Attestation de déplacement numérique : quels risques pour les données personnelles ?

Des publications partagées des milliers de fois sur les réseaux sociaux affirment que l'attestation de déplacement numérique à présenter lors d'un contrôle permet aux forces de l'ordre de collecter l'intégralité des données stockées dans un téléphone. C'est faux, seules les informations remplies dans le formulaire pourraient potentiellement être récoltées. Le ministère de l'Intérieur assure que ce n'est pas le cas.

Une attestation de déplacement numérique est disponible depuis lundi 6 avril, en complément du dispositif papier déjà en place, pour justifier les sorties en dépit des mesures de confinement liées au nouveau coronavirus.

Concrètement, le formulaire est téléchargeable sur le site du gouvernement, depuis un smartphone ou une tablette, afin de le présenter aux forces de l'ordre lors d'un contrôle grâce à un code QR.

(capture d'écran du site du gouvernement le 6 avril 2020)

Ce dispositif a été mis en place par le gouvernement "pour donner un peu de souplesse" aux Français qui n'avaient pas forcément accès à une imprimante ou du papier, avait expliqué le ministre de l'Intérieur Christophe Castaner, dans un entretien au Parisien.

"Il faudra préciser votre heure de sortie, mais l'heure à laquelle vous avez édité le document sera accessible aux policiers. Cela évitera que des personnes remplissent l'attestation uniquement à la vue d'un contrôle de police. Et grâce au QR code, les policiers et les gendarmes n'auront pas besoin de prendre le téléphone en main, il leur suffira de scanner l'écran", avait-il également dit. 

Sur les réseaux sociaux, certains internautes s'inquiètent d'une potentielle atteinte aux données personnelles.

Une fois contrôlé "vous serez fichés et ils pourront tout savoir de vous", assure un message largement partagé depuis le 3 avril sur les réseaux sociaux, via Facebook et Whatsapp notamment.

"Beaucoup d'entre nous ont enregistré leurs données bancaires, rendez-vous, photos et autres dans leurs téléphones. Donc tout sera stocké et centralisé", ajoute les publications.

(capture d'écran réalisée sur Facebook le 6 avril 2020)

Selon leur taille, les QR Code peuvent stocker plus ou moins de données. Celui généré pour cette attestation est une version qui ne peut contenir que 174 à 395 caractères (version 10, ndlr), bien insuffisant pour contenir toutes les données du téléphone.

Il est de plus généré depuis une page web qui ne requiert aucune autorisation spéciale. Il suffit enfin de scanner ce QR Code avec une application web pour voir s’afficher son contenu, soit simplement un résumé des informations rentrées dans le formulaire.

(capture d'écran des informations apparaissant lorsque l'on scan le QR code d'une attestation)

Lors du remplissage ou de la validation du formulaire, il ne semble pas que les informations soient transmises à un serveur distant. La page télécharge un document PDF vierge et le complète "en local" sur le navigateur.

Baptiste Robert, hacker français à la renommée internationale, a également estimé dans un thread sur Twitter que "la génération de l'attestation est faite proprement et qu'aucune donnée personnelle n'est envoyé sur les serveurs du Ministère de l'Intérieur" :

Lors d’un contrôle, l’application utilisée par les policiers pour scanner le code pourrait potentiellement sauvegarder les informations (dont le nom, le prénom, la date et lieux de naissance, l’adresse, l’heure et le motif de la sortie) dans un fichier central.

Christophe Castaner a assuré sur France Info lundi matin que ce n’était pas le cas. "Les données saisies sont stockées exclusivement sur votre téléphone ou votre ordinateur. Aucune information n'est collectée par le Ministère de l'Intérieur", explique-t-on également sur la page où on télécharge le formulaire numérique.

Sur le réseau social Linkedin, Philippe Deschamps, administrateur général et  sous-directeur des systèmes d’information au ministère de l’Intérieur, a par ailleurs promis le 3 avril que le code source de l'application utilisée par les gendarmes pour scanner le document serait publié.

Selon Arthur Messaud, juriste à la Quadrature du net, association qui défend et promeut les droits et libertés de la population sur Internet, interrogé par l’AFP : "Quand on voit le site du gouvernement, c’est le (processus) le plus simple possible".

"La seule partie qu’il va falloir analyser, c’est la façon dont la police lit le code et si elle la stocke. Mais juridiquement, il n’y a pas grand-chose à craindre. La police ne peut pas faire des bases de données sur les personnes en dehors de toute infraction. C’est à suivre de près mais il y a des sujets autrement plus important en ce moment", a-t-il estimé.

"Au regard de ce que l’on sait aujourd’hui du dispositif mis en place par le gouvernement, tout est fait pour en savoir et en faire le moins possible : certes, le formulaire du ministère contient des données personnelles, mais celles-ci sont encodées dans un code QR qui ne reste que sur le smartphone de l’utilisateur", résume le média spécialisé Numerama.

Le nouveau coronavirus continue de susciter un flot ininterrompu de fausses informations largement relayées sur les réseaux sociaux, dans le monde entier. Voici la liste des articles de vérification de l'AFP en français.

Jules Bonnard
François D'Astier