Rien ne va plus pour StopCovid. L'application de traçage numérique des contacts, censée permettre d'identifier très rapidement les "cas contact" pour enrayer la propagation de l'épidémie de Covid-19, n'en finit plus d'enchaîner les polémiques. À tel point que Cédric O, le secrétaire d'État au Numérique, prévoit de faire un "point d'étape" sur le sujet, mardi 23 juin, pour tenter de déminer les critiques.
Trop peu téléchargée pour être efficace
La première critique est le procès en inefficacité. Depuis son lancement, le 2 juin dernier, l'application StopCovid a été téléchargée 1,7 million de fois (au 19 juin). Soit à peine plus de 2% de la population française. Une proportion beaucoup trop faible pour que l'application soit efficace, surtout alors que l'épidémie semble reculer. Les experts sur lesquels le gouvernement s'appuie estiment que StopCovid devrait être téléchargé par au minimum 20% de la population pour être un outil pertinent dans la lutte contre la propagation du coronavirus. "Aujourd'hui, au regard de la faiblesse de l'épidémie, l'utilité de l'application StopCovid est relative", a même admis Cédric O lui-même, au micro de FranceInfo la semaine dernière.
Mais le secrétaire d'État au Numérique suggère que l'appli serait inefficace d'abord parce que l'épidémie recule, alors qu'avec un si faible taux de téléchargement, elle serait inefficace même en cas de regain du Covid-19.
Un problème de confiance
Il y a donc une vraie méfiance, si ce n'est une défiance, de la population française envers StopCovid. Après un démarrage correct (600.000 téléchargements en 24 heures), puis 1,5 million le 11 juin, l'appli n'a gagné que 200.000 utilisateurs du 11 au 19 juin.
Dans d'autres pays européens, des applications similaires font mieux : en Allemagne, Corona Warn-App a franchi la barre des 6 millions de téléchargements en 30 heures, d'après le gouvernement. Et en Italie, l'application Immuni revendiquait 2,2 millions de téléchargements en 10 jours, alors même qu'elle n'était pas disponible dans tout le pays lors de son lancement.
Pas interopérable avec les autres applications européennes similaires
Il s'avère aussi que la France paie son choix controversé d'une application "souveraine". Pour éviter que nos données de déplacements et notre statut vis-à-vis du Covid-19 passent par Apple et Google (qui cannibalisent à eux deux 99% du marché des smartphones grâce à leurs systèmes d'exploitation iOS et Android), l'État a préféré développer, avec le concours d'un consortium d'acteurs publics et privés français, son propre protocole technique.
L'application StopCovid repose ainsi sur une architecture centralisée, c'est-à-dire que les données remontent dans un serveur central appartenant à l'État. Ce choix a entraîné de grosses migraines pour les équipes qui ont développé l'appli française. Car le protocole d'Apple et de Google -décentralisé, pour éviter le risque de piratage du serveur central- a été conçu pour fonctionner de manière optimale sur leurs smartphones. Il a donc fallu que StopCovid contourne toutes les restrictions techniques liées à l'utilisation du Bluetooth, pour que l'appli puisse fonctionner correctement. Ce défi a entraîné un retard de trois semaines sur le lancement de l'application, initialement prévu le 11 mai.
En avril, la France espérait que les pays européens voisins suivraient sa position "souveraine" d'une appli indépendante d'Apple et de Google. Mais les énormes difficultés techniques rencontrées par la solution française, ainsi que les recommandations des experts en sécurité y compris au niveau européen, qui estiment qu'un hébergement décentralisé des données est préférable, ont poussé 17 États à bâtir leur application à partir de la base technique créée par Apple et Google, en intégrant les contraintes d'interopérabilité et de protection des données de l'UE. Même l'Allemagne, puis le Royaume-Uni, un temps tentés par une approche "souveraine", ont fait machine arrière.
Il s'agit donc d'un revers diplomatique pour la France, mais il a aussi pour conséquence très concrète que StopCovid n'est compatible avec aucune autre application européenne similaire, alors que les autres le sont entre elles. "Pour les travailleurs frontaliers qui travaillent hors de nos frontières ou les étrangers qui viennent en France, ils leur faut, s'ils le souhaitent, télécharger deux applications. Ce n'est pas insurmontable », a relativisé Cédric O. Pas insurmontable, c'est sûr, mais pas pratique aussi, d'autant plus que l'utilisation en permanence du Bluetooth entraîne une surconsommation de la batterie des téléphones.
Beaucoup plus de données récupérées que prévu
En plus d'un manque d'efficacité, StopCovid est menacée au niveau de ses fondations juridiques par les découvertes de Gaëtan Leurent, un chercheur en cybersécurité de l'Inria, organisme qui a pourtant co-conçu StopCovid.
Le 15 juin, Mediapart a révélé que l'application récupère beaucoup plus de données que ce que le gouvernement avait annoncé, et ce qui est décrit dans le décret d'application. En théorie, si un utilisateur se déclare positif au Covid-19, StopCovid est censé transmettre au serveur central les identifiants des smartphones qui ont été à moins d'un mètre de lui pendant 15 minutes sur les deux dernières semaines. Mais le chercheur a expliqué sur GitHub, la plateforme des développeurs, que StopCovid fait aussi remonter les identifiants de smartphones croisés à plusieurs mètres et pendant beaucoup moins longtemps (son exemple parle de deux smartphones à 5 mètres de distance pendant une dizaine de secondes).
Autrement dit : StopCovid enregistre et fait remonter au serveur central les identifiants de tous les appareils qu'il croise, sans limitation de durée d'exposition ni de distance. Le secrétariat d'État au Numérique a ensuite précisé que le serveur "fait le tri" entre les identifiants qui doivent être prévenus (ceux qui sont restés plus de 15 minutes à moins d'un mètre du futur malade). Mais Gaëtan Leurent note que ce tri peut être effectué sur le smartphone, en local, sans faire remonter au serveur central un grand volume de données personnelles.
Ces révélations posent problème à plusieurs niveaux, comme l'explique l'avocat Constantin Pavléas, dirigeant-fondateur du cabinet Pavléas Avocats et expert des nouvelles technologies :
"Cette non-conformité n'est pas seulement une question technique. Elle pose la question de la confiance dans l'application et soulève une problématique de démocratie. Tracer les utilisateurs dès le premier contact ne repose sur aucune justification épidémiologique et rend ce traçage bien plus massif que prévu. Pire, avec cette faille, tout l'édifice juridique de l'application, tel que validé par la CNIL et voté par le Parlement, s'effondre. Le consentement des utilisateurs est donné sur une information inexacte, et ne serait donc pas valable", explique-t-il.
Le plus troublant est que la CNIL a prononcé un avis sur une version non finalisée de l'application. "La CNIL a validé un dispositif où ne remontent au serveur central que les identifiants des personnes exposées, sur déclaration de la personne malade ; ces identifiants correspondent à un contact susceptible d'être 'à risque'. Les contacts à risque correspondent à une exposition de 15 minutes à moins d'un mètre", a confirmé l'institution au site Numerama. Mais, comme la Commission le notait aussi à l'article 37 de son avis du 25 mai, "l'algorithme permettant de déterminer la distance entre les utilisateurs de l'application reste à ce stade en développement et pourra subir des évolutions futures".
Effectivement, les révélations de Gaëtan Leurent montrent que l'algorithme a changé entre le moment où la CNIL a audité l'application, et son lancement. Mais le gouvernement a utilisé l'avis de la CNIL pour rassurer les députés afin de valider le projet, et s'en sert depuis comme outil de communication pour inciter les Français à télécharger l'application, alors même que cet avis est devenu obsolète.
"Soupçon de favoritisme"
Enfin, l'association Anticor, spécialisée dans la lutte contre la corruption, a alerté le 11 juin le Parquet national financier (PNF) sur des "soupçons de favoritisme" dans l'attribution du contrat de maintenance de l'application StopCovid. Dans un document de signalement révélé par L'Obs, l'association observe que le choix de recourir à la société Outscale, filiale de Dassaut Systèmes -qui a contribué au développement de StopCovid-, "n'a fait l'objet d'aucune procédure de passation de marché public", pourtant obligatoire à partir de 139.000 euros hors taxes pour les marchés de fourniture et de services, selon les règles de la commande publique. Or, L'Obs révélait début juin que, si l'application a été développée gratuitement, sa maintenance et son hébergement sont facturés "entre 200.000 et 300.000 euros par mois".
S'agit-il donc, comme le suspecte Anticor, d'un renvoi d'ascenseur destiné à une entreprise qui a contribué de manière gratuite au développement de l'application ? Cédric O, le secrétaire d'État au Numérique, a balayé d'un revers de main ces accusations. Nul doute que cette question brûlante, ainsi que le scandale sur les données collectées par l'application, seront au menu de la communication du gouvernement ce mardi.
Sujets les + commentés