée de l’examen:
https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2020/nr-c_200731/

Version complète de l’examen (il n’est pas très long, nous encourageons tout le monde à le lire)
https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/renseignements-sur-la-sante-renseignements-genetiques-et-autres-renseignements-sur-le-corps/urgences-sanitaires/rev_covid-app/

Voici la page du gouvernement sur l’application:
https://www.canada.ca/fr/sante-publique/services/maladies/maladie-coronavirus-covid-19/alerte-covid.html

Et voici sa Politique de confidentialité Alerte COVID (notification d’exposition): https://www.canada.ca/fr/sante-publique/services/maladies/maladie-coronavirus-covid-19/alerte-covid/politique-confidentialite.html

Notre analyse

Voici notre compréhension de l’application basée sur les infomations fournies ci-haut – si vous êtes intéressé.es:

  • D’après l’analyse du commissaire à la protection de la vie privée: “Les provinces participantes [seulement l’Ontario aux dernières nouvelles] devront attribuer un code unique aux utilisateurs de l’application qui auront reçu un résultat positif suite à un test de dépistage. Ce code servira à aviser d’autres utilisateurs en leur communiquant de façon désidentifiée l’information stockée dans l’application au sujet de l’exposition. Ainsi, certaines personnes au gouvernement provincial sauront qu’un individu a reçu un résultat positif, mais elles n’auront pas accès à l’information de notification.”
  • L’application ne trace pas votre emplacement, ne collecte pas votre nom ou les contacts de votre téléphone. Selon le Commissaire à la vie privée: Des solides techniques de cryptage sont utilisées dans la création et le partage des codes à usage unique et la plupart des données utilisées par l’application sera directement stockée sur votre appareil et supprimée de l’appareil après 14 jours. Toutes les données envoyées et reçues sont désidentifiées et anonymisées, c’est-à-dire que vous serez incapable de savoir qui a testé positif et où, et si vous testez positif, les personnes qui seront notifiées ne sauront pas qu’il s’agit de vous ou le lieu où vous êtes entré en contact avec elles. Le Commissaire à la vie privée stipule qu’il n’est pas impossible qu’il y ait réidentification, mais le risque est très faible.
  • Le Commissionnaire à la vie privée est heureux du niveau de coopération et transparence du gouvernement, et il a passé en revue le design de l’app et la manière dont elle interagit avec les serveurs fédéraux. Le code de l’app est public mais bien entendu seulement les expert.es le comprendront. L’application n’est pas supposée utiliser de données à d’autres fins que la notification de personnes lorsque celles-ci ont été en contact avec quelqu’un qui a testé positif.
  • Ce n’est pas idéal qu’il n’y ait pas eu de loi ou de procédure parlementaire pour déployer l’application mais nous sommes content.es que le gouvernement ait retardé le déploiement jusqu’à ce que le Commissaire à la vie privée ait eu le temps d’y jeter un coup d’oeil.
  • L’utilisation de l’application est volontaire ce qui est une bonne chose. Nous avons été agréablement surpris.es d’apprendre qu’une étude menée par des épidémiologistes à l’université d’Oxford démontre que l’application pourrait être efficace pour empêcher une certaine propagation même si elle n’est pas utilisée par la majorité de la population. Elle pourrait prévenir une nouvelle infection pour un ou deux personnes utilisant l’application. Dans tous les cas, l’application est seulement efficace si elle est utilisée en combinaison avec les autres mesures préventives telles que le dépistage, le traçage des contacts manuel, l’utilisation de masques, la distanciation sociale et le lavage des mains.
  • Nous sommes également content.es qu’il y aura une évaluation de l’efficacité et des impacts sur la vie privée de l’application dans le dernier trimestre de 2020, et heureux.ses de voir un conseil consultatif d’experts externes pour fournir des conseils et des conseils pour assurer l’efficacité de l’application.
  • Comme le Commissaire à la vie privée l’a mentionné, il serait important pour le gouvernement d’interdire aux entreprises d’exiger des client.es qu’iels montrent la preuve qu’iels ont l’application et qu’iels n’ont pas testé.es positif ou n’ont pas été en contact avec des personnes positives, sinon le caractère volontaire de l’application disparaîtra.
  • Santé Canada s’est engagé à fermer définitivement l’application – ce qui effacera les numéros à usage unique partagés entre téléphones et les données stockées sur les serveurs du Gouvernement canadien (sauf si les adresses IP sont retenues pour une enquête) – dans les 30 jours suivant la fin de la pandémie. Même si la pandémie pourrait perdurer longtemps, c’est une importante limitation dans la durée.

Quelques préoccupations à retenir

  • En avril, avec OpenMedia, BCCLA, CIPPIC et BC FIPA, nous avons rassemblé 7 principes à suivre pour les applications de traçage de contacts afin de protéger les droits humains. La nouvelle application répond à certains de nos principes mais pas tous : l’application n’est pas réglementée par une loi et n’a pas été soumise à la procédure parlementaire; il n’y a pas de recours prévu en cas de violation de la vie privée ou d’autres problèmes ou violations de droits; et le gouvernement ne s’engage pas à interrompre l’application si elle est jugée inefficace (ou s’il y a des violations détectées) – seulement un engagement à prendre en considération la recommandation du Conseil consultatif.
  • D’après l’analyse du commissaire à la protection de la vie privée: “l’adresse est saisie lorsque l’utilisateur tente de vérifier les codes à usage unique donnant accès au serveur. Si le code à usage unique n’est pas valide, le serveur conserve l’adresse de l’utilisateur pendant 60 minutes; ce temps de rétention permet de prévenir l’utilisation frauduleuse des codes à usage unique. De plus, en temps normal, l’adresse de l’utilisateur est conservée jusqu’à trois mois dans les journaux d’enregistrement du système chaque fois qu’une demande est faite au serveur (vérification du code à usage unique, versement d’une clé de diagnostic, etc.). S’il y a des activités suspectes, le système conservera l’adresse de l’utilisateur jusqu’à deux ans. Dans ce cas, nous comprenons qu’il est possible que les journaux visés du système soient partagés avec des organismes d’application de la loi dans le cadre d’une enquête. Ces caractéristiques de sécurité posent un risque de réidentification, car, jumelée à d’autres informations, l’adresse peut permettre d’identifier des individus. Toutefois, grâce à l’adoption de mesures de protection rigoureuses, nous estimons que le risque de réidentification demeure faible. Le gouvernement du Canada a indiqué au Commissariat que l’accès à ces journaux d’enregistrement sera limité à des utilisateurs autorisés liés par des obligations de sécurité à protéger l’information et à ne pas y accéder ou à l’utiliser à des fins déshonorables.”
  • Il semblerait qu’il ne devrait pas être nécessaire de garder les adresses IP au-delà d’une heure, pendant que la validité des codes est en cours de vérification. «Activité suspecte» et le type d’enquête qui pourrait être lancé, et pour laquelle nos adresses IP seraient partagées avec les forces de l’ordre, devraient également être définis. Actuellement, selon l’évaluation de la vie privée du gouvernement, «Les adresses IP peuvent être divulgués pour l’application de la Loi dans le cas où un acteur malveillant a tenté de gain, ou acquis, l’accès au serveur où ils sont conservés.» Cependant, nous manquons d’informations sur la question de savoir si «l’activité suspecte» qui déclencherait une rétention plus longue des adresses IP est limitée uniquement à cette définition, et si la divulgation d’adresses IP aux forces de l’ordre est strictement liée aux tentatives malveillantes d’accéder aux serveurs.
  • De plus, nous remettons en question encore plus fortement la nécessité de stocker pendant trois mois les adresses IP des personnes qui ne reçoivent que des codes pour voir si elles sont entrées en contact avec des personnes testées positives, et n’ont pas envoyé de codes vers ou via l’application. Cela ne nous semble pas nécessaire, mais nous avons contacté le gouvernement pour plus d’informations. Nous notons, au moins, que les adresses IP seront stockées sur un serveur distinct du serveur de clés, offrant au moins une couche de sécurité supplémentaire.
  • Mise à jour (27/08/2020): Après avoir discuté avec les représentant.es de Santé Canada et du Service numérique canadien, certaines de nos préoccupations ont été abordées :
    • En ce qui concerne la période de conservation de trois mois pour toutes les adresses IP, nous avons été informés que ce délai avait été choisi suite à de profondes délibérations entre le personnel impliqué à la fois dans la cybersécurité et dans la protection de la vie privée. En fait, la proposition initiale était de conserver les adresses IP pendant une période plus longue. On nous a dit que la conservation des adresses IP sur une période de trois mois vise à garantir que l’application fonctionne normalement et afin de surveiller et repérer les modèles récurrents d’activité suspecte. Les responsables se sont également engagé.es à revoir et éventuellement à réduire cette période de conservation s’il apparaît clairement qu’un délai plus court est suffisant pour assurer la sécurité du système. Ceci est également expliqué en ligne ici, et comprend l’engagement de revoir la période de conservation.
    • Au cours de notre conversation, les responsables ont également réaffirmé qu’ils surveillaient les activités suspectes qui porteraient atteinte à la sécurité ou à l’intégrité du système et des utilisateurs. L’activité considérée comme suspecte et les mesures à prendre sont décrites dans le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), y compris dans quelles circonstances l’activité doit être signalée au Centre canadien pour la cybersécurité ou aux forces de l’ordre. Plus de détails se trouvent dans les sections 5.2.3 et 5.2.4 du PGEC GC. Bien que nous préférions toujours voir une législation spécifique concernant le traitement des informations liées à Alerte COVID, les documents ci-dessus fournissent des directives écrites claires concernant les potentiels incidents de cybersécurité.
    • Nous avons également reconfirmé que les adresses IP sont conservées sur un serveur distinct de celui qui gère les codes et les clés à usage unique. C’est positif. Cependant, nous sommes d’accord avec l’OPC et maintenons notre préoccupation que les adresses IP présentent toujours un risque de ré-identification. Cela est d’autant plus vrai que le serveur IP tient également à jour des registres de l’activité associée à cette adresse IP. Par conséquent, lorsque l’activité de téléchargement d’un code à usage unique dans l’application est associée à une adresse IP, on peut en déduire que le propriétaire de cette adresse IP a testé positif pour COVID-19. Nous reconnaissons que des mesures importantes et significatives ont été prises pour protéger ces informations, notamment des limites strictes d’accès et de solides protections de cybersécurité. Cependant, nous avons également demandé s’il avait été envisagé de limiter davantage le type d’informations stockées à côté des adresses IP, par exemple en n’associant pas un type d’activité (comme le téléchargement d’un code à usage unique ou le téléchargement de clés) à une adresse IP, et en notant uniquement s’il y a eu une tentative de téléchargement d’un code frauduleux à partir d’une adresse IP (ou si tout est normal). Nous mettrons ce texte à jour lorsque nous aurons une réponse.
    • Enfin, nous avons également été informés que les responsables sont en train de rassembler des documents à ajouter à la page d’Alerte COVID du gouvernement qui expliquerait davantage les mesures de sécurité et de confidentialité. C’est positif pour la transparence et la responsabilité, et nous ajouterons un lien ici une fois que cela aura été publié.
  • MISE À JOUR # 2 (03/09/2020): Nous avons reçu d’autres clarifications et informations de Santé Canada concernant nos préoccupations:
    • Ils ont confirmé que le partage d’informations avec les forces de l’ordre «se ferait spécifiquement en cas d’attaque de cybersécurité contre le système de notification d’exposition (par exemple, en faisant appel aux forces de l’ordre pour aider à répondre), plutôt que dans des situations où les forces de l’ordre recherchent des informations de la part de Service numérique canadien et Santé Canada pour poursuivre une autre enquête. »
    • Ils ont également confirmé que toute information divulguée – y compris les adresses IP – serait considérée comme un «renseignement personnel» et qu’ils agiraient donc conformément à la Loi sur la protection des renseignements personnels et à la Charte des droits et libertés.
    • Enfin, ils sont prêts à réduire la quantité et le type d’informations conservées sur le serveur IP, mais ne prévoient pas d’apporter de modifications prochainement. Il peut également y avoir des limitations à ce qui peut être modifié sur le système où les adresses IP et les registres sont stockés. Bien que ces systèmes aient mis en place de solides mesures de sécurité, cela laisse encore place à certains problèmes de confidentialité. Nous chercherons à faire un suivi à nouveau avec les fonctionnaires dans les mois à venir pour vérifier s’ils sont disposés à réduire davantage la quantité d’informations conservées.
  • De plus, les services cloud utilisés par le gouvernement du Canada sont détenus et exploités par Amazon. Il y a des serveurs Amazon situés à Montréal et c’est probablement là que les données seront stockées puisqu’il s’agit d’une application canadienne. Pour votre information, de nombreuses entreprises comme la Banque Nationale du Canada, utilisent également ces serveurs. Le Commissaire à la protection de la vie privée dit: ‘’les Services Web Amazon fourniront l’infrastructure d’infonuagique sous-jacente qui hébergera le serveur. Cette entreprise a été retenue par l’intermédiaire d’une entente sur l’infonuagique déjà conclue par Services partagés Canada. D’après notre analyse préliminaire de cette entente, des mesures protègent l’information stockée sur le serveur. Toutefois, compte tenu de la complexité de l’entente et du temps limité dont nous disposions, nous nous réservons le droit de l’examiner à nouveau dans le cadre plus général de la stratégie d’adoption de «l’informatique en nuage d’abord» mise en place par le gouvernement du Canada’’
  • Finalement, le Commissaire à la vie privée affirme: ‘’En plus de vérifier le développement de l’application et comment elle interagit avec les serveurs fédéraux, nous avons analysé l’information publique à propos de l’interface de programmation d’application (IPA) développée par Google et Apple. Toutefois, nous n’avons pas été en mesure d’analyser complètement le code de l’IPA, qui n’est pas public. Une évaluation complète de tout l’écosystème technique dans lequel opérera l’application est au-delà de la portée de cet examen. À ce sujet, nous sommes conscients que l’incertitude au sujet de l’environnement dans lequel l’application et l’IPA interagiront a soulevé des inquiétudes chez certains analystes.’’ La recommandation du Commissaire à cet effet est: ‘’En ce qui touche Alerte COVID, le gouvernement du Canada devrait surveiller et évaluer les risques potentiels relatifs au système d’exploitation de Google et d’Apple de manière continue. Afin de conserver le même degré de transparence, le gouvernement du Canada devrait communiquer au public tout nouveau risque potentiel relatif à la vie privée associé à ce composant de l’application Alerte COVID.’’

Nous espérons que cela vous aidera à prendre votre décision d’utiliser ou non l’application. Nous discutons toujours avec des collègues dans les domaines des libertés civiles et de la vie privée, et attendons des nouvelles du Commissaire à la vie privée et du gouvernement sur nos préoccupations, et prendrons peut-être des mesures additionnelles à une date ultérieure.

Voici de l’info supplémentaire fournie par le gouvernement : https://www.canada.ca/fr/sante-publique/services/maladies/maladie-coronavirus-covid-19/alerte-covid/politique-confidentialite/evaluation.html

PS: Nous n’avons pas abordé les considérations relatives à l’efficacité et à la nécessité de l’application car elles sortent du cadre de notre mandat et de notre expertise. Nous vous encourageons à également rechercher ces informations pour prendre une décision en toute connaissance de cause.

Puisque vous êtes ici…

… nous avons une faveur à vous demander. À la CSILC, nous travaillons sans relâche afin de protéger et promouvoir les droits humains et les libertés civiles dans le contexte de la soi-disant “guerre au terrorisme” au Canada. Nous ne recevons aucune aide financière des gouvernements municipaux, provinciaux et fédéral, ni d’aucun parti politique.Vous pouvez devenir notre mécène sur Patreon et recevoir des récompenses en échange de votre soutien. Vous pouvez donner aussi peu que 1$ par mois (c’est seulement 12$ par année!) et vous pouvez vous désabonner en tout temps. Tout don nous aidera à poursuivre notre travail.support-usVous pouvez également faire un don unique ou donner mensuellement par Paypal en cliquant sur le bouton ci-dessous. Vous hésitez à donner? Consulter la page sur nos nombreuses Réalisations et Acquis depuis 2002. Merci de votre générosité!