StopCovid et Surveillance massive : l’Etat envisage des bracelets pour les personnes sans Smartphone

Le gouvernement, dans son projet de lutte contre le Covid-19, mise sur la mise en place de son application StopCovid qui, selon Cédric O, Secrétaire chargé au Numérique, « devrait pouvoir entrer en test en conditions réelles la semaine du 11 mai ».

Dans une tribune publiée ce 3 mai dans Medium, le Secrétaire chargé au Numérique s’est prononcé sur le cas des personnes ne disposant pas de téléphones portables ou de Smartphones.  Le gouvernement n’exclut pas ainsi l’usage de boitier ou de bracelet pour ces personnes

Lecourrier-du-soir.com vous propose de lire la tribune dans son intégralité.

« remier Ministre a annoncé mardi dernier que l’application StopCovid, encore en développement, ferait l’objet d’un débat ultérieur. La ligne et la méthode sont claires :

  • Cette application, comme Edouard Philippe a eu l’occasion de le rappeler et comme le gouvernement le rappelle depuis l’annonce de son lancement, n’est qu’une brique d’une stratégie sanitaire de déconfinement plus globale ; elle est notamment un complément utile du travail des brigades sanitaires, dont la mission vitale d’identification des chaines de transmission se heurte à des limites physiques dans les endroits densément fréquentés comme les transports en commun ;
  • Elle demande encore un travail technique important ; il semble donc logique que les parlementaires ne débattent de l’opportunité de son déploiement que le jour où l’application sera finalisée ; celle-ci devrait pouvoir entrer en test en conditions réelles la semaine du 11 mai — c’est donc dans la foulée que StopCovid devrait pouvoir être présentée au Parlement ; d’ici là, l’équipe-projet coordonnée par Inria, qui rassemble plus de 100 personnesissues de plusieurs entreprises engagées et d’un large écosystème de contributeurs, va continuer à travailler d’arrache-pied ; qu’ils en soient remerciés.

Ce délai est aussi l’occasion de revenir sur un certain nombre de points qui font débat.

À quoi sert StopCovid ?

Le secret des pays qui ont réussi à juguler l’épidémie, ce sont les enquêtes sanitaires réalisées de manière industrielle conjuguées à une capacité de tests systématiques. Ces enquêtes, évoquées à plusieurs reprises par le Premier Ministre, le Ministre de la Santé et des Solidarités et détaillées ce vendredi par le directeur général de la CNAM, permettent de « mettre sous cloche » toute résurgence de l’épidémie. Elles nécessitent une très grande réactivité afin de limiter le risque que les personnes nouvellement infectées ne répandent sans le savoir le virus. Une personne testée positive doit ainsi être immédiatement isolée, ses contacts identifiés, testés et isolés à leur tour s’ils sont positifs. Ce processus repose essentiellement sur des brigades sanitaires qui interrogent les personnes physiquement ou au téléphone. Il est intrusif, puisqu’il rentre dans le détail de la vie privée des personnes, mais il a, par exemple, permis à la France de circonscrire le cluster des Contamines-Montjoie lors de son apparition. A partir du 11 mai et tant qu’il n’existe pas de vaccin, c’est à ce prix seulement que nous pouvons espérer éviter un redémarrage du Covid-19. Ce que disent les épidémiologistes, c’est que les tests, les masques et les gestes barrières sont clefs, mais qu’ils ne suffisent pas.

Ces enquêtes sanitaires sont donc vitales. Elles souffrent toutefois de certaines limites :

  • Leur temps de réactivité : dans un contexte où une part importante de contaminations (la moitié selon l’équipe d’épidémiologistes anglaisayant évoqué la première l’utilité de l’application) se fait avant même que les personnes vecteur ne développent les premiers symptômes (sans compter les asymptômatiques), il est impératif de couper les « départs de feu » quasiment en temps réel — ce que ne peuvent faire les brigades sanitaires confrontées à des limites physiques évidentes ; quelques heures de gagnées peuvent sauver des vies ;
  • La mémoire des personnes interrogées :il n’est pas aisé, qui plus est dans les conditions de stress que l’on imagine aisément, de se souvenir de l’ensemble de ses interactions sociales, même sur les seuls derniers jours ; en période normale, les « cas contacts » d’une personne donnée sont entre 30 et 50 ;
  • Ces enquêtes sanitaires se heurtent surtout, dans les centres urbains, à l’impossibilité de reconstituer les chaines de transmission dans les lieux les transports aux communs, les lieux publics ou les commerces; il est impossible, comme l’a rappelé le Premier Ministre lors de son discours devant l’Assemblée, de retrouver une personne assise à côté de vous pendant 10 minutes dans le métro ; pourtant, c’est peut-être d’elle que repartira le virus, surtout si elle ne présente pas de symptômes et propage donc le virus sans le savoir.

Il apparait donc clairement comment, en permettant d’historiser sur votre téléphone portable la liste des téléphones que vous avez croisés trop près ou trop longtemps mais que vous ne connaissez pas, StopCovid permet de combler une faille dans les enquêtes sanitaires en prévenant ces inconnus, si vous êtes testé positif, qu’ils peuvent être eux-même un danger pour eux et pour leurs proches — et qu’ils doivent rentrer dans un parcours sanitaire.

On comprend également à quel point le chiffre souvent évoqué de 60% minimum de la population équipée pour que le dispositif soit efficace n’a guère de sens. Comme l’ont écrit ce week-end certains des meilleurs épidémiologistes français et comme le soutient même l’auteur anglais de l’étude d’où est issu ce chiffre de 60%, de telles application trouvent leur utilité dès les premiers pourcents de diffusions, notamment au sein des villes.Notre chance, c’est que ces populations urbaines et actives qui sont au cœur de la circulation du virus sont aussi celles qui présentent le plus haut taux de possession d’un smartphone — au-dessus de 90%. (Pour être plus précis, ce qu’avancent les travaux de Christophe Fraser — notamment ici et ici, c’est qu’à elle seule et sans autre mesure, l’application permettrait de juguler l’épidémie à partir d’un taux d’adoption de 60% ; à l’inverse, dans un bassin de population comme une ville, l’application commence à être efficace à partir de quelques pourcents — ce qui devrait être précisé dans les jours à venir).

On comprend enfin à quel point cette application n’a rien de magique, mais n’a rien d’une coquetterie technologique non plus. Elle ne trouve son utilité qu’en s’intégrant à un dispositif sanitaire global :

  • En faisant en sorte que ne puissent se déclarer positifs que des individus réellement testés positifs ;
  • En définissant de la manière la plus précise possible ce qu’est un cas contact ;
  • En articulant enfin la réponse sanitaire apportée à chaque personne qui se verra notifier qu’elle est potentiellement à risque : elle devra, le cas échéant, pouvoir intégrer le parcours sanitaire des cas contacts et, si besoin, avoir accès à un test.

Le choix est donc très simple : tant que l’immunité collective n’est pas atteinte (ce qui est un horizon lointain), l’alternative se résume ainsi :

  1. Tout faire pour couper les « départs de feu » le plus rapidement possible, y compris en utilisant des outils numériques comme StopCovid, dans des conditions très encadrées et proportionnées (et dans un contexte où l’ensemble des pays européens prévoient de déployer de tels outils) ;
  2. Refuser ces outils pour des raisons philosophiques, mais dans ce cas accepter un risque significatif de malades et de morts supplémentaires.

Qu’est-ce que StopCovid ?

La confusion du débat est parfois telle qu’il est probablement plus utile, de prime abord, de commencer par dire ce que StopCovid n’est pas plutôt que ce qu’il est.

Le projet StopCovid n’est pas une application de surveillance : lorsque vous installez l’application, il ne se passe, la plupart du temps, rien. Elle est d’une grande simplicité car elle ne remplit que deux fonctions :

  • Si vous êtes testé positif, vous pouvez vous déclarer dans l’application ; dans ce cas, les gens que vous avez croisé dans les jours précédents et qui possèdent aussi StopCovid sont notifiés ;
  • Symétriquement, si l’un de vos contacts se déclare, c’est vous qui recevez une notification ; vous êtes le/la seul(e) à avoir cette information et c’est vous qui décidez de contacter les brigades sanitaires ou non.

L’architecture du système est pensée de telle manière que personne, pas même l’Etat, n’ait accès ni à la liste des personnes contaminées ni au « graphe » des interactions sociales (« qui a rencontré qui ? »). L’application ne demande absolument aucune donnée personnelle à l’utilisateur : ni le nom, ni l’adresse, ni même le numéro de téléphone mobile. C’est bien simple, elle ne demande rien à part le consentement de l’utilisateur de l’utiliser.

Le projet StopCovid n’est pas une application de « tracking » : la technologie utilisée est celle du bluetooth et, à la différence d’autres pays, la France s’est refusée à avoir recours aux données de géolocalisation. Il n’y a donc aucun moyen de connaitre la localisation ni les déplacements des personnes détentrices de l’application.

Le projet StopCovid n’est pas une application de délation : si vous êtes notifié, il vous est impossible de savoir qui est à l’origine de la notification. Il est utile, à ce stade, de préciser que certaines des failles identifiées par l’étude présentée sous https://risques-tracage.fr/ ont été identifiées depuis l’origine et peuvent aisément être évitées (pas toutes, nous y reviendrons). Des garde-fous seront notamment mis en place pour empêcher la notification d’une personne dont les interactions sociales seraient trop peu nombreuses afin que celle-ci ne puisse pas aisément déduire d’où vient l’information.

Le projet StopCovid n’a rien d’obligatoire : il repose sur une installation volontaire, librement consentie. J’ai eu l’occasion, lors d’une interview récente au JDD, de rappeler que, par exemple, un employeur obligeant ses salariés à installer l’application pourrait être passible de poursuite pénales.

Le projet StopCovid n’est pas un pied dans la porte. Tout y est temporaire : les données sont effacées au bout de quelques jours et l’application elle-même n’a pas vocation à être utilisée au-delà de la période épidémique.

Le projet StopCovid, enfin, n’a rien d’une boite noire : son code, dès qu’il aura atteint une certaine maturité, sera diffusé en open source, permettant à chacun de vérifier par lui-même des informations aussi importantes que l’effacement des données et les modalités de fonctionnement réelles de l’application. La même transparence doit s’appliquer à l’ensemble de l’architecture du système, jusqu’au serveur back-end (sur lequel nous reviendrons). C’est pourquoi le gouvernement s’est engagé à ce que soit mis en place un comité de suivi et de transparence qui rassemblera parlementaires, ONG, spécialistes du numérique et du droit, etc. En complément du travail essentiel de la CNIL, ce comité devra pouvoir mener toutes les investigations techniques nécessaires afin que ne subsiste aucune zone d’ombre sur le fonctionnement réel de StopCovid. L’intention et l’intérêt du gouvernement sont de faire une totale transparence, afin que ne subsiste aucun doute et que l’application puisse, le cas échéant, faire l’objet d’une adoption massive en confiance.

Ce portrait en creux dessiné, de quoi s’agit-il ?

Le projet d’application StopCovid est un projet européen, travaillé en coordination avec nos homologues allemands, belges, britanniques, espagnols, italiens… et bien sûr la Commission européenne, dont le travail de coordination est extrêmement précieux.

L’ensemble des pays européens, s’ils divergent parfois sur le choix du protocole (nous y reviendrons), travaillent sur le même principe : mettre au point une application qui « historise » les interactions entre deux smartphones afin de déterminer une évaluation de l’exposition au risque des détenteurs de ces smartphones. Cette exposition au risque est déterminée par au moins deux facteurs : la distance entre les deux smartphones et la durée de cette rencontre. En fonction de ces critères et de leur connaissance des mécanismes de transmission du virus, les épidémiologistes des différents pays (l’Inserm et l’Institut Pasteur pour la France) évaluent la probabilité que vous ayez contracté le virus si la personne croisée est positive. C’est cette probabilité qui déclenche, ou non, la notification.

Les garanties de StopCovid

Cette utilité, bien sûr, n’est pas un blanc-seing donné au gouvernement — ni du reste à aucun acteur privé ni public. Ces périodes de crise, nous le savons, sont toujours des périodes de danger pour les libertés publiques. La tentation peut être forte, lorsque la demande de protection est aussi forte et que l’ennemi est à ce point invisible, d’en recourir aux solutions de contrôle les plus extrêmes pour minimiser les risques. Ce n’est pas le choix de ce gouvernement qui a, comme je l’indique en préambule (« ce que StopCovid n’est pas »), choisi de déployer une application non-identifiante, volontaire, temporaire et transparente et contrôlée par des organes externes. Parmi tous ces éléments, qu’il me soit permis de dire que ce sont probablement les deux derniers qui sont les plus importants.

Cela ne l’exonère pas de certains risques, sur lesquels nous reviendrons, mais il convient tout de même de noter que ce choix n’a pas été celui de tous nos partenaires, notamment de certains de nos partenaires de l’Union européenne dont nombre ont décidé, par exemple, de faire respecter le confinement individuel des personnes à risque en s’appuyant sur la géolocalisation de leur téléphone portable.

En un mot, StopCovid apporte autant de garanties que possible afin de protéger la liberté et la vie privée. C’est cette analyse qui a conduit la Commission Nationale Informatique et Libertés, son équivalent européen et le Conseil National du Numérique, dans la situation exceptionnelle que nous vivons, à estimer son usage proportionné tout en demandant des garanties.

Proportionnalité

Il convient de considérer la situation telle qu’elle est et non dans une appréciation déconnectée des choix réels qui s’offrent à nous. Rappelons tout d’abord que le déconfinement est une manœuvre pour une large part incertaine et que l’estimation de nombreux épidémiologistes est que le risque est sérieux de voir redémarrer l’épidémie (et donc de devoir au moins partiellement reconfiner) — avec les conséquences sanitaires, économiques, sociales et démocratiques catastrophiques que cela implique. Rappelons ensuite que, dans ces conditions :

– les tests, les masques et les gestes barrières sont indispensables mais qu’ils ne suffisent pas ;

– la capacité à déployer des enquêtes sanitaires est clef et centrale, mais elle souffre de sérieuses limites (exposées plus haut).

C’est ce constat qui a conduit plus d’une soixantaine de scientifiques, parmi lesquels certains des meilleurs épidémiologistes et spécialistes de la santé en France à considérer dans une tribune dans le journal Le Monde que StopCovid était un outil non seulement utile mais « indispensable ». C’est ce même constat qui est à l’origine de l’avis du Conseil Scientifique appelant à « l’utilisation d’outils numériques [en complément d’équipes mobiles] pour un traçage efficace des contacts ».

C’est ce même constat qui a conduit le Comité National Pilote d’Ethique du Numérique à « insister sans délai sur l’importance que représente la mise en place d’une application de suivi numérique de contacts dont le contrôle souverain puisse être garanti aux citoyens français, voire européens, dès lors qu’il aura été statué sur ses qualités éthiques ». Enfin, c’est toujours ce constat sur lequel s’appuie l’Académie de Médecine pour donner « un avis favorable à l’utilisation de smartphones pour le suivi du déconfinement ».

Ces prises de positions sont extrêmement importantes car elles viennent de ceux qui sont le plus à même de juger de l’utilité d’un tel outil dans la lutte contre l’épidémie, mais aussi d’évaluer les alternatives en présence. Il est indispensable, parallèlement, que les spécialistes du numérique puissent faire toute la lumière sur l’intérêt, les limites et les dangers des technologies employées. C’est particulièrement vrai des risques de détournement des technologies envisagées. Le travail mené par des spécialistes de l’informatique et mis en ligne sur https://risques-tracage.fr/ est, à cet égard, particulièrement intéressant. Si certaines « attaques » peuvent être assez facilement parées par des mesures prophylactiques, la plupart des failles évoquées sont tout à fait valides.

Comme toute technologie, le risque zéro n’existe pas. Il est même loin d’être anecdotique s’agissant d’un outil de traçage des interactions sociales. C’est ce que rappelle utilement la tribune signée par des chercheurs en informatique : https://attention-stopcovid.fr/ Mais, comme ceux-là l’écrivent, ce n’est qu’au regard du rapport bénéfice/risque que la décision de déployer StopCovid ne pourra, le cas échéant, être prise. En un mot, StopCovid n’est pas une application de temps de « paix ». Un tel projet n’existerait pas sans la situation créée par le Covid-19.

StopCovid est un outil susceptible, s’il fonctionne correctement et si les tests valident son efficacité, de nous donner une chance supplémentaire d’éviter que l’épidémie ne reparte. C’est dans ces conditions — et dans ces conditions seulement — que le déploiement de cette application est envisagée par le gouvernement. C’est dans ces conditions — et dans ces conditions seulement — que la CNIL a jugé le déploiement de cette application proportionnée. A l’inverse, ceux qui s’y opposent à tout prix doivent dire qu’ils acceptent les risques sanitaires, sociaux et démocratiques conséquents (en clair : des malades et des morts en plus, ainsi qu’un risque supplémentaire de reconfinement).

La fracture numérique

La lutte contre la fracture numérique est l’une des priorités de ce gouvernement, y compris pendant la crise. Dans le contexte du contact tracing, il est essentiel que les populations « déconnectées » ne soient pas exclues des dispositifs sanitaires. C’est le cas du cœur du dispositif : les brigades sanitaires évoquées plus haut remplissent leur mission sans considération des conditions de connexion, d’équipement ou de compréhension des enjeux numériques par les personnes qu’elles interviewent physiquement ou au téléphone.

S’agissant du projet StopCovid, l’équipe projet intègre depuis le début des spécialistes de l’accessibilité (personnes en situation de handicap ou peu habituées aux outils numériques). Pour ceux ne possédant pas de smartphone, une partie de l’équipe est dédié à essayer de trouver une autre solution — par exemple, un boitier ou un bracelet qui permettraient de se passer des téléphones. La faisabilité d’un tel dispositif reste toutefois très incertaine et nécessitera a minima des semaines supplémentaires de développement.

Apple/Google, DP3T ou Robert ?

Un mot, enfin, du débat en cours sur les différents protocoles. Car s’il est un sujet de discussion technique pour les spécialistes, il emporte aussi des implications politiques et philosophiques.

Il existe, grossièrement, deux familles de protocoles sur lesquelles une application d’historique de proximité peut reposer. Ces deux familles sont communément appelées « centralisée » et « décentralisée », même si ces termes sont largement impropres comme l’a rappelé un excellent papier de l’équipe Privatics d’Inria.

La France, dont le modèle « Robert » a été développé par Inria et l’institut Fraunhofer, a choisi un modèle « centralisé », tout comme la Grande-Bretagne. La Suisse, l’Allemagne à ce stade ou encore l’Estonie ont fait, elles, un choix différent. D’autres pays sont encore en réflexion. La Commission Européenne et l’European Data Protection Board (la CNIL européenne) ont validé les deux approches, dès lors qu’elles respectent un certain nombre de garanties.

Là encore, les caractéristiques et surtout les défauts de ces deux familles sont bien documentés. Le résumé est simple : aucune solution n’est infaillible, mais leurs failles sont différentes. L’analyse des spécialistes de l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) et des chercheurs d’Inria, c’est que le modèle « décentralisé » est significativement plus risqué en termes de protection des données (et donc de la vie privée) que le modèle « centralisé ». Ce risque est notamment dû au fait que, dans le cadre d’une approche « décentralisée », l’ensemble des crypto-identifiants des personnes testées positives circule sur l’ensemble des téléphones possédant l’application, ce qui rend le risque d’identification personnelle d’une personne contaminée beaucoup plus prégnant. Pour le dire encore plus clairement, si vous installez une application de contact tracing selon le protocole DP3T (le protocole « décentralisé » le plus en vogue) vous aurez sur votre téléphone la liste de tous les crypto-identifiants des Français contaminés à l’instant t (voire des Européens si la solution est interopérable). Ce que dit sans ambiguïté le communiqué de presse du gouvernement allemand.

A l’inverse, le protocole « Robert » utilise un serveur central pour stocker les crypto-identifiants des personnes qui ont été en contact avec une personne testée positive. Ce protocole, sans être infaillible, est moins sensible en termes de données médicales et rend significativement plus compliquée l’identification dans la vie réelle des personnes malades par des hackers malveillants. Pour autant, le fait même que le système repose sur un serveur central pose, aux yeux de nombreux observateurs, un autre problème : celui de l’action d’un Etat potentiellement malveillant.

Cette crainte ne peut être niée dans l’absolu mais elle appelle à tout le moins un commentaire. La politique sanitaire est, du point de vue du gouvernement français, une prérogative souveraine qui relève de l’Etat. C’est à la puissance publique, avec ses qualités et ses défauts, qu’il revient de faire les choix qu’elle estime être les meilleurs pour protéger les Françaises et les Français. Dans le cas d’espèce qui nous intéresse, cela ne l’empêche pas de s’appuyer sur des acteurs privés qui maitrisent bien mieux qu’elle certains savoir-faire — c’est le cas dans “l’équipe StopCovid” — mais elle doit pouvoir maitriser ses options. On peut, effectivement, imaginer qu’un Etat non démocratique profite de ces circonstances exceptionnelles pour augmenter le niveau de surveillance de ses citoyens. Mais c’est à cela que servent les mécanismes de contrôle des démocraties, et c’est pour renforcer encore ces mécanismes de contrôle que le gouvernement s’est déclaré ouvert à toutes les demandes de transparence et a proposé un comité de suivi et de transparence doté de tous les moyens de contrôle et d’audit nécessaires.

C’est cette discussion qui est au cœur des échanges que nous avons avec Apple et Google. Le gouvernement français ne refuse pas l’API proposée en l’état par ces deux entreprises parce que ce sont des entreprises américaines ou parce qu’il cherche à réinventer le Minitel (qui fut, au demeurant, une belle réussite). Il s’y refuse car, dans son format actuel, elle contraint le choix technique : seule une solution « décentralisée » peut fonctionner parfaitement sur les téléphones équipés d’iOS. Or, cette solution est rédhibitoire pour deux raison :

  • Une protection des données et de la vie privée inférieure à la solution centralisée(cf. point ci-dessus) ;
  • Une perte de maitrise en termes de santé publique; par exemple, il parait impossible, dans le cas d’une solution décentralisée, de limiter le nombre total de notifications par jour compte tenu du caractère décentralisé de la décision de notification ou encore d’avoir une approche par apprentissage pour l’autorité sanitaire en charge de la gestion de la crise… à moins de ne le demander à Apple et Google !

Cette analyse, nous la partageons avec d’autres Etats, par exemple la Grande-Bretagne. D’un point de vue technique, elle ne fait guère débat. Ce choix préexistait, du reste, à l’annonce d’Apple et de Google. Il n’a pas de raison de changer. La souveraineté sanitaire et technologique française évoquée dans mon interview au JDD, c’est cette liberté que doit avoir notre pays d’avoir le choix et de ne pas être contraint par les choix d’une grande entreprise, aussi innovante et performante soit-elle.

Les discussions se poursuivent. Elles ne sont pas, à court terme, rédhibitoires, les solutions existantes permettant a priori de développer une version de l’application satisfaisante sur les iPhones. Mais cette contrainte, particulièrement dans un moment aussi grave, est un élément à charge de plus qui démontre le caractère oligopolistique du marché des OS et, plus largement, de l’urgence pour l’Europe d’avancer dans son agenda de régulation de la Tech.

Les prochaines étapes

Les défis techniques sont encore nombreux et les échéances rapprochées. Ce projet est, du reste, l’occasion de constater à quel point l’excellence de la recherche française mais aussi de son tissu industriel sont précieux et lui assurent une indépendance sans laquelle nous serions dépendants du bon-vouloir et des priorités d’entreprises étrangères. La souveraineté politique n’est rien sans souveraineté technologique.

Notre priorité, c’est de pouvoir disposer d’une application fiable et opérationnelle. Il faudra, pour cela, encore plusieurs jours de travail acharné à l’équipe projet. L’objectif, c’est de pouvoir opérer des tests en conditions du réel dans la semaine du 11 mai afin de terminer la phase de validation opérationnelle. En cela, la France est dans la même temporalité que celle de ses partenaires européens, qui rencontrent les mêmes complexités techniques. Le Parlement, comme s’y est engagé le Premier Ministre, devra alors être saisi afin de pouvoir se prononcer sur une version finalisée. La CNIL devra également pouvoir se prononcer de manière définitive. Nous devrions donc avoir l’occasion de reparler de tout cela très vite.

En attendant, continuons le travail ! »

Pour lire la tribune dans sa version originale, cliquez ici : StopCovid