Alors que le Conseil national du numérique doit remettre ce vendredi son rapport sur l'application StopCovid de suivi de l'infection au Sars-Cov-2, de plus en plus de doutes apparaissent sur la capacité à imaginer une application européenne efficace et garante de la protection des données personnelles.

L'application StopCovid va-t-elle voir le jour en France ?
L'application StopCovid va-t-elle voir le jour en France ? © Maxppp / Frank Hoermann/Sven Simon/Newscom/Picture Alliance

Stop Covid... Ou pas ? Avec le début du déconfinement, prévu dans un peu plus de deux semaines, la mise à disposition d'une application smartphone capable de suivre et d'identifier les personnes ayant été en contact avec une personne infectée est plus que jamais espérée. Pourtant, alors que tout le monde est d'accord pour exiger un usage volontaire et un respect strict de la vie privée, les difficultés s'amoncellent. 

Est-il possible d'atteindre techniquement le niveau de protection des données individuelles souhaitées ? L'acceptabilité sera-t-elle suffisante dans la population pour que cette application soit utile pour éviter un rebond de l'épidémie ? 

Mi-avril, le secrétaire d'Etat au numérique Cédric O a saisi le Conseil national du numérique pour lui demander de plancher sur ces questions ; le rapport doit être publié ce vendredi. Un débat doit aussi être organisé en début de semaine prochaine à l'Assemblée nationale. 

L'Inria à la tête du projet

Quelques jours avant de saisir le Conseil, il semble qu'un prototype d'application proposé par un petit groupe de chercheurs et ingénieurs (regroupés dans l'association "Soyez prévenus") ait convaincu le gouvernement de s'engager dans la voie du traçage pour contrôler la propagation du virus, une fois les restrictions de déplacement levées. 

C'est alors que les industriels, Orange ou Apple en tête, ont commencé à proposer leurs propres produits. Face à une offre pléthorique, le gouvernement a chargé, le 10 avril, l'Institut national de recherche en informatique et automatique (Inria), un organisme public, de constituer une "task force" sur le sujet. 

Où en est-on ?

Une poignée de brillants chercheurs de l'organisme, son président Bruno Sportisse en tête, se sont donc vus confier la tâche de mettre au point une application de traçage anonyme qui n'utilise ni bornage GSM, ni géolocalisation. Étrangement, l'Inria n'a communiqué que tardivement sur le projet. 

À travers l'Inria, la France participe à l’initiative PEPP-PT, une plateforme impliquant au départ huit pays européens et dont l'ambition est de proposer des standards d'applications inter-opérables. Contacté par France Inter, Bruno Sportisse a confirmé que des industriels étaient associés au projet, sans vouloir les nommer.

Dans la soirée du samedi 18 avril, le président de l'Institut a dévoilé le nom de l'architecture envisagée : ROBERT pour ROBust and privacy-presERving proximity Tracing, dont les contours sont précisés dans un article publié sur le site de l'Inria.  

Mais ROBERT pourra-t-il être traduit en une application gouvernementale disponible dès le 11 mai ? Bruno Sportisse ne veut pas s'avancer : "Nous discutons encore des briques techniques. Il y a dans chaque pays des compétences mais encore des choses à régler comme la précision de la technologie Bluetooth, ou les problèmes éthiques posés."  

Réticences et divisions

Ce que le président de l'Inria ne mentionne pas, c'est la récente sortie du jeu de nos voisins suisses : les chercheurs de l'École polytechnique fédérale de Lausanne et l'ETH de Zurich ont en effet décidé le 17 avril de se désolidariser de PEPP-PT jugeant le projet insuffisamment transparent. Quant aux Belges, ils ont annoncé l'abandon d'un projet d'application pour le moment et pensent revenir à un suivi manuel des patients infectés par le Covid-19, une méthode fastidieuse mais éprouvée.  

Depuis, le navire semble prendre l'eau de toutes parts : 300 scientifiques internationaux de renom, spécialistes du domaine, se déclarent "préoccupés que les solutions de suivi envisagées puissent déboucher sur une surveillance sans précédent de la société dans son ensemble". Leur texte insiste sur la nécessité d'un stockage des données décentralisé. Plusieurs français dont Jacques Stern, médaille d'or du CNRS et inventeur de la cryptographie nationale fait partie des signataires de cette alerte.

Des chercheurs français, dont plusieurs travaillent à l'Inria, ne disent pas autre chose dans un document vulgarisé intitulé "Le traçage anonyme, dangereux oxymore". Ils souhaitent là mettre l'accent sur les risques encourus avec la mise en place d'un système de traçage. "Avec notre expertise en cryptographie et les scénarios possibles d'attaque, on se prononce sur les risques potentiels de dévoiement de l'application", explique Emmanuel Thomé, chercheur à l'INRIA. 

Ils donnent des exemples : pour obtenir l'information "'Mme X est-elle malade ?', une entreprise pourrait dévoyer le système de notification pour sélectionner un candidat à l'embauche avant de lui faire signer un contrat de travail". Autre cas concret : le grand public pourra aussi découvrir que l'application peut être détournée pour évincer, par exemple, un joueur de foot d'une équipe. Il suffit que son téléphone soit emprunté, le temps de l'approcher d'un téléphone de cas contaminé. Avec le Bluetooth, le joueur de foot par l'entremise de son smartphone, devient une personne contact qui doit être confinée pour éviter la propagation de l'épidémie. Résultat, il n'est pas sur le terrain la semaine suivante. 

Une application disponible le 11 mai ?

Stéphanie Lacour, spécialiste en droit et innovation au CNRS et directrice adjointe de l'Institut des sciences sociales du politique souligne que la mise en place d'une application de traçage intervient dans une période dépourvue de débat public

"C'est extrêmement inquiétant au regard des libertés individuelles", explique-t-elle. Pourquoi s'inquiéter puisque l'application StopCovid ne sera utilisée que sur la base du volontariat répète les ministres ? "Est-ce un consentement réellement libre et éclairé quand on fait comprendre à une population en état de sidération que si elle veut sortir après deux mois de confinement, il lui faut télécharger l'application?".  

La chercheuse doute par ailleurs du succès de l'opération, en raison de la fracture numérique et de l'illectronisme. Elle rappelle que seuls 70 % de la population française dispose d'un téléphone qui permet de télécharger l'application et que ce n'est pas la part la plus exposée au risque de contamination au Covid-19. Par ailleurs, une telle application n'a rien de miraculeux et ne fonctionnerait qu'en cas d'une adhésion massive de la population, raison qui a notamment fait abandonner les Belges

Déficit de pédagogie

La difficulté ne vient-elle pas aussi d'un déficit de pédagogie ? À ce jour, si les risques sont de plus en plus exposés, au travers de nombreuses tribunes de scientifiques notamment, les garanties de l'anonymat et de la non conservation des données n'ont pas fait l'objet d'un réel exposé détaillé. 

Certes ROBERT n'est pas encore bouclé, mais comme le souligne Alexandre Gefen, directeur adjoint scientifique à l’Institut des sciences humaines et sociales du CNRS, la position des chercheurs est difficile. En raison de l'urgence, ils sont mobilisés pour "une recherche au service de l'intérêt général tout en gardant une distance critique et en pointant d'éventuels biais".

Les GAFAM vainqueurs à la fin ?

En attendant, la course contre la montre pour que StopCovid soit prêt à temps semble tourner à l'avantage des industriels. Sourcilleux avec leur vie privée, bien plus que nos voisins Allemands, les Français sont pourtant parfois très imprudents avec les applications qu'ils téléchargent de leur plein gré. Si Apple ou Orange leur en proposent une ergonomique et gratuite, sauront-ils y résister ? Déjà, l'opérateur téléphonique français a lancé StopC19 et la teste avec le soutien de la Région Île-de-France, dans les communes de Sartrouville et Saint-Germain-en-Laye. 

Quant à Apple, la marque à la pomme serait à la fois partenaire du projet de l'Inria et développeur de sa propre application. Si le géant américain pose ses conditions pour rendre compatible ROBERT avec ses propres smartphones, il y a fort à parier que cette alliance publique/privée vole en éclat. Et peut-être avec elle tout le projet ROBERT... 

Ce contenu n'est pas ouvert aux commentaires.