Une application qui traque chaque interaction sociale est-t-elle indispensable pour enrayer la propagation du coronavirus et permettre le déconfinement des Français ? Le 26 mars, Christophe Castaner, le ministre de l'Intérieur, rejetait cette idée "qui atteint la liberté individuelle de chacun" au motif que "ce n'est pas dans la culture française". Mais le gouvernement a changé d'avis.
Le secrétaire d'Etat au Numérique, Cédric O, et le ministre de la Santé, Olivier Véran, ont annoncé mercredi 8 avril que la France planche sur une application mobile nommée StopCovid. Le principe : utiliser la technologie du Bluetooth présente sur la plupart des smartphones, pour tracer toutes les interactions sociales des personnes qui auront téléchargé l'application. Si l'une d'entre elle tombe malade, l'appli prévient automatiquement chaque personne ayant été en contact rapproché avec elle, ce qui permet de la tester ou de la confiner immédiatement et d'empêcher ainsi la propagation du Covid-19.
Pour Cédric O, il s'agit "d'identifier les chaînes de transmission du virus tout en respectant la vie privée des utilisateurs". Concrètement, une fois activé sur le smartphone, le Bluetooth émet un signal qui fait office de carte d'identité unique à chaque appareil. D'après le secrétaire d'Etat au Numérique, l'application ne "traquera" pas les déplacements de chacun, elle se contentera simplement d'enregistrer pendant une durée limitée (probablement deux semaines) le signal émis par les smartphones des personnes avec lesquelles l'utilisateur a été en contact rapproché.
"Personne n'aura accès à la liste des personnes contaminées, toutes les données seront anonymisées et il sera impossible de savoir qui a contaminé qui" a assuré Olivier Véran.
C'est aussi le moyen d'être compatible avec la loi, c'est-à-dire le RGPD et la directive européenne e-privacy. « Le code informatique sera public, auditable par n'importe qui, et compatible avec d'autres pays », promet aussi Cédric O.
Mais le projet déclenche des crispations très fortes dans la société civile. Même la majorité LREM s'affiche désunie et très mal à l'aise sur le sujet. Pour des raisons éthiques, mais aussi techniques et politiques. Tour d'horizon des risques pointés par les opposants, et les arguments de ceux qui défendent le projet.
Le risque éthique : le gouvernement franchit-il une ligne rouge ?
Au début très réticents à l'adoption d'un outil de "tracking" massif de la population, le Conseil national du numérique (CNNum), et la Commission nationale informatique et libertés (CNIL), semblent rassurés par les explications du gouvernement. Surtout après que celui-ci ait finalement promis de les intégrer au projet. "Comme la Cnil, nous n'estimons pas à l'heure actuelle que ce qui est présenté franchisse une ligne rouge pour les libertés individuelles. La finalité n'est pas la collecte massive de données personnelles et de santé. Les risques sur les libertés existent, d'où la nécessité d'un encadrement strict, mais ils doivent être mis en balance avec les opportunités pour lutter contre le Covid-19 et déconfiner la population", estime Salwa Toko, la présidente du CNNum, interrogée par La Tribune. D'après nos informations, le CNNum sera officiellement saisi par le gouvernement dans quelques jours pour émettre un avis qui sera publié dans une dizaine de jours.
Mais de nombreux autres spécialistes ne l'entendent pas de cette oreille.
"Le Bluetooth reste un outil de traçage et il est relativement facile d'identifier un individu avec des données Bluetooth, nous explique Baptiste Robert, chercheur en sécurité et hacker. De nombreuses études prouvent que l'anonymisation totale n'existe pas, car il est toujours possible, même à partir de données anonymisées, d'effectuer des recoupements qui permettent à la fois l'identification et la géolocalisation", poursuit-il.
Pour cette raison, beaucoup d'élus, de droite comme de gauche et y compris au sein de la majorité LREM, pensent que le gouvernement s'apprête à franchir une ligne rouge qui reviendrait à banaliser, post-crise, ce type d'outils. "Le tracking ouvre la porte à une surveillance généralisée. Les risques sont infinis, ne sacrifions pas nos libertés pour une illusion de sécurité !" s'est indigné Aurélien Taché, député LREM ouvertement opposé au projet, sur Twitter jeudi 9 avril.
"Le Bluetooth est peut-être la moins pire des technologies de tracking, mais accepter une telle intrusion dans la vie privée sous un prétexte de santé publique et alors qu'aucune étude ne démontre l'efficacité d'une telle solution, cela représente un véritable changement de paradigme qui fait voler en éclat nos valeurs", déclare à La Tribune la députée Paula Forteza (ex-LREM). Pour cette spécialiste du numérique, "cette technologie n'est pas neutre et ne peut pas être utilisée dans ce moment particulier sans une consultation citoyenne et parlementaire à la hauteur des enjeux", ajoute-t-elle. Ce dernier point semble faire la quasi-unanimité dans la classe politique, du président LR du Sénat Gérard Larcher au groupe PCF à l'Assemblée nationale.
Le risque social : StopCovid est-elle déjà condamnée à être inefficace ?
Pour respecter la législation en vigueur, le téléchargement de l'application StopCovid doit se faire sur la base du volontariat. Problème : si un utilisateur interagit avec une personne malade qui ne le sait pas encore et qui le contamine, il ne pourra pas être prévenu si cette personne n'a pas elle-même installé l'application. Pour être efficace, il faudra donc que StopCovid atteigne une masse critique suffisante. Selon une étude de l'université britannique d'Oxford publiée dans la revue "Science", un tel dispositif prouverait son efficacité si au moins 60 à 70% de la population s'y convertissait.
A priori, beaucoup de Français accepteraient d'être pistés. Un sondage réalisé fin mars par l'université d'Oxford sur 1.000 Français possédant un téléphone portable, indique que 80% d'entre eux seraient prêts à l'installer une application de tracking. Mais l'expérience de la cité-Etat de Singapour, modèle revendiqué de la France, n'incite pas à l'optimisme. Dans ce pays d'à peine 5,7 millions d'habitants beaucoup plus technophile que la France, seulement 19% de la population (1 million) a téléchargé l'application TraceTogether, qui fonctionne sur le même principe que la future StopCovid.
Si Singapour a d'abord communiqué sur les bons résultats de son application qui devait lui permettre d'éviter le confinement de sa population, l'apparition de nouveaux cas de Covid-19 impossibles à tracer ces dernières semaines, a fini par pousser le pays à avoir recours au confinement depuis le 7 avril.
D'où de nombreuses craintes d'une manipulation de l'opinion pour la pousser à télécharger massivement l'application. Pour le Comité consultatif national d'éthique pour les sciences de la vie, "le choix individuel peut être orienté, voire influencé, de diverses manières, par exemple à travers les techniques de persuasion ou de manipulation, la pression sociale, l'imitation des actions des proches", écrit-il dans une note d'analyse publiée le mardi 7 avril. Autrement dit, le député LREM Saché Houlié craint une que le gouvernement mise sur une "servitude volontaire" alimentée par la peur. "Même consentie, la collecte des données aux fins de suivi est condamnable", dénonce-t-il dans une tribune au vitriol.
Un autre frein à l'adoption massive de StopCovid est la fracture numérique, qui touche 20% de la population. Et particulièrement les plus vulnérables au Covid-19, donc ceux qui auraient le plus besoin de cette application : les personnes âgées. "Le taux de pénétration des smartphones est inégal, pour les personnes âgées c'est environ 40%", a admis Cédric O au micro de France Inter jeudi 9 avril. Il y a aussi des gens qui n'ont pas de smartphone et des gens qui ont du mal avec le numérique, qui ne savent pas s'en servir", a-t-il poursuivi. C'est pourquoi le secrétaire d'Etat au Numérique pense que StopCovid a vocation à être un outil complémentaire -avec le dépistage et le port du masque- dans la lutte contre la propagation du coronavirus. Cédric O a aussi indiqué que le gouvernement réfléchit à "aider les gens à acquérir des smartphones" et travaille aussi sur une solution "technologiquement plus simple, mais qui mettrait plus de temps à être développée". Mais il n'a donné davantage de détails sur cette éventuelle autre piste.
Les risques techniques : la technologie Bluetooth est-elle suffisamment fiable et sécurisée ?
Si StopCovid était massivement téléchargé, encore faudrait-il que l'appli fonctionne correctement ! L'un des problèmes techniques est la fiabilité du Bluetooth, qui ne sait pas encore bien mesurer les distances. Si cette technologie a été privilégiée dans le projet car elle permet un traçage sans recourir à des données de géolocalisation, la calibration du signal sera un élément clé pour détecter les personnes présentes pendant un certain temps dans l'environnement proche de l'utilisateur.
"Il y aura vraisemblablement un certain nombre de faux positifs, car l'application ne saura pas vous dire si vous avez été dos à dos ou face à face avec une personne, ou si vous avez touché une surface contaminée. Ce ne sera pas magique", a reconnu Cédric O jeudi 9 avril au soir.
De plus, les données sensibles récupérées par StopCovid seront-elles suffisamment protégées ? Le but de l'application étant de retracer l'historique des relations sociales pendant au moins deux semaines, il faut donc conserver et stocker ces données. Pour pouvoir être prévenu qu'une connaissance est malade, il faut mutualiser ces données. Deux choix s'offrent alors : soit passer par un serveur central, dans un datacenter, et donc constituer un grand fichier ; soit passer par un réseau décentralisé, en peer to peer, comme pour le téléchargement de fichiers sur Internet.
En terme de sécurité, les deux options présentent des risques non négligeables. Certes, des datacenters hébergeant des données très sensibles existent déjà et disposent de niveaux de sécurité très élevés. Mais dans un environnement numérique, il est impossible de garantir l'inviolabilité d'une base de donnée, en témoignent les innombrables attaques informatiques et fuites de données dont sont victimes Etats et grands groupes qui dépensent pourtant des moyens colossaux pour leur cybersécurité. "Regrouper toutes les données au même endroit pose un énorme problème, car si la base de donnée est compromise malgré les protections, l'attaquant a accès à tout", rappelle le hacker Baptiste Robert. La solution décentralisée a également la préférence du Chaos Computer Club (CCC), l'organisation de hackers la plus importante d'Europe, qui a été consultée par le projet européen dans lequel s'insère l'initiative française. Mais elle aussi comporte des risques, car s'il est impossible qu'une attaque compromette l'ensemble des données d'un coup, il est plus facile d'exploiter des failles de sécurité dans un système décentralisé.
Au final, serait-il possible que le gouvernement accouche d'une souris ? Même Cédric O ne l'exclut pas. "Il y a des incertitudes très fortes sur le fait que ça soit efficace et donc il n'est pas impossible que tout cela se dégonfle assez vite dans les semaines qui viennent", a expliqué le secrétaire d'Etat au numérique jeudi 9 avril au soir. "Nous avons besoin d'un dépistage massif, pas d'un pistage massif", taclent 15 députés essentiellement issus de la majorité, dans une tribune publiée le 8 avril pour rappeler au gouvernement le sens des priorités.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés