L'appli envoie aux serveurs centraux tous les contacts détectés, quelles que soit la distance et la durée.
C'est le serveur central qui ensuite va (doit) faire le tri en ne retenant que les critères de contacts (distance 1m, durée 15min).
L'appli n'est donc pas conforme, ni au décret qui l'a autorisée, ni au cahier des charges sur lequel s'est prononcé la Cnil...
Il y a moins que ça de toute façon, le programme communique avec un serveur du gouvernement, comme c'est un programme pour smartphone on peut largement supposé que la majorité des smartphones vont établir la connexion à travers le réseau de l'opérateur mobile. En France, la loi oblige les opérateurs à collecter les informations personnelles de leurs clients, donc ils ont la possiblité de savoir qui utilise le programme quoi qu'il en soit. Généralement chaque smartphone à son abonnement propre, avec les coordonnées de son propriétaire, donc ils ont encore plus de précision.
Bien sûr ils auraient pu implémenter Tor, mais Tor c'est le « darknet », c'est pour les terroristes et autres criminels. :-)