STOPCOVID EN FRANCE ET À L’ÉTRANGER : ÉTAT DES LIEUX
« StopCovid » est l’application informatique développée par le gouvernement français, dont l’objectif est de tracer et d’alerter les « cas contacts » des personnes testées positives au Covid-19.
L’idée de développer une application à cette fin a été rendue publique le 8 avril 2020. L’application a été mise à disposition le 2 juin 2020.
Bien qu’ayant été validée sur le plan juridique, en deux temps, par la CNIL, des incertitudes liées aux choix techniques entourant sa conception ont pu laisser penser qu’elle serait vaine dans sa réalisation et inutile dans son déploiement.
Mais qu’en est-il exactement ?
StopCovid, Pour ou Contre ?
Les premiers constats
Le recours à la géolocalisation a été rapidement écarté, afin de limiter l’atteinte à la vie privée des personnes physiques, et une alternative a été recherchée pour pouvoir tracer les personnes sans recourir à cette technologie et donc remplir l’objectif poursuivi par l’application dans le respect des principes du Règlement Général sur la Protection des Données Personnelles.
L’utilisation du Bluetooth avait également été envisagée pendant un temps, malgré la désapprobation du créateur de cette technologie en raison des risques liés à la sécurité de ce réseau de courte portée. Du reste, cette solution se heurtait à une autre difficulté, en l’occurrence la limitation par Google et Apple de l’accès des smartphones Android et iOS au Bluetooth, ceci afin d’éviter son utilisation en arrière-plan en permanence, et donc protéger la vie privée des utilisateurs. De fait, une telle utilisation, énergivore, aurait déchargé rapidement les batteries et donc ruiné l’efficacité de l’application.
C’est pourquoi les GAFAM concernés avaient mis au point leur propre interface de programmation afin de contourner cette restriction. Mais finalement, le secrétaire d’Etat du numérique a refusé de confier ce chantier digital à des géants du web américains au nom de la souveraineté numérique. Ce faisant il a opté pour une approche centralisée, avec un stockage des données pseudonymisées sur des serveurs centraux, avec un contrôle effectué par les autorités sanitaires.
Les contre-mesures
Pour pallier cette difficulté technologique, de nombreux acteurs français, comme l’ANSSI, Dassault Systèmes ou l’INRIA, mais aussi des start-ups, ont été sollicités.
Il est permis de se demander pourquoi autant d’entités spécialisées ont été conviées à travailler sur l’application StopCovid. En effet, une telle collaboration implique nécessairement des difficultés organisationnelles peu compatibles eu égard au délai imparti pour la développer le plus rapidement possible.
Par ailleurs, un bug bounty a été lancé avec une récompense de 2.000 euros en cas d’identification d’une faille critique. Or, une telle pratique est susceptible de générer de l’incertitude quant à la sécurité de l’application.
La communication et la publicité de StopCovid : une nouvelle erreur qui fait tâche…
Dans le cadre de la communication et la publicité officielles autour du projet, il a initialement été indiqué que les données concernant l’identification des individus seraient anonymisées. Il s’agissait en réalité de pseudonymisation, ce que la CNIL n’a pas manqué de rectifier.
De surcroît, au moment de la sortie officielle de l’application, les premiers utilisateurs ont eu la surprise de constater qu’elle demandait l’accès à leurs données de géolocalisation, alors même qu’elle s’engageait à ne pas les utiliser. Cette pratique était nécessaire à la mise en place et au fonctionnement de l’application StopCovid, le gouvernement n’ayant pas souhaité recourir à l’API de Google et d’Apple. Même s’il ne s’agit pas de données sensibles, il ne faut pas ignorer l’impact que peut avoir un tel traitement de données à caractère personnel.
Il avait également été affirmé que le code source serait mis à disposition en open source auprès du public, permettant à tout développeur d’observer et d’en auditer la structure. En définitive, aucun code source applicatif n’a été publié hormis quelques segments de début du projet.
Ces différentes erreurs de communication ont provoqué une certaine déception des utilisateurs potentiels, qui pour certains remettent désormais en question l’utilité de cette application.
Plusieurs autres facteurs expliquent cette méfiance vis-à-vis de l’application et le peu d’engouement qu’elle a suscité.
En effet, la pertinence même de « StopCovid » a été remise en cause. Pour ne pas se heurter à des contraintes juridiques liées à l’utilisation des données personnelles des utilisateurs, la base légale retenue a été le volontariat, aucune contrainte ne pouvant être exercée sur les individus qui refusent de l’installer. Mais, une certaine pression de la part des pouvoirs publics, rapidement dénoncée, a abouti à une remise en cause du caractère libre et éclairé du consentement.
De même, il était prévisible que le caractère non obligatoire de l’application engendrerait un nombre de téléchargements insuffisant, ce qui a un impact direct sur son efficacité, qui dépend intrinsèquement d’une utilisation massive par la population.
D’autre part, les personnes âgées – les plus concernées par la maladie – ne sont pas toutes équipées de smartphone, et sont susceptibles de rencontrer des difficultés pour l’utiliser correctement.
Enfin, les conditions d’utilisation de « StopCovid » sont en elles-mêmes problématiques. Pour que l’alerte se déclenche, l’individu doit être conscient de son état et avoir installé l’application. Il faut aussi qu’il soit à moins d’un mètrede distance d’une autre personne ayant elle aussi l’application, et ce pendant 15 minutes.
Et à l’étranger ?
Au-delà de nos frontières, de nombreux pays ont déployé une application similaire à « StopCovid ». Les principales différences tiennent à l’utilisation de l’API américaine Google ou Apple pour contourner la restriction d’accès au Bluetooth, ou au caractère obligatoire ou facultatif du recours à l’application.
VIDÉO : top 7 des applications contre le coronavirus dans le monde !
Voici une présentation non-exhaustive de quelques applications développées à l’échelle internationale :
- De l’autre côté de la Manche, le Royaume-Uni a mis en place un dispositif similaire à « StopCovid », sans avoir recours à l’API tant contestée en France. Peu de temps après son déploiement, l’idée de concevoir une autre application a émergé, dont l’architecture reposerait cette fois sur le protocole décentralisé de Google et Apple.
- En Italie, pays très fortement touché par le Covid-19, le choix gouvernemental a été d’utiliser la solution de Google et Apple. Malgré l’absence d’accès aux données de géolocalisation, la réticence générale de la population italienne a abouti à un taux de téléchargement insuffisant pour rendre efficace l’application.
- Même constat à Singapour, s’agissant de plus d’une référence en la matière en étant le premier pays à avoir développé l’application « Trace Together ». En réaction à son échec, l’Etat de Singapour a opté pour le développement d’un bracelet connecté qui n’a pas manqué de soulever des contestations.
- Dans un premier temps, l’Allemagne a intégré le projet européen au développement de « StopCovid », mais a finalement décidé de rejoindre la Suisse en développant un produit aux normes de Google et Apple, décentralisant ainsi les données.
- L’application « CovidSafe » a été lancée en Australie il y a deux mois, et a eu un franc succès avec plus de 6 millions de téléchargements. Elle a été l’une des premières à utiliser la technologie de Google et Apple. Pourtant, elle est aussi un échec : un seul cas susceptible d’être porteur du Covid a été détecté.
- Enfin en Géorgie, l’application intitulée « Stop Covid » a créé la confusion lors de la sortie de l’application française en raison du même intitulé. Elle a été mise à disposition du téléchargement début avril, et a été développée par l’ONG autrichienne Novid20. Le Bluetooth et les données de localisation sont utilisés.
En conclusion…
A ce jour, l’application a été activée en France par 1,7 millions de personnes, soit une réelle utilisation de moins de 2%. On se trouve en conséquence bien loin des 60% d’utilisation nécessaires pour la rendre efficace.
Par ailleurs, certains motifs d’inquiétude se sont vérifiés : ainsi « StopCovid » collecterait en réalité les données de toutes les personnes croisées, et pas seulement celles des personnes rencontrées à moins d’un mètre durant 15 minutes.
Si l’envoi de données plus nombreuses sur le serveur n’a pas d’incidence sur le suivi de la propagation du virus, il n’en est pas de même concernant l’impact sur la vie privée des personnes concernées par cette « aspiration » de données.
Tous ces éléments et conditions posent question au regard de l’énergie investie dans cette application. En effet, de nombreuses zones d’ombre et incertitudes affectaient StopCovid dès l’annonce de sa conception. De plus l’accueil très réservé et prudent par le public français (et international) démontre une volonté unanime de protéger leurs données personnelles, et ce alors même que la CNIL a exercé son rôle de contrôle avec beaucoup de prudence et que les finalités .
En observant nos pratiques et celle déployées à l’étranger, on ne peut qu’établir le constat suivant : malgré la volonté de créer un outil d’appoint pour aider à contenir la maladie, but tout à fait légitime, les réticences restent vives et réelles quelle que soit la technique adoptée, centralisée ou décentralisée.
Quoi qu’il en soit, aucun pays n’est parvenu à ce jour à mettre au point une application efficace et démontrant une véritable protection des données à caractère personnel collectées et traitées, et véritable respect des droits des personnes concernées.
On peut donc légitimement s’interroger sur l’utilité de ces applications, dont l’efficacité reste non-prouvée alors que la collecte de données, a fortiori très sensibles, est quant à elle bien réelle. A tout le moins, l’implication du public et la communication autour de « StopCovid » auraient pu être mieux pensées et ce même si .
Sources pour pousser le sujet :
Introduction de l’application StopCovid
Les premiers constats
https://theintercept.com/2020/05/05/coronavirus-bluetooth-contact-tracing/
Les contre-mesures
https://yeswehack.com/programs/stopcovid-bugbounty-program
La communication et la publicité de StopCovid : une nouvelle erreur qui fait tâche…
Et à l’étranger ?
https://siecledigital.fr/2020/05/07/coronavirus-australie-covidsafe-bug-iphone/
https://www.prnewswire.com/fr/communiques-de-presse/lancement-en-georgie-d-une-nouvelle-application-de-surveillance-innovante-stop-covid-par-l-ong-autrichienne-novid20-834616783.html
Conclusion
https://www.lesechos.fr/politique-societe/societe/coronavirus-lapplication-stopcovid-activee-par-2-des-francais-seulement-1215790
https://www.lemonde.fr/pixels/article/2020/06/16/l-application-stopcovid-collecte-plus-de-donnees-qu-annonce_6043038_4408996.html