Alerte COVID : Évaluation de la protection de la vie privée de l'application de notification d'exposition à la COVID-19

Février 2021 (historique des versions)

Sur cette page

• Objectif
• Portée
• Contexte
• Partenaires et intervenants
• Fonctionnement de l'application Alerte COVID
• Analyse de la protection de la vie privée
• Annexe A : Liste des données sur l'application Alerte COVID
• Annexe B : Mesures de performance d’Alerte COVID

Objectif

Évaluer les répercussions liées à la vie privée de la mise en œuvre d'une application nationale unique de notification d'exposition à la COVID-19 fondée sur l'interface de programmation d'applications (IPA) de notification d'exposition de Google/Apple.

Portée

Cette évaluation portera sur les répercussions de l'application sur la vie privée, particulièrement en ce qui a trait aux renseignements ou aux données qui seront sous le contrôle du gouvernement du Canada, y compris les données qui seront transmises au serveur du gouvernement du Canada (serveur de clés). Elle n'examinera aucun renseignement sous le contrôle des provinces et territoires (PT), comme le mécanisme par lequel les clés à usage unique sont distribuées aux particuliers dans le cas des PT qui distribuent eux-mêmes les clés à usage unique.^{Note de bas de page 1}

Certains processus qui se déroulent au niveau des PT, sur un appareil, ou à destination et en provenance d'un appareil, lorsque le gouvernement du Canada n'aura accès à aucune des données, sont décrits dans la présente évaluation afin de décrire la circulation complète des renseignements, même si ces données ne sont pas considérées comme étant sous le contrôle du gouvernement du Canada.

Contexte

Dans le cadre des efforts pour réduire la propagation du virus de la COVID-19 tout en assouplissant progressivement les restrictions imposées et en permettant à l'économie de recommencer, le gouvernement du Canada a lancé le 31 juillet 2020 une application nationale unique de notification d'exposition à la COVID-19 (ci-après dénommée Alerte COVID). Cette application est interopérable entre les provinces et a été conçue pour minimiser la collecte et le stockage de renseignements qui permettraient d'identifier les utilisateurs. Afin de minimiser les risques relatifs à la vie privée, on a déterminé qu'une application de notification d'exposition, par rapport à une application de recherche de contacts, était l'approche privilégiée pour établir une solution numérique pancanadienne afin de soutenir les efforts visant à réduire la propagation du virus.

La notification d'exposition est considérée comme une approche peu intrusive destinée à être utilisée en combinaison avec et à l'appui des mesures de santé publique actuellement prises dans tout le Canada en réponse à la pandémie. Alerte COVID suit une approche entièrement décentralisée selon laquelle les renseignements identifiables ne sont pas collectés et stockés dans un seul lieu central. Au lieu de cela, lorsqu'un utilisateur télécharge l'application et consent à ses diverses fonctions, son appareil mobile transmet des identifiants aléatoires qui sont utilisés pour enregistrer la proximité avec l'appareil d'un autre utilisateur de l'application. Cette méthode diffère des applications de recherche de contacts qui accèdent aux données de localisation d'un appareil et les signalent aux autorités de santé publique. La section sur Le fonctionnement de l'application Alerte COVID du présent document fournit de plus amples renseignements sur le fonctionnement de l'application.

L'application vise à compléter les mesures existantes pour réduire la propagation du virus, y compris la recherche manuelle des contacts. Elle permet d'informer les Canadiens s'ils ont été près d'une personne qui a reçu un diagnostic de COVID-19 et qui utilise également l'application, et les encourage à prendre des mesures appropriées (par exemple, se faire tester). Si quelqu'un a eu un test positif pour la COVID-19 dans une province ou un territoire utilisant l'application, les autorités locales de santé publique peuvent le conseiller sur les prochaines étapes et lui fournir une clé à usage unique à entrer dans l'application, ce qui à son tour informera les autres utilisateurs de l'application qui ont été proches d'eux. Cette mesure aidera à réduire la propagation globale du virus.

Les avantages de cette approche en matière de santé publique comprennent l'encouragement des tests pour ceux qui apprennent qu'ils ont un risque élevé d'exposition, et la mise en garde des utilisateurs d'applications qui reçoivent des messages de risque accru d'ajuster leur comportement pour éviter de mettre d'autres personnes en danger, même s'ils ne présentent pas actuellement de symptômes. Par exemple, si quelqu'un reçoit une notification, il peut décider de ne pas rendre visite à un parent âgé ou d'assister à un rassemblement social. Cela permet aux Canadiens d'assumer leurs responsabilités et de réduire la propagation de la maladie dans la collectivité.

Chaque PT a la possibilité d'adopter l'application aux besoins de sa compétence. Aucune donnée provenant d'une application de notification d'exposition ou de recherche des contacts préexistante que les PT pourraient déjà avoir en place ne sera transférée à l'application nationale de notification d'exposition à la COVID-19.

Partenaires et intervenants

Voici la liste des partenaires et des intervenants qui participent au développement et à la diffusion de l'application, ainsi que leurs rôles et responsabilités respectifs :

Santé Canada (SC)

SC est responsable de la mise en œuvre globale de l'application. Son rôle consiste à collaborer avec les provinces et les territoires pour encourager la participation et faciliter l'intégration de l'application. SC est également responsable d'évaluer les répercussions et les risques relatifs à la vie privée associés à la mise en œuvre de l'application et d'engager le Commissariat à la protection de la vie privée à des consultations valables et d'obtenir une rétroaction significative. De plus, SC met en œuvre une stratégie de communication pour stimuler l'adoption de l'application, appuyée par d'autres entités.

Secrétariat du Conseil du Trésor - Service numérique canadien (SNC)

Le SNC est responsable de fournir des services de soutien interne (services de technologie de l'information) à Santé Canada. Il est responsable du développement des composantes technologiques de l'application de notification d'exposition. En plus de développer l'application, le SNC exploite le serveur de clé du gouvernement du Canada (situé au Canada) qui stocke des clés chiffrées de diagnostic qui reflètent les cas positifs à la COVID-19. Le serveur fonctionne sur une solution infonuagique achetée par le biais du service de courtage en nuage de Services partagés Canada (SPC). Le SNC apporte également un soutien aux partenaires des provinces et des territoires pour l'intégration de la distribution de clés uniques dans leurs processus de notification des résultats. Il s'agit notamment de fournir aux PT l'accès à des clés à usage unique que les utilisateurs entreront dans l'application lorsqu'ils reçoivent un diagnostic positif, par le biais d'une API ou d'un portail géré par le gouvernement fédéral à l'intention des professionnels de la santé autorisés.

Le SNC est appuyé par la Division de la cybersécurité du Bureau du dirigeant principal de l'information (BDPI). La Division de la cybersécurité prête son expertise en matière de sécurité pour appuyer les efforts du SNC en matière d'assurance de la sécurité, de modélisation des menaces et d'évaluation des risques.

Innovation, Sciences et Développement économique (ISDE)

ISDE est responsable de l'élaboration, de la mise en œuvre et du soutien d'un modèle de gouvernance pour appuyer le déploiement efficace de l'application avec SC. Plus précisément, ISDE a joué un rôle en tant que responsable conjoint avec SC dans la mise en place d'un secrétariat et continue de jouer un rôle en assurant les fonctions au Conseil consultatif de l'application d'avis d'exposition à la COVID-19.

Centre canadien pour la cybersécurité (CCC / Centre pour la cybersécurité)

Conformément à son mandat de fournir des conseils et une orientation en matière de cybersécurité aux partenaires fédéraux et des infrastructures essentielles, le Centre pour la cybersécurité fournit une aide spécialisée en matière de cybersécurité sous la forme d'un examen de la conception et de l'architecture des systèmes, d'une analyse et d'un examen du code source, ainsi que d'activités connexes d'assurance de la sécurité. L'application bénéficie des solides mesures de protection de la sécurité des systèmes fédéraux gérés par divers organismes, dont SPC et le Centre pour la cybersécurité. Le Centre pour la cybersécurité ne participe pas à l'exploitation de l'application et ne recueillera ni n'analysera les renseignements sur les utilisateurs dans le cadre de l'initiative gouvernementale de notification d'exposition à la COVID-19.

Google/Apple

Google et Apple ont développé conjointement l'API de l'application de notification d'exposition adoptée, sous réserve des conditions générales de Google et d' Apple (hyperliens en anglais seulement) par le gouvernement du Canada pour l'application Alerte COVID. Ni Google ni Apple n'ont accès aux données. Le SNC consulte Google et Apple lorsque les deux entreprises publient de nouveaux changements à un système d'exploitation ou à un cadriciel.

Shopify

Les volontaires de Shopify ont développé un code de logiciel à source libre (hyperlien en anglais seulement) compatible avec l'API Google/Apple, disponible pour toute compétence qui souhaite développer un système de notification d'exposition. Alerte COVID a été développé à l'aide de ce code source. En aucun moment Shopify n'a pu et ne peut ajouter de code dans le référentiel de codes administré par le SNC, qu'il s'agisse de l'entreprise comme telle ou d'employés volontaires de Shopify. Tout le personnel pouvant être intégré à l'équipe du SNC pour l'aider sera géré conformément aux politiques de dotation du Conseil du Trésor.

BlackBerry

BlackBerry a fourni un soutien à titre consultatif et gracieux pour examiner la sécurité du code source. On leur a donné accès en lecture seule au code source du SNC et à l'infrastructure d'essai afin de découvrir explicitement les vulnérabilités ou les faiblesses de notre mise en œuvre. En aucun moment BlackBerry n'a eu ou n'a ou n'exigera un accès aux données pour effectuer son audit de sécurité.

Fonctionnement de l'application Alerte COVID

Le système de l'application Alerte COVID comporte trois éléments :

1. l'application mobile (au niveau fédéral);
2. le serveur clé (au niveau fédéral);
3. le processus de distribution des clés à usage unique (au niveau provincial).

Les utilisateurs téléchargent volontairement l'application à partir de la boutique Google Play ou de la boutique Apple iOS sur leur appareil et donneront leur consentement pour participer au processus de notification d'exposition. Plus précisément, ils devront examiner et accepter une déclaration claire et accessible qui leur fournira des renseignements sur le fonctionnement de l'application, la manière dont les renseignements sur l'exposition seront reçus par l'utilisateur et transmis aux autres utilisateurs, les données qui seront recueillies à leur sujet, la manière dont ces données seront utilisées et le lieu où elles seront stockées.

Le téléchargement et l'installation de l'application ne lancent pas le processus de notification d'exposition. Lorsqu'un utilisateur ouvre l'application pour la première fois, on lui présente une procédure sur le fonctionnement des notifications d'exposition et le partage des données. On lui demande ensuite s'il souhaite activer les notifications d'exposition. Une boîte de dialogue de consentement du système d'exploitation de son appareil s'affiche. S'il active les notifications d'exposition, la « couche » de notification d'exposition de l'API Google/Apple (couche GAOS) de l'appareil est activée. Cela active également la fonction Bluetooth de l'appareil, de sorte que l'appareil commence à envoyer et recevoir des signaux mobiles vers d'autres utilisateurs qui ont téléchargé l'application. Cette communication Bluetooth entre les utilisateurs participants est une communication d'appareil à appareil de courte portée; rien n'est transmis à un serveur.

La conception de l'API Google/Apple est telle que cette couche protégée du système d'exploitation est isolée, de sorte qu'aucune autre application sur l'appareil ne peut accéder à ses données, et même l'application de notification d'exposition ne peut pas accéder aux données sans le consentement explicite de l'utilisateur. Une seule application par appareil peut accéder à la couche Google/Apple, et une seule application par région géographique est autorisée.

Qu'est-ce qui est communiqué exactement entre les utilisateurs participants?

Chaque appareil sur lequel l'application est installée envoie et reçoit des codes aléatoires appelés des identifiants de proximité variable (IPV) qui ne sont pas statiques : chaque jour, la couche GAOS génère automatiquement une clé d'exposition temporaire (CET). La CET du jour génère ensuite un nouvel IPV toutes les 5 à 20 minutes. Ce sont ces IPV en constante évolution qui sont communiqués avec d'autres appareils.

La génération quotidienne de CET et la génération fréquente d'IPV sont des caractéristiques de conception visant à atténuer le risque de réidentification des utilisateurs. (De plus, ils sont conçus pour réduire au minimum transfert de données afin de conserver la bande passante.) Les IPV ne sont pas identifiables et ne sont pas accessibles à l'application ou transmises au serveur de clés. Par conception, les IPV sont censés être publics (ils sont partagés avec d'autres appareils par Bluetooth), et ne fournissent donc aucune forme de renseignements d'identifiables en l'absence d'autres renseignements. Même si un IPV était intercepté par un appareil exploité par un acteur malveillant, il serait un nombre totalement insignifiant, et ne serait pas relié à un appareil sans effort significatif. Les CET sont stockées sur l'appareil, mais l'on ne peut les communiquer au serveur de clés qu'en cas de résultat positif et de consentement explicite de l'utilisateur.

Lorsqu'un utilisateur reçoit un résultat positif au test de la COVID-19, les autorités de la santé PT qui ont adopté l'application lui fournissent une clé unique ^{Note de bas de page 2} et des instructions sur la manière de l'entrer dans l'application.^{Note de bas de page 3} Certaines PT ont la capacité d'extraire des clés à usage unique du serveur de clés à l'aide de leur infrastructure informatique actuelle (par exemple, certaines provinces et territoires disposent d'une plateforme pour donner aux particuliers en ligne des résultats de la COVID-19 et la même plateforme peut être utilisée pour livrer des clés à usage unique), alors que d'autres PT ne dispose pas de cette capacité (par exemple, certains donnent les résultats des tests au téléphone). Dans le cas des PT qui ne disposent pas de la capacité d'extraire les clés à usage unique, le SNC a développé le portail Alerte COVID (le portail) que les provinces et territoires peuvent utiliser pour extraire les clés et les remettre aux utilisateurs de l'application qui ont testés positifs pour la COVID-19.

Bien que le portail dépendra de l'extraction de clés à usage unique provenant du serveur clé, il n'est pas connecté à l'application d'aucune façon et ne sera pas connecté à aucun système informatique d'une province ou d'un territoire. Seuls les renseignements personnels des administrateurs et des professionnels de la santé des provinces et des territoires seront recueillis de sorte qu'ils puissent créer des comptes au portail et extraire les clés à usage unique. Le portail ne recueillera ni ne conservera des renseignements sur les patients.

Une fois que la clé à usage unique est entré dans l'application, celle-ci validera la clé et demandera à l'utilisateur s'il souhaite que ses CET soient envoyées au serveur de clés.^{Note de bas de page 4} Si la personne répond par l'affirmative, l'application communique avec la couche GAOS. La couche GAOS demande une seconde fois si la personne consent à envoyer leurs CETs au serveur de clés. Si la personne y consent, les CET sont envoyées au serveur de clés, ce qui permet aux autres utilisateurs avec lesquels elle a été en contact au cours des 14 derniers jours d'être avisés, une fois que leur application a téléchargé ces clés. Les utilisateurs de l'application ont également la possibilité de télécharger leurs clés de diagnostic pendant les 14 jours suivant la réception d'un diagnostic positif, dans le scénario malheureux où une personne qui a la COVID-19 ne peut pas se mettre en quarantaine (par exemple, n'a pas de congé de maladie; vit seul et doit faire des emplettes).

Option d'entrer la date d'apparition de symptômes et de la date du test

Après avoir entré une clé à usage unique, l'on demandera à l'utilisateur s'il y a des symptômes et, si c'est le cas, la date d'apparition de ses symptômes. Si l'utilisateur ne sait pas avec certitude s'il a des symptômes ou s'il est asymptomatique, on lui demandera la date de son test. L'utilisateur peut choisir de ne pas répondre à ces questions.

Si l'utilisateur entre la date d'apparition de symptômes ou la date d'un test, l'application se sert de cette information pour déterminer les dates où il est probablement le plus contagieux (deux jours avant l'apparition de symptômes ou le test) et télécharge seulement ses CET ^{Note de bas de page 5} des dates pertinentes au serveur national. Si l'utilisateur n'entre pas la date d'apparition de ses symptômes ou la date d'un test, l'application téléchargera les CET à partir des dernier 14 jours.

Le but est de cerner de façon plus précise les gens qui auraient pu être en contact avec l'utilisateur dont le test est positif à la COVID-19 pendant la période où celui-ci était probablement le plus contagieux en leur envoyant une notification d'exposition. Lorsque l'utilisateur entre une date d'apparition de symptômes ou une date de test, celle-ci n'est pas transmise au serveur de clés. La date est mise en mémoire dans le téléphone jusqu'à ce que l'utilisateur ferme l'écran ou effectue le premier téléchargement de ses CET; à ce stade-là, la date n'est plus stockée nulle part.

Les CET sont générées une fois par jour et expirent après 14 jours sur l'appareil. Une CET devient une « clé de diagnostic » une fois qu'elles sont libérées pour être téléchargées sur le serveur de clés. Si l'utilisateur consent à télécharger et à transmettre les clés de diagnostic, les autres utilisateurs avec lesquels il a été en contact peuvent recevoir une notification.^{Note de bas de page 6} Veuillez noter que si une personne a eu un nombre très limité de contacts au cours des 14 derniers jours, il est possible que l'utilisateur qui reçoit la notification puisse l'associer à une personne.^{Note de bas de page 7}

Comment les personnes sont-elles informées de l'exposition à une personne dont le test est positif?

Selon un calendrier prédéfini (une fois toutes les 4 à 24 heures, selon la charge de la batterie, et quand l'application est ouverte), l'application télécharge les nouvelles clés de diagnostic du serveur de clés. L'application transmet ces clés de diagnostic à la couche GAOS qui génère ensuite de nouveaux IPV à partir de chacune des clés de diagnostic fournies. Le système GAOS compare ces IPV régénérés à la liste des IPV stockés localement qui se sont rencontrés au cours des 14 derniers jours. Si la couche GAOS constate que l'un des IPV régénérés et stockés localement correspond, et que les critères de risque de notification d'exposition sont remplis (durée d'exposition, intensité du signal, etc.), la couche GAOS envoie un signal positif à l'application. Si l'application reçoit un signal positif, elle envoie une notification d'exposition à l'utilisateur final. La correspondance se fait sur l’appareil. Le serveur de clés n’a aucun moyen de savoir si deux appareils ont interagi.

Lorsqu'un utilisateur de l'application est déclaré positif pour la COVID-19 dans une province ou un territoire qui a adopté l'application, il obtiendra une clé unique qui lui sera fourni par sa province ou son territoire (la façon dont cela se produit dépendra du PT). Cette clé est fournie à la province ou au territoire par le gouvernement du Canada, et le gouvernement du Canada n'a aucun moyen de savoir à qui cette clé est associée (c'est-à-dire, la personne qui recevra cette clé). Tout ce que le gouvernement du Canada sait, c'est que quelqu'un dans une province ou un territoire a été déclaré positif pour la COVID-19. Cela dit, les protocoles d'entente conclus avec les PT qui adoptent l'application comprendront des exigences visant à protéger les clés, à s'assurer qu'ils ne sont conservés que le temps nécessaire et à les supprimer une fois obtenus par l'utilisateur de l'application.

Lorsque des personnes sont avisées d'une exposition à une personne qui a obtenu un résultat positif au test, l'application fournira des renseignements stockés dans l'application qui sont transmis par les autorités de la santé provinciales (par exemple des renseignements sur les endroits où se faire tester).

Analyse de la protection de la vie privée

Notre analyse de la protection de la vie privée se divise en deux parties. La première partie examine s'il existe une collecte de renseignements personnels. La deuxième partie consiste en une analyse de l'application en fonction des principes de protection de la vie privée énoncés dans la Déclaration conjointe des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée, publiée le 7 mai 2020.

Des renseignements ou des données personnelles sont-ils recueillis?

Les éléments de données (voir l'annexe A) qui seront sous le contrôle du gouvernement du Canada, et stockés dans le serveur de clés du gouvernement du Canada (situé au Canada) ne contiennent aucun identifiant direct (par exemple, nom, numéros d'identification, etc.).

On trouvera ci-après de plus amples renseignements sur les IPV et les CET, sur l'émission des clés à usage unique fournies aux utilisateurs de l'application qui reçoivent un diagnostic positif, sur l'utilisation des adresses IP pour des raisons de sécurité, sur l'identifiant de hachage, et sur la collecte de mesures de performance de l’application. Nous apporterons également plus de précisions quant aux mesures de protection très solides qui sont en place et à la courte conservation de certains de ces éléments.

Tout d'abord, il convient de noter que, peu importe l'application, les PT recueillent des renseignements personnels sur les personnes qui ont été déclarées positives pour la COVID-19 selon leurs exigences législatives - cela se produit entièrement à l'extérieur de l'application et n'est pas recueilli par le gouvernement du Canada par l'entremise de l'application.

IPV et CET

Comme décrit dans la section sur Le fonctionnement de l'application Alerte COVID, les IPV et les CET générées par l'application sont une caractéristique de conception visant à réduire le risque de réidentification à près de zéro. Les données ne permettent pas d'identification directe, et parmi ces éléments, seules les CET sont stockées sur le serveur de clés et seulement lorsqu'une personne a été testée positive et choisit de télécharger ces renseignements.

De plus, les IPV sont censés être publics par conception (ils sont partagés avec d'autres appareils par Bluetooth), et ne fournissent donc aucune forme de renseignements identifiables en l'absence d'autres renseignements. Même si un IPV était intercepté par un appareil exploité par un acteur malveillant, il serait un nombre insignifiant à lui seul, et ne serait pas relié à un appareil sans effort significatif. Il y a un risque très improbable qu'un acteur malveillant hautement motivé puisse tirer parti de ce qu'on appelle une « attaque de recoupement de données ». En plaçant des appareils de collecte Bluetooth à divers endroits d'une ville - par exemple, à chaque intersection - ils pourraient recueillir les IPV des passants. Si une personne a été diagnostiquée et décidait de télécharger ses clés de diagnostic, cet attaquant pourrait recréer le parcours d'un appareil dans la ville. Cela dit, pour suivre efficacement le parcours de quelqu'un, un attaquant devrait avoir de nombreux appareils de collecte déployés à une densité importante dans toute une région géographique. Une telle attaque est possible, mais nécessite des ressources et une expertise considérables pour être mise en œuvre. De plus, la probabilité de succès d'une telle attaque est encore plus faible, étant donné qu'il y a de fortes chances que l'acteur malveillant soit arrêté et que l'attaque soit évitée.

Clés à usage unique, adresses IP, jetons API et identifiants de hachage

Clés à usage unique et jetons API

Lorsqu'un utilisateur de l'application est déclaré positif pour la COVID-19 dans une province ou un territoire qui a intégré l'application, il obtiendra une clé unique qui lui sera fourni par sa province ou son territoire (la façon dont cela se produit dépendra du PT). Cette clé est fournie à la province ou au territoire par le gouvernement du Canada, et le gouvernement du Canada ne sait pas à qui cette clé est associée (c'est-à-dire, la personne qui recevra cette clé). Tout ce que le gouvernement du Canada sait, c'est que quelqu'un a été déclaré positif pour la COVID-19. Cela dit, les protocoles d'entente conclus avec les PT qui adoptent l'application comprendront des exigences visant à protéger les clés, à s'assurer qu'ils ne sont conservés que le temps nécessaire et à les supprimer une fois obtenus par l'utilisateur de l'application. De plus, chaque province protégera les renseignements conformément aux exigences qui lui sont imposées par les lois provinciales ou territoriales applicables.

Lorsqu'une province ou un territoire demande une clé à usage unique pour le fournir à l'utilisateur, le système de la province ou du territoire pour obtenir la clé doit prouver au serveur de clés qu'il est légitime - c'est-à-dire que le système de la province ou du territoire est géré par un fournisseur de soins de santé de la province ou du territoire. Pour gérer cette authentification, le serveur de clés utilise des jetons API. Chaque jeton API est une chaîne alphanumérique aléatoire d'au moins 20 caractères, générée par le SNC. Le SNC génère un jeton API pour chaque système de la province ou du territoire intégrant avec le serveur de clés afin d'obtenir des clés uniques. Le système de la province ou du territoire fournit ce jeton API au serveur de clés lorsqu'il demande une clé unique.

Les PT peuvent également générer des clés à usage unique en utilisant un portail de soins de santé administré par le gouvernement du Canada. Dans ce cas, les professionnels de la santé qui ont été autorisés par une province ou un territoire peuvent ouvrir une séance dans un portail sécurisé administré par le SNC. Ce portail de soins de santé ne renferme aucune donnée sur les patients et est utilisé que pour générer des clés à usage unique, qui sont extraits au moyen d'un jeton API provenant du serveur de clés. Il incombe aux PT de désigner les fonctionnaires issus de leurs organisations de soins de santé qui peuvent servir comme administrateurs du portail et de gérer les comptes des utilisateurs pour leur PT respectif.^{Note de bas de page 8}

Tel que décrit à la section sur Le fonctionnement de l'application Alerte COVID, la clé unique existe pour permettre aux utilisateurs (qui reçoivent la clé par leur province) de télécharger leurs clés de diagnostic sur le serveur de clés, en agissant comme une mesure anti-pourriel pour s'assurer que les fausses clés de diagnostic ne sont pas téléchargées accidentellement ou de façon malveillante. Les clés de diagnostic ne sont pas associées à la clé à usage unique ni téléchargées sur le serveur de clés avec la clé. Une fois que la clé est entré dans l'application par l'utilisateur, il est envoyé directement de l'application au serveur de clés, et elle n'est pas conservée dans l'application. Le serveur de clés vérifie ensuite si cette clé unique est valide ou non. Si elle est valide, le serveur de clés efface son enregistrement de la clé unique et permet à l'application de télécharger les clés de diagnostic de l'appareil, avec le consentement de l'utilisateur, en échangeant une paire de clés de chiffrement avec l'application pour s'assurer que les clés de diagnostic sont chiffrées en transit. Par conséquent, comme nous l'avons noté, la clé unique n'est pas associée aux clés de diagnostic téléchargées.

Les utilisateurs ont l'option d'entrer la date de l'apparition de symptômes ou la date du test afin d'affiner le processus de notification d'exposition aux utilisateurs qui ont été en proche contact avec un cas positif durant la période de contagion. Bien que ces données ne soient pas téléversées au serveur, il est possible théoriquement de calculer le nombre des CET téléchargées par événement à partir du volume du téléchargement et, en faisant de l'ingénierie inverse, de dériver la date probable de l'apparition de symptômes ou du test au moyen de l'information et de l'horodatage des opérations informatiques. Même si une date probable est déduite par ingénierie inverse, le risque de réidentification demeure faible, car cela nécessiterait un effort et un accès de même niveau que ce qui serait nécessaire pour lier un diagnostic positif à une adresse IP particulière (on en traite plus à fond plus loin). Ajoutons que même si cela était réalisable, il est impossible de savoir de quelle date il s'agit : la date d'apparition de symptômes ou la date d'un test.

Pendant les 14 jours suivant l'entrée d'une clé de diagnostic, l'application « sait » qu'une personne a réussi à entrer une clé unique unique valide. Il en est ainsi qu'ils ont l'option de télécharger leurs clés de diagnostic pendant les 14 jours suivant la réception d'un diagnostic positif (ainsi que les jours précédant leur diagnostic positif; le nombre de jours dépend si un utilisateur à entrer la date d'apparition de symptômes ou la date d'un test). Dans le scénario malheureux où une personne qui a la COVID-19 ne peut pas se mettre en quarantaine, cette personne télécharge ses clés d'exposition temporaires sur le serveur de clés; ce qui les rend disponibles au téléchargement par les téléphones d'autres utilisateurs. L'application sur ces téléphones et la couche API font ensuite le rapprochement pour déterminer, en ce qui concerne chacun de ces téléphones, si le téléphone, et donc son propriétaire, a été en contact avec le téléphone de la personne qui a été déclarée positive pour la COVID-19.

Adresses IP

L'adresse IP accompagne toute demande faite auprès du serveur de clés (lorsqu'un utilisateur choisit de télécharger leurs codes aléatoires, ou entre leur clé unique). Cependant, l'adresse IP n'est pas intentionnellement « envoyée » par l'application. Elle accompagne naturellement la demande : les adresses IP sont des métadonnées requises dans le cadre du protocole Internet sous-jacent qui alimente la transmission de données sur l'Internet; sans cela, l'application et le serveur ne seraient pas en mesure de communiquer. En d'autres termes, les adresses IP accompagnent toutes les demandes adressées au serveur (génération de clé unique, vérification de clé unique, téléchargement de clé de diagnostic, etc.). Dans la plupart des cas, l'adresse IP n'est pas du téléphone en particulier, mais d'un routeur sans fil ou est attribuée de façon dynamique par un opérateur de réseau cellulaire. Peu de personnes ont des adresses IP statiques qui leur sont associées de façon permanente, en raison du nombre limité d'adresses statiques. En envoyant ces renseignements, l'adresse IP accompagne la demande, comme toute demande envoyée sur Internet.

Dans le cas où la clé unique n'est pas valide, l'adresse IP de l'utilisateur est conservée au niveau du serveur de clés pendant une période continue de 60 minutes (hyperlien en anglais seulement). Après cinquante tentatives invalides consécutives à partir de la même adresse IP, l'adresse IP est bloquée pendant soixante minutes. L'adresse IP connexe est supprimée du système soixante minutes après la dernière tentative non valide pour vérifier une clé unique.

Les adresses IP sont conservées dans des registres d'accès sur le serveur services Web d'Amazon, qui est distincte du serveur de clés, pour une période de trois mois pour tous les registres, et jusqu'à 24 mois pour les ceux impliquées dans une enquête de sécurité, pour les systèmes de cybersécurité pour bien comprendre, de surveiller et de répondre à des attaques contre le système et pour le fonctionnement sécuritaire et fiable du service. De plus, les adresses IP ne sont pas utilisées par SNC pour identifier la source de quelque manière que ce soit, et elles ne sont associées à aucun autre élément de données dans le serveur. Les adresses IP sont recueillies à des fins de sécurité. Le système du SNC ne les utilise pas pour tenter d'identifier la source. Les adresses IP peuvent être divulguées pour l'application de la Loi dans le cas où un acteur malveillant a tenté de gain, ou acquis, l'accès au serveur où ils sont conservés. Ils seraient supprimés ainsi que d'autres données une fois que le système de notification d'exposition est fermé (c.-à-d., une fois que la pandémie est déclarée terminée), à moins qu'ils ne soient conservés dans le cadre d'une enquête de sécurité.

Le SNC n'a pas les moyens techniques de connecter une adresse IP ou un jeton API à un téléphone intelligent ou à une personne. Les jetons API sont uniquement associés aux systèmes des PT intégrants avec le serveur de clés afin d'obtenir des clés uniques. En ce qui concerne les adresses IP, techniquement, cela nécessiterait soit une analyse sophistiquée (au-delà des capacités du SNC), soit l'accès aux bases de données et les listes d'abonnés des fournisseurs de services Internet (pas dans la capacité de SNC d'accéder ou de contraindre).

Identifiants de hachage

Ce qui suit fournit de plus amples renseignements sur l'identifiant de hachage dans le contexte de certaines PT utilisant un portail libre-service en ligne.

Lorsque le système des résultats de tests d'un PT utilisant cette fonction communique avec le serveur de clés du gouvernement du Canada pour obtenir une clé à usage unique, il passe à l'aide d'un identifiant de hachage produit par chiffrement, généré à l'aide d'une série d'algorithmes de hachage unidirectionnel. L'identifiant de hachage est généré par la province ou le territoire à partir d'éléments de données uniques sous leur contrôle, mais il est haché de telle manière que, lorsqu'il est donné au gouvernement du Canada, il est insignifiant.

Même si l'identifiant de hachage est stocké sur le serveur de clés du gouvernement du Canada, les renseignements utilisés pour le générer ne le sont pas. L'identifiant de hachage est associé à une clé unique lors de la génération de la clé.

Cette fonctionnalité a été ajoutée initialement à la demande de l'Ontario, afin d'éviter les abus du système. Le stockage de l'identifiant de hachage en même temps que la clé unique généré permet aux systèmes des PT de vérifier s'il faut ou non émettre une nouvelle clé unique. Le système des PT peut voir si une clé unique précédemment fourni avait déjà été demandé. Si une clé à usage unique fourni précédemment n'a pas encore été demandé, la génération d'une nouvelle clé à usage unique portant le même identifiant de hachage invalide automatiquement la clé à usage unique précédent. Si la clé à usage unique précédent n'a pas encore été demandée, une nouvelle clé n'est pas générée.

Mesures de performance de l’application

Des données sont recueillies à partir d’Alerte COVID pour permettre à SC de mieux mesurer et encourager l’adoption de l’application, et de surveiller son rendement et son efficacité pour limiter la propagation de la COVID-19. Les données utilisées pour obtenir des mesures de performance sont recueillies en créant des journaux des événements concernant les expériences et/ou les actions des utilisateurs. Ces journaux des événements sont transmis au serveur de clés et seront accompagnés de l’adresse IP. Cependant, les journaux des événements et l’adresse IP ne pourront pas être liés et ne seront jamais stockés ensemble. Les données seront chiffrées en transit et stockées de deux manières sur le serveur de clés :

1. En tant que journal des événements individuel stocké pendant 24 heures qui contient le type d’événement, le type d’appareil (p. ex., iPhone, Android), la date et l’heure;
2. En tant que registre de données regroupées de tous les événements, mis à jour toutes les 24 heures, qui est stocké indéfiniment et qui contient la date, le type d’événement, le type d’appareil et le nombre total d’événements par jour.

Consultez l’Annexe B pour obtenir un aperçu et une analyse de la protection de la vie privée concernant la collecte de mesures de performance de l’application.

Points à considérer en matière de sécurité

En termes de risque pour la sécurité, une personne ayant un accès direct aux systèmes de soins de santé des PT au niveau des serveurs et des bases de données (professionnel de la santé, informaticien ou acteur malveillant qui s'était introduit dans ces systèmes) pourrait déterminer si une personne en particulier ayant reçu un diagnostic positif avait alors décidé de télécharger des clés de diagnostic. Ils ne pourraient pas suivre les clés de diagnostic qu'un patient a téléchargées par la suite.

On s'attend à ce que les PT utilisent des algorithmes de hachage cryptographique assez solides (la mise en œuvre de mesures de sécurité appropriées fera partie des ententes conclues avec les provinces), de sorte que le gouvernement du Canada est incapable d'identifier quelqu'un qui a l'identifiant de hachage. De plus, il ne peut être relié à aucune donnée en possession du gouvernement du Canada pour déterminer si quelqu'un a téléchargé ou non des clés de diagnostic.

Conclusion : Y a-t-il une collecte de renseignements ou de données personnels?

Nous reconnaissons qu'il n'y a jamais de risque zéro quand les données sont divulguées, et la seule façon de réduire le risque de divulgation des données à zéro est de ne pas divulguer de données du tout.

Nous reconnaissons également la position adoptée par de nombreux organismes de réglementation de la vie privée qui estiment que l'évaluation du risque de la réidentification doit tenir compte non seulement des données elles-mêmes, mais aussi du contexte dans lequel les données sont partagées.

Le contexte du serveur de clés du gouvernement du Canada est celui qui présente le plus faible risque du spectre : il se caractérise par un accès restreint, des mesures de sécurité informatique solides et des ententes en place.

Dans le contexte plus vaste de l'ensemble de l'application de notification d'exposition :

• l'adresse IP n'est pas nécessairement un identifiant direct;
• l'accès est très restreint, tant du point de vue de la TI que de la gouvernance.

Nous tenons aussi qu'il s'agit d'une divulgation non publique avec une faible possibilité d'attaque et une faible incidence, ce qui signifie que la tolérance au risque doit être plus élevée.

Pour considérer ces données comme des renseignements personnels, il faudrait considérer automatiquement les données présentant un risque minimal de réidentification (plutôt qu'une possibilité sérieuse de réidentification, défini comme étant plus que frivole) comme des renseignements personnels, quel que soit le contexte. À notre avis, dans ce contexte, ces données demeurent en dessous du seuil de « risque sérieux de réidentification ».

De plus, la Cour fédérale dans l'affaire Sig Sauer (Canada (Commissaire à l'information) c. Canada (Sécurité publique et Protection civile Canada), 2019 FC 1279) a conclu que « Pour identifier une personne à l'aide d'un numéro de série, il faudrait accéder aux bases de données à accès restreint du gouvernement, lesquelles contiennent déjà des renseignements personnels, ou amener un responsable du gouvernement ou le fabricant à divulguer des renseignements personnels. Les éléments de preuve n'établissent pas l'existence d'une possibilité sérieuse que l'une ou l'autre de ces deux situations se produise. » Dans cette affaire, le juge McHaffie était satisfait qu'il n'y ait pas eu de renseignements personnels en cause.

Dans ce cas, les adresses IP ne révèlent pas d'identité individuelle; elles sont stockés sur un serveur sécurisé auquel seuls des employés limités du gouvernement du Canada ont accès, et ils sont tenus par des obligations de sécurité de protéger ces renseignements et de ne pas y accéder ou de les utiliser à des fins malveillantes.

De plus, les mesures de performance recueillies par SC ne contiennent aucun renseignement permettant d’identifier directement une personne. Les journaux individuels seront stockés pendant une courte période. Ils seront compilés sous forme de données regroupées (nombre total d’utilisateurs / mesure de performance) et ne seront pas combinés avec d’autres renseignements, y compris les adresses IP (consultez l’Annexe B pour obtenir une analyse de la protection de la vie privée concernant les mesures de performance de l’application).

En conclusion, compte tenu de l'ensemble des circonstances, alors que les éléments de données échangés par l'application, le serveur de clés central et les serveurs des PT pourraient en théorie être utilisés pour produire des renseignements personnels identifiables, les mesures prises pour développer l'application, le serveur central de clés et les serveurs des PT, outre la manière dont ils recueillent, échangent, utilisent et conservent ces éléments de données, réduisent le risque au minimum possible. Notre évaluation globale est qu'il est si peu probable qu'une personne puisse être identifiée, que la collecte d'éléments de données (y compris les adresses IP) et leur utilisation n'arrivent pas au seuil de « possibilité sérieuse » qu'une personne puisse être identifiée.^{Note de bas de page 9}

Néanmoins, si l'on parvient à une conclusion différente quant à l'évaluation de la possibilité de considérer un élément de données comme des renseignements personnels, toutes les exigences de la Loi sur la protection des renseignements personnels et des politiques du Conseil du Trésor sur la protection des renseignements personnels ont été respectées afin de garantir la protection des renseignements personnels des utilisateurs.

Veuillez noter que la liste des éléments de données (annexe A), et par conséquent cette évaluation, peut être modifiée à mesure que l'application est mise en œuvre et adoptée par les provinces et territoires. Le Commissariat à la protection de la vie privée sera consulté sur toute modification ou mise à jour substantielle qui pourrait avoir une incidence sur cette évaluation.

Principes de protection de de la vie privée

Consentement et confiance

L'utilisation de l'application est volontaire. Si les utilisateurs ont reçu un diagnostic de COVID-19, ils devront aussi donner leur consentement pour que leurs CET soient téléchargées et mises à la disposition d'autres utilisateurs de l'application. Veuillez noter qu'aucun renseignement personnel identifiable n'est envoyé à d'autres utilisateurs; ils sont seulement avertis qu'ils ont été exposés à la COVID-19 qu'une fois qu'ils ont téléchargé une clé de diagnostic correspondante à partir du serveur clé. La nature volontaire de l'application et les différents niveaux de consentement, associés au fait qu'il est improbable que des renseignements personnels soient recueillis par le gouvernement du Canada, visent à renforcer le niveau de confiance des Canadiens dans l'utilisation de cette application. L'efficacité de l'application dépend d'un certain niveau d'utilisation; par conséquent, la confiance est primordiale.

Autorité législative

L'application, en tant qu'outil permettant d'améliorer les mesures existantes pour lutter contre la propagation du virus de la COVID-19, s'inscrit dans le cadre des mandats de SC et de ses exigences législatives conformément à l'article 4 de la Loi sur le ministère de la Santé pour protéger la population canadienne contre les risques pour la santé et la propagation des maladies. En outre, le paragraphe 29.2 de la Loi sur la gestion des finances publiques autorise le SNC à fournir des services de soutien internes (services informatiques) à SC et à remplir son rôle dans le développement de l'application, comme décrit dans la section 4 sur les Partenaires et intervenants de ce document.

Nécessité et proportionnalité

La mesure est-elle manifestement nécessaire pour répondre à un besoin précis?

La COVID-19 est une maladie très contagieuse que nous sommes encore en train d’apprendre à connaître. Dans certains cas, elle peut être mortelle ou causer des dommages permanents, notamment de graves lésions pulmonaires ou des amputations de membres. Dans d’autres cas, les personnes atteintes ne présentent pas ou peu de symptômes. Les personnes asymptomatiques ou présymptomatiques peuvent infecter d’autres personnes. Il est possible qu’une personne qui a déjà eu la maladie soit à nouveau infectée. Il faudra de nombreux mois pour que la vaccination devienne une solution à l’échelle de la population.

Étant donné les limites de notre aptitude à prévenir la maladie ou à la traiter, les approches que nous avons adoptées, dont celle de demander aux Canadiens d'éviter les déplacements non essentiels à l'extérieur de leur domicile et de ne pas approcher de trop près les membres de leur famille et leurs amis, ont donné lieu à une réalité difficile à maintenir.

L'objectif public de cette application pancanadienne de notification d'exposition est d'assouplir en toute sécurité les restrictions à la liberté de mouvement et de permettre la réouverture prudente de l'économie tout en protégeant la vie, la santé et le bien-être de tous les Canadiens dans le contexte de la pandémie de COVID-19.

Cet objectif pourrait être facilité davantage par la mise en place de mesures permettant une certaine forme de notification d'exposition au virus. La recherche manuelle des contacts est déjà en cours; cependant, elle prend énormément de temps et de ressources et repose par ailleurs sur la participation et la mémoire, parfois oublieuse, de chacun quant aux endroits qu'il a fréquentés au cours des 14 derniers jours. Un système automatisé pour aider à informer les personnes d'une exposition à la COVID-19 est un élément nécessaire pour assouplir les restrictions en toute sécurité et rouvrir l'économie.

Est-elle susceptible de répondre efficacement à ce besoin?

L'efficacité des applications de notification d'exposition dépend fortement du niveau d'adoption; plus il y a d'utilisateurs qui téléchargent l'application, plus il y a de contacts qu'elle pourra consigner. Alors que dans le passé les pays ont eu du mal à réaliser la base d'utilisateurs nécessaire, Apple et Google ont maintenant lancé une nouvelle technologie pour une approche de protection de la vie privée d'abord, afin que les citoyens puissent avoir confiance que leur gouvernement ne collecte pas de renseignements permettant d'identifier une personne. En plus d'une stratégie solide de communication et de marketing, on s'attend à ce que le nombre d'utilisateurs téléchargeant l'application augmente sensiblement par rapport à ce qui s'est produit dans les pays qui ont lancé de tels programmes dans les phases précédentes de la pandémie.

Certaines mesures de performance seront recueillies à l’aide d’Alerte COVID afin d’évaluer l’efficacité de l’application du point de vue de la santé publique et du rendement technique. Consultez l’Annexe B pour obtenir de plus amples informations sur la manière dont cette approche permettra à SC d’évaluer l’efficacité de l’application.

La perte de la vie privée est-elle proportionnelle au besoin?

Comme nous l’avons mentionné, il est peu probable que le gouvernement du Canada recueille des renseignements personnels au sujet des utilisateurs de l’application, et les données recueillies sont généralement conservées pendant une courte période pour appuyer les mesures de sécurité et évaluer l’efficacité de l’application. Autrement dit, tous les renseignements contenus dans l’écosystème de cette application sont conçus pour être conservés pendant la période la plus courte nécessaire pour répondre au besoin précis pour lequel cette information est fournie. Lorsqu’une personne reçoit une notification l’informant qu’elle était en contact étroit avec une personne dont le test est positif, mais que la personne qui a reçu la notification a été en contact avec très peu de personnes au cours des deux dernières semaines, il est possible qu’elle soit en mesure d’identifier cette personne. D’autres risques de réidentification sont possibles, mais ils seraient beaucoup plus difficiles à réaliser et donc beaucoup plus éloignés. Les répercussions limitées sur les renseignements personnels semblent proportionnelles au grand besoin de sauver des vies et d’alléger les restrictions imposées aux personnes, ce qui améliore également la santé mentale des Canadiens et permet de rouvrir l’économie de façon prudente et d’entreprendre le rétablissement.

Existe-t-il un moyen moins intrusif pour atteindre le même objectif?

Cette question vise à savoir si des mesures raisonnables ont été prises pour s'assurer que la quantité minimale de renseignements personnels requise pour atteindre l'objectif a été recueillie. Comme nous l'avons mentionné, il est peu probable que l'application comporte une collecte de renseignements personnels par le gouvernement du Canada.

Nous notons d'ailleurs que l'autre option, une application de recherche des contacts, est plus intrusive relativement aux renseignements personnels, car elle collecte des données de géolocalisation et les communique aux autorités de santé publique. De plus, la recherche manuelle des contacts prend énormément de ressources et repose également sur la mémoire imparfaite des personnes relativement aux endroits où ils se sont rendus au cours des 14 derniers jours. Il s'agit de traceurs qui retracent les personnes directement (généralement par téléphone) pour les informer de leur risque d'exposition et les informer des prochaines étapes. Bien que la recherche manuelle des contacts continuera, la capacité supplémentaire fournie par l'application permet de notifier les personnes exposées, sans exiger la collecte de renseignements personnels qui se fait pendant la recherche manuelle.

Pour ces raisons, l'application de notification d'exposition a été identifiée comme un complément précieux à la recherche manuelle qui exige moins de ressources et qui protège fortement les renseignements personnels des Canadiens.

Principe de finalité

L'application et les données qui y sont recueillies seront utilisées dans le but de freiner la propagation du virus de la COVID-19 au Canada. Par ailleurs, des données, évaluées pour s'assurer qu'elles ne constituent pas des renseignements personnels, serviront à faire un suivi du rendement de l'application et à mesurer ce rendement. De plus, toute nouvelle utilisation ou divulgation des données ne peut se faire qu'avec le consentement des personnes concernées. Veuillez noter que l'utilisation de l'API Google/Apple est conditionnelle à ce que toute utilisation ou divulgation de renseignements personnels soit fondée sur le consentement.

Dépersonnalisation

L'application ne comprendra probablement pas la collecte de renseignements permettant d'identifier une personne. Les données collectées par le gouvernement du Canada avec l'application sont limitées et nous avons estimé qu'il n'y avait pas de possibilité sérieuse de réidentification.

Durée limitée des mesures

L'application dans son ensemble sera fermée dans un délai de 30 jours suivant la réception d'une déclaration par l'administratrice en chef de la santé publique du Canada que la pandémie sera terminée.^{Note de bas de page 10} De plus, les personnes peuvent supprimer l'application en tout temps. Enfin, les CET sur l'appareil s'effacent après 14 jours. Autrement dit, tous les renseignements contenus dans l'écosystème de cette application sont conçus pour être conservés pendant la période la plus courte nécessaire pour répondre au besoin précis pour lequel cette information est fournie.

Une fois que la décision a été prise d'arrêter le service ou programme, entre autres, l'application sera mise hors service. Cela inclut le serveur de clés et les portails à clé unique, ainsi que la possibilité de télécharger l'application dans les magasins d'applications Apple et Google.

La collecte de données regroupées et dépersonnalisées et leur période de conservation ont été évaluées pour s’assurer qu’elles répondent à toutes les exigences.

Transparence

Les utilisateurs qui téléchargent l'application devront examiner et accepter une déclaration claire et accessible qui leur fournit des renseignements sur le fonctionnement de l'application, la manière dont les renseignements sur l'exposition seront reçus par l'utilisateur et transmis aux autres utilisateurs, les données qui seront collectées à leur sujet et la manière dont ces données seront utilisées et où elles seront stockées. Notre analyse de la protection de la vie privée est accessible publiquement.

Responsabilisation

Le rendement et l'efficacité de l'application seront surveillés de près et évalués à mesure que davantage de Canadiens commenceront à l'utiliser. Le gouvernement du Canada travaille en étroite collaboration avec le Conseil consultatif pour régler les problèmes à mesure qu'ils se présentent. Le rôle du Conseil consultatif et de fournir des conseils et des avis d'experts pour s'assurer que l'application répond aux normes les plus élevées en matière de résultats de santé publique, de technologie, d'accessibilité et de respect de la vie privée.

Santé Canada est aussi en train d'élaborer un processus de surveillance/responsabilité complémentaire pour Alerte COVID. Le Commissariat à la protection de la vie privée des évaluations ayant une incidence sur la vie privée.

Mesures de sécurité

L'application et son développement sont principalement mis en œuvre par des développeurs, des concepteurs et des chercheurs employés directement par le gouvernement du Canada, dont la cote de sécurité est proportionnelle au niveau d'accès dont ils disposent. Lorsqu'un soutien externe est apporté à titre consultatif (par exemple, BlackBerry, qui a gratuitement examiné le code source), le tiers n'a pas accès aux données du système. Le code et l'infrastructure peuvent être examinés sans donner accès aux données. Lorsqu'une aide extérieure est apportée à titre plus pratique (par exemple, des développeurs ayant des compétences spécialisées en matière d'applications mobiles ou d'infrastructure de serveurs pour assurer la sécurité et la fiabilité à l'échelle), ces personnes travailleront selon les modalités d'un contrat (soit au moyen du système d'approvisionnement ou de mécanismes comme Interchange), ce qui garantit qu'elles sont tenues aux mêmes normes que celles des employés du gouvernement du Canada. Les cotes de sécurité seront requises pour toute personne ayant accès à des infrastructures ou des données sensibles.

De plus, l'infrastructure infonuagique sous-jacente qui hébergera le serveur de clés (fourni par les services Web d'Amazon situés au Canada) est acquis au moyen d'ententes de cadre infonuagique de Services partagés Canada, sous réserve des modalités contractuelles pour assurer que l'accès aux données et aux systèmes est restreint de façon appropriée.

Des garanties procédurales et techniques sont mises en œuvre, conformément au processus d'évaluation de la sécurité et d'autorisation, afin de garantir que seules les personnes ayant besoin d'accéder à l'infrastructure ou aux données puissent le faire, et uniquement à des fins liées à la mise en œuvre du système de notification d'exposition. Le système est mis en œuvre selon le principe du droit d'accès minimal, c'est-à-dire que l'accès aux données est traité comme une exception et non comme la règle. Des processus sont en place, par exemple, pour garantir que le code est examiné par plusieurs développeurs avant d'être déployé, et que l'accès à l'infrastructure est à la fois contrôlé et surveillé.

Enfin, le public sera informé de toute vulnérabilité ou menace à l'application, pour s'assurer qu'il peut prendre une décision éclairée.

Annexe A : Liste des données sur l'application Alerte COVID

Composante	Élément	Certain?	Communiqué?	Description
Couche GA OS	Clé d'exposition temporaire (CET)	Oui	Dans l'application	Générée (une fois par jour) par la couche Google/Apple du système d'exploitation. Expiration après 14 jours sur l'appareil Deviennent des « clés de diagnostic » une fois qu'elles sont mises en ligne dans l' application pour téléchargement après un diagnostic positif et le consentement de l'utilisateur final.
Couche GA OS	Identifiant de proximité variable (IPV)	Oui	Vers la couche GA OS des autres appareils	Générée (toutes les 5 à 20 minutes) sur la base des CET (selon la spécification cryptographique (hyperlien seulement en anglais)) Transmis (envoyé toutes les 250 ms) par Bluetooth vers d'autres appareils avec la couche GA OS activée Reçu environ toutes les 5 minutes lorsque le cadre commence à rechercher rapidement des balises (mesure d'économie d'énergie) La couche OS enregistre les IPV avec lesquels l'appareil se trouve à proximité.
Application	Clés de diagnostic	Oui	Vers le serveur de clés	Les CET deviennent des clés de diagnostic lorsqu'un diagnostic positif est reçu et que l'utilisateur final consent à la diffusion des renseignements. Fournie à l'application par la couche GA OS, avec le consentement de l'utilisateur final (à la fois par l' application et par l'interface du système d'exploitation), pour être téléchargée sur le serveur de clés. Cela ne peut se produire que si l'utilisateur final a reçu un diagnostic positif. L'utilisateur final doit avoir reçu un code aléatoire à usage unique d'un professionnel de la santé (ou autrement distribué par le processus de notification des résultats des tests de la province ou du territoire) à télécharger sur le serveur de clés. Lors du premier téléchargement, la personne télécharge ses clés de diagnostic des 14 derniers jours (ou moins si l'utilisateur à entrer la date d'apparition de symptômes ou la date d'un test) sur le serveur de clés; pour chacun des 14 jours suivants, on lui demande également de consentir à télécharger la clé de diagnostic de chaque jour.
Application	Renseignements personnels de l'utilisateur final	À déterminer	Non	Les éléments potentiels comprennent : la préférence linguistique; la sélection de la province ou du territoire. Le protocole G/A stipule que la collecte de renseignements personnels doit être volontaire À déterminer si certains renseignements seront recueillis dans l'application. Le GC préfère fortement ne pas en collecter, mais les provinces et territoires peuvent en demander (les discussions FPT se poursuivent), ou il peut être nécessaire de personnaliser l'application, par exemple sur les conseils donnés pour les prochaines étapes après avoir reçu la notification d'une exposition possible. L'application ne recueillerait jamais de données personnelles sur la santé. L'application ne transmettrait aucunement de données personnelles au serveur de clés. Il faut déterminer comment la collecte se fera dans l' application, le cas échéant. Par exemple, on peut demander à l'utilisateur final sa province ou son territoire chaque fois que cela est pertinent, au lieu de le stocker ou de l'enregistrer dans l' application.
Serveur	Clés de diagnostic	Oui	Dans l'application	Lorsqu'une personne reçoit un résultat positif, elle télécharge ses CET non expirées sur leserveur de clés sous forme de clés de diagnostic (les CET ne sont conservées sur l'appareil que pendant 14 jours) c'est-à-dire que le serveur contient les CET de personnes qui ont reçu un résultat positif, connu sous le nom de clés de diagnostic. Les clés de diagnostic sont effacées de la base de données du serveur après l'expiration de leur période de validité (sur le serveur clé pendant 14 jours et jusqu'à 7 jours supplémentaires dans les copies de sécurité de la base de données). L'application télécharge de nouvelles clés de diagnostic du serveur à intervalles réguliers (une fois toutes les 4 à 24 heures, selon la charge de la batterie, et quand l'application est ouverte; cela dépendra également de l'accès à Internet). Les clés de diagnostic sont regroupées en lots de 6 heures (pour toutes les clés de diagnostic reçues entre minuit et six heures du matin, le serveur les regroupe comme si elles avaient été reçues à minuit, de sorte que l' application ne peut pas déterminer l'heure précise à laquelle une clé a été téléchargée) (période de six heures à déterminer, qui passera probablement à 24 heures). Métadonnées associées : générées à l'heure (arrondie à l'heure pour réduire le risque d'atteinte à la vie privée); période de validité; niveau de risque de transmission (à déterminer comment il est défini/utilisé, le cas échéant); clé API qui a généré la clé unique autorisant le téléchargement.
Serveur	Clés à usage unique	Oui	Aux utilisateurs finaux	Communiqué aux utilisateurs finaux au moyen des processus de notification des résultats des tests de santé des provinces et territoires (le mécanisme de distribution spécifique variera selon les provinces et territoires). Permet à l'utilisateur final de télécharger les clés de diagnostic sur le serveur : il s'agit essentiellement d'une mesure anti-pourriel (pour s'assurer que les clés de diagnostic ne sont pas téléchargées accidentellement ou par malveillance). Métadonnées associées : moment de la création, nombre de clés de diagnostic pouvant être téléchargées avec la clé à usage unique; clé publique cryptographique; clé privée cryptographique. La clé à usage unique est supprimé de la base de données une fois qu'il a été « réclamé » par l'utilisateur final (c'est-à-dire saisi dans l'application). La clé à usage unique est remplacé par la clé publique cryptée et la clé privée cryptée une fois réclamée; la clé publique est communiquée à l' application pour permettre le téléchargement crypté des clés de diagnostic.
Serveur	Clés API pour les clés à usage unique	Oui	Aux provinces et territoires	Permet aux provinces et territoires d'obtenir des clés à usage unique du serveur pour les distribuer aux utilisateurs finaux au moyen de leurs processus de notification de résultat des tests.

Annexe B : Mesures de performance d’Alerte COVID

À compter de la semaine du 9 février 2021, de nouvelles mesures de performance sont recueillies à partir d’Alerte COVID afin d’améliorer la capacité du gouvernement du Canada à évaluer l’efficacité de l’application.

Avant

Avant cette modification, les mesures de performance de l’application n’étaient recueillies qu’à partir du serveur Alerte COVID et des magasins d’applications Google Play et Apple. Ces mesures comprenaient :

• Nombre total de téléchargements;
• Nombre de provinces et de territoires (PT) qui ont intégré l’application;
• Nombre de clés à usage unique entrées dans l’application (par PT).^{Note de bas de page 11}

Ces mesures à elles seules n’étaient pas suffisantes pour évaluer l’efficacité de l’application du point de vue des résultats de santé publique. SC continue de recueillir ces mesures à partir du serveur d’Alerte COVID et des magasins d’applications, en plus des mesures de performance de l’application supplémentaires décrites ci-dessous.

Nouvelles mesures de performance

SC recueille maintenant les données suivantes :

Nombre d’utilisateurs actifs par province ou par territoire (PT) : Un « utilisateur actif » est un utilisateur dont l’application effectue des vérifications à l’arrière-plan comme prévu. L’application communique la PT que l’utilisateur a sélectionnée dans l’application pendant le processus d’intégration pour fournir un nombre approximatif d’utilisateurs actifs par PT. La sélection d’une PT demeurera volontaire pour les utilisateurs de l’application.

Nombre d’utilisateurs dont l’application est passée à l’état « exposé » : Lorsqu’un utilisateur reçoit une notification d’exposition, l’état de l’application passe de « non exposé » à « exposé ». Chaque fois que cela se produit, l’événement est enregistré et transmis au serveur de clés et regroupé pour fournir le nombre total d’utilisateurs de l’application qui ont reçu une notification d’exposition et le nombre approximatif de notifications d’exposition envoyées. De plus, un événement distinct serait consigné pour fournir un nombre total d’utilisateurs qui ont reçu des notifications d’exposition supplémentaires alors que leur application était déjà à l’état « exposé ». Ces données seraient également comparées à la PT sélectionnée pour estimer le nombre de notifications reçues dans chaque PT.

Nombre d’utilisateurs de l’application qui entrent une clé à usage unique après avoir reçu une notification d’exposition : Si un utilisateur obtient un résultat positif à un test de dépistage de la COVID-19 et entre une clé à usage unique dans l’application alors que l’application est dans l’état « exposé », ceci fournit des mesures sur le nombre approximatif d’utilisateurs qui ont obtenu un résultat positif à un test de dépistage après avoir reçu une notification d’exposition. Ces données seraient comparées à la PT sélectionnée pour estimer le nombre d’utilisateurs qui ont obtenu un résultat positif à un test de dépistage après avoir reçu une notification d’exposition dans chaque PT.

Mesures de rendement technique :

• Le nombre de nouvelles installations, qui est communiqué chaque fois qu’un utilisateur accède au premier écran affiché lorsque l’application est ouverte pour la première fois. Cela indique qu’un nouvel utilisateur a téléchargé et ouvert Alerte COVID.
• Le nombre de « dates d’apparition des symptômes » ou de « dates du test » soumises lors du téléchargement des clés d’exposition temporaires (CET). Les dates elles-mêmes ne sont pas partagées.
• Nombre d’utilisateurs de l’application qui ont terminé l’intégration et qui ont accordé les trois autorisations suivantes :
  • Alerte COVID est activée
  • Le Cadre de notification des expositions Google/Apple est activé
  • Les notifications directes sont activées pour Alerte COVID
• Nombre d’appareils qui effectuent des vérifications à l’arrière-plan et nombre de vérifications à l’arrière-plan effectuées par jour et par type d’appareil (iOS ou Android)^{Note de bas de page 12}
• Nombre de fois que l’application a été activée ou désactivée^{Note de bas de page 13}
• Temps écoulé entre la notification de l’exposition et le moment où l’utilisateur efface l’état « exposé »^{Note de bas de page 14}

Méthode de collecte des données

Des données sont recueillies à partir d’Alerte COVID pour obtenir des mesures de performance qui permettent à SC d’évaluer l’efficacité et le rendement de l’application. Les données utilisées pour obtenir des mesures sont recueillies en créant des journaux des événements concernant les expériences et/ou les actions des utilisateurs. Ces journaux des événements sont transmis au serveur de clés et seront accompagnés de l’adresse IP. Cependant, les journaux des événements et l’adresse IP ne pourront pas être liés et ne seront jamais stockés ensemble. Les données seront chiffrées en transit et stockées de deux manières sur le serveur de clés :

1. En tant que journal des événements individuel stocké pendant 24 heures qui contient le type d’événement, le type d’appareil (p. ex., iPhone, Android), la date et l’heure;
2. En tant que registre de données regroupées sur tous les événements, mis à jour toutes les 24 heures, qui est stocké indéfiniment et qui contient la date, le type d’événement, le type d’appareil et le nombre total d’événements par jour.

Justification par des considérations de santé publique

Les mesures de performance recueillies à partir d’Alerte COVID fourniront des renseignements sur :

• Le niveau d’adoption approximatif de l’application dans chaque PT;
• Le nombre approximatif de notifications d’exposition envoyées par PT;
• Le nombre approximatif d’utilisateurs qui ont obtenu un résultat positif à un test de dépistage de la COVID-19 après avoir reçu une notification d’exposition;
• Si les différentes fonctions de l'application fonctionnent correctement et si elles sont utiles; et
• Le rendement technique de l’application, en particulier,
  • la proportion des utilisateurs qui soumettent des clés à usage unique et qui soumettent également une date d’apparition des symptômes ou du test;
  • la proportion des utilisateurs qui accordent les autorisations nécessaires au fonctionnement de l’application;
  • si les vérifications en arrière-plan nécessaires sont effectuées; et
  • si deux nouvelles fonctionnalités – la possibilité de désactiver l’application et la possibilité d’effacer l’état « exposé » – sont utilisées comme prévu.

Ces mesures permettront à SC d’évaluer l'efficacité de l'application à influencer les résultats positifs en matière de santé publique, ce qui est conforme à la recommandation du CPVP. Les mesures éclaireront l’évaluation qui aura lieu en partenariat avec son bureau.

Si les mesures montrent l’efficacité de l’application, cela pourrait encourager les personnes à télécharger Alerte COVID et encourager de nouvelles provinces et de nouveaux territoires à l’intégrer.

Elles indiqueront également dans quelle mesure environ les personnes utilisent l’application pour informer d’autres personnes d’une exposition potentielle. Cela permettrait à SC de déterminer si l’application a un effet tangible sur la réduction de la propagation de la pandémie (c.-à-d. si les personnes sont avisées des expositions potentielles et si elles prennent des mesures en conséquence). La collecte de ces mesures par PT permettra également à SC de cibler ses communications en fonction des régions où l’application est moins utilisée qu’ailleurs.

Analyse de la protection de la vie privée

Les mesures de performance proposées ci-dessus ne contiennent aucun renseignement permettant d’identifier directement une personne. Les journaux individuels seront stockés pendant une courte période, ils seront compilés sous forme de données regroupées (nombre total d’utilisateurs / mesure de performance) et ne seront pas combinés à d’autres renseignements, y compris les adresses IP. De plus, les mesures ne seront pas rendues publiques si les dénombrements sont inférieurs à vingt.

Compte tenu de ces circonstances et des mesures prises pour protéger les données (p. ex., limiter la conservation des journaux des événements individuels, regrouper les journaux des événements, stocker les données et les adresses IP séparément et stocker les données sur un serveur sécurisé à accès limité), il est peu probable que les données constituent des renseignements personnels. En d’autres termes, la probabilité qu’une personne puisse être identifiée uniquement à partir de ces renseignements ou en les combinant à d’autres renseignements disponibles est négligeable. Par conséquent, il est peu probable que la Loi sur la protection des renseignements personnels s’applique à la collecte de ces mesures de performance.

Le principal risque est que le public perçoive la collecte de mesures de performance comme contraire à l’approche de la protection de la vie privée adoptée lors de la conception de l’application. Ce risque sera atténué en s’assurant de transmettre des messages clairs et transparents sur la collecte de données supplémentaires, le besoin que nous avons de ces données et les mesures de protection de la vie privée mises en place pour réduire le risque de réidentification à presque zéro.

Autres considérations

Les mesures de performance seront utilisées principalement pour l’analyse interne et la mesure du rendement. Cependant, certaines mesures, comme le nombre d’installations dans chaque PT et le nombre de notifications d’exposition envoyées, peuvent être rendues publiques sous forme de données regroupées pour montrer l’efficacité de l’application et encourager son adoption. Ces données peuvent également être publiées par chaque PT. Une évaluation de la protection de la vie privée sera réalisée pour s’assurer que, lorsque des mesures de performance sont rendues publiques, elles le sont de manière à réduire le risque de réidentification à presque zéro.

Santé Canada consultera également le CPVP et le Conseil consultatif avant de rendre publiques des données sur les mesures de performance de l’application. De plus, le CPVP, le Conseil consultatif et le Groupe de travail fédéral, provincial et territorial continueront d’être consultés sur la collecte de données avant la prise de toute décision et avant la mise en œuvre. Des commentaires supplémentaires seront pris en compte pour s’assurer que la collecte de données est conforme à l’approche de la protection de la vie privée de l’application.