StopCovid ou Stop Confusion? Au-delà du débat sur la «centralisation»

Le respect de la vie privé anime les critiques contre l'application de traçage StopCovid, qu'elles portent sur des facteurs techniques ou des distinguos sémantiques : recours aux GAFAM ou développement in-house, tracking ou traçage, centralisation ou décentralisation. Le risque de voir la France incapable de disposer d'une solution satisfaisant ses priorités se rallier finalement aux offres des géants du numérique incite à changer de perspective.

Comment en est-on si vite arrivé à ce point ?

Le gouvernement a officialisé le 8 avril la mise en place d'une application de « traçage numérique ». Le 18, les équipes d'Inria publiaient le protocole ROBERT pour « une application respectueuse des valeurs européennes », provoquant immédiatement de nombreuses critiques.

Le néophyte ne peut guère se forger un avis, entre la position d'Inria et ses réfutations par un professeur à la Johns Hopkins University ou par un professeur à l'EPFL qui a fait défection après avoir soutenu l'initiative. Sans compter 9 savants d'Inria et 3 du CNRS qui ont signé un texte dénonçant le traçage anonyme, dangereux oxymore. Comment arbitrer entre les 155 signataires de la Mise en garde contre les applications de traçage (dont 77 membres de l'Inria !) et les 60 soutiens de la tribune favorable au projet ?

Le Secrétaire d'État au Numérique, Cédric O, a abordé la chose par un long billet intitulé StopCovid ou encore ? qui ne dissimule ni l'existence des critiques, ni que « la plupart des failles évoquées sont tout à fait valides », ni que la plupart des réponses sont morales et non techniques.

Divisant non sans réserve les solutions entre centralisées et décentralisées, il rappelle que le gendarme européen a avalisé les deux approches, et que si les choix de la France ou du Royaume-Uni iraient vers les premières, celui de l'Allemagne et de l'Estonie (pour faire simple) vont vers les secondes. Considérant que si aucune solution n'est infaillible leurs failles sont différentes, il élimine la solution décentralisée (donc la solution suisse DP3T rivale de ROBERT) car plus risquée pour la privacy : chaque téléphone adhérent aurait la liste de tous les crypto-identifiants des porteurs positifs, liste qui serait mieux protégée dans un serveur central.

Cette position va inévitablement se heurter à des contraintes extérieures : l'accord des Allemands, favorables à DP3T, la contrainte d'harmonie européenne, les fourches caudines d'Apple et Google. Le Royaume-Uni se penche désormais sur une application décentralisée et la France se retrouve très seule à défendre un choix technique différent, au nom de ce qu'on appelle « la souveraineté de l'État ».

Le poids d'un biais identitaire ?

Si le débat technique s'est trouvé finalement tranché de façon toute politique, on ne peut en incriminer les seuls politiques. Le texte de l'Inria mêlait les considérations techniques à des jugements de valeur, critiquant les arrière-pensées des termes centralisé et décentralisé, exigeant que le choix soit étayé par des analyses scientifiques et non par « des considérations idéologiques ou des a priori sémantiques ». Le problème est qu'il ne semble pas y avoir de consensus des scientifiques.

On se retrouve évidemment au cœur d'un problème de représentations spontanées. Une liste d'identifiants cryptographiques de porteurs contaminés n'en dirait pas davantage au détenteur d'une application décentralisée qu'une liste d'adresses Bitcoin, que les autorités considèrent en général comme d'une insupportable opacité.

A quand une politique publique proactive et non seulement réactive ?

On postule imprudemment des capacités existantes de l'État. On se refuse à envisager la dimension souveraine, pourtant essentielle, en dehors du cadre binaire centralisation-décentralisation dans lequel s'opposent ROBERT et DP3T.

Énoncer le débat sous la forme réductrice du choix entre une base de données étatique et une inféodation aux GAFAM semble mal inspiré. La question réside aujourd'hui dans les moyens de satisfaire le besoin que nous avons d'une infrastructure protocolaire à la fois souveraine et décentralisée. Clef de voute de nos libertés numériques, sa création participerait d'un maintien et d'un prolongement de la souveraineté politique. Il s'agirait de développer une solution propriétaire étatique dont le paramétrage et la décentralisation serait supervisés par l'État.

La technologie blockchain offre cette promesse. Le patron d'Inria en a éliminé l'hypothèse, raillant la validation par une « communauté supposée indépendante » et citant comme raison principale l'impact des failles de sécurité, sans expliciter en rien ses assertions.

Une blockchain dont l'État répartirait largement les charges de validateurs publics, pensées sur le modèle des offices ministériels, offrirait une infrastructure publique et un socle technologique adéquat aux considérations de vie privée.

StopCovid, conçu dans l'urgence politique et sanitaire, ne pourra certes pas en être le précurseur, mais peut et doit a minima nous interroger sur le coup d'après.

__

Jacques Favier est normalien, secrétaire du « Cercle du Coin », Association francophone sur Bitcoin, les cryptomonnaies et les protocoles à Blockchain. Il est président du Cabinet conseil « Cateane ».