Technologie : L'application mobile StopCovid doit atterrir dans les smartphones des Français début juin. Voici un tour complet de ce que nous en savons, des risques, des débats en cours.

Maj 05/05/2020 à 16h20 : Le gouvernement a donné un calendrier pour le déploiement du dispositif StopCovid.



Sommaire :



L'application StopCovid fera t-elle partie du plan de déconfinement ?

A quoi doit servir l'application StopCovid ?

Pourquoi le contact tracing via smartphone pose problème ?

Quels sont les obstacles techniques de la mise en place de StopCovid sur les smartphones Android et iOS des Français ?

Qu'ont proposé Apple et Google pour aider les autorités de santé et les gouvernements ?

Pourquoi Cédric O refuse d'utiliser la technologie proposée par Apple et Google ?

Pourquoi l'Allemagne vient de décider d'utiliser la solution d'Apple et Google ?

Que retient Cédric O de la position de la Cnil sur le projet StopCovid ?

Que dit par ailleurs la Cnil (et ça Cédric O ne le mentionne pas) ?

Quel est le ressenti de la population face aux applications de contact tracing ?

Pourquoi les défenseurs du respect de la vie privée s'opposent-ils à la mise en place de StopCovid ?

Qui va développer et déployer StopCovid ?





--

L'application mobile StopCovid doit atterrir dans les smartphones des français à compter du 2 juin. Voici un tour complet de ce que nous en savons, des risques, des débats en cours. L'article sera mis à jour en fonction de l'évolution du projet.





publicité

L'application StopCovid fera t-elle partie du plan de déconfinement ?



Non. Le projet d'application mobile de contact tracing StopCovid n'est techniquement pas prêt à ce stade, et les premiers tests devraient intervenir à partir de la semaine du 11 mai, selon Cédric O.



"Ce n'est pas prêt et ce sera sûrement doucement enterré. A la française", estime même un parlementaire. Le Premier ministre, Edouard Philippe, a déclaré fin avril que l'application ne pourrait être utilisée que de façon complémentaire. Devant les députés, il avait également précisé que StopCovid devrait faire l'objet d'un débat au Parlement avant son adoption.



A quoi doit servir l'application StopCovid ?

Annoncée par le gouvernement français il ya quelques jours, l'application mobile StopCovid doit permettre de créer un historique des smartphones détectés à proximité par le capteur bluetooth. Cela doit permettre d’afficher une alerte si l’un des propriétaires des téléphones croisés dans les 14 derniers jours s’est signalé comme malade du Covid-19.

Pour ce faire, l'application, qui doit être mise en production dans les prochaines semaines, va utiliser le concept de contact tracing.





Qu'est ce que le contact tracing ?

Le contact tracing est une méthode visant à identifier toutes les personnes ayant été en contact avec une personne infectée par une maladie afin de pouvoir identifier et prévenir au plus vite les personnes potentiellement infectées.

Depuis le début du mois d’avril, les discussions portent avant tout sur la façon de mettre en œuvre les outils de contact tracing de la manière la plus appropriée. L’Inria a présenté récemment son protocole ROBERT, qui propose une approche de mise en œuvre de ce type de protocole. Parmi les autres candidats, on peut ainsi citer DP3T, un protocole soutenu majoritairement par les écoles Polytechnique de Zurich et de Lausanne, mais aussi PACT ou encore TCN.





Pourquoi le contact tracing via smartphone pose problème ?

Pour que cet outil soit efficace, il faut donc que le maximum de Français l'utilisent. Or, 20 % des français ne sont pas équipés en smartphone. Et parmi les 80 % restants, 20 % utilisent un iPhone, une plateforme nous le verrons, qui pourrait ne pas faire fonctionner l'application StopCovid.

S'ajoute à ces contraintes la question politique. Le Parlement doit se prononcer, les 28 et 29 avril, sur la question du traçage numérique pour accompagner le déconfinement.

Plusieurs députés de la majorité ont exprimé de vives critiques à l’égard de ce projet, jugé risqué et attentatoire aux libertés personnelles. Le député Sacha Houlié assimile les mesures de pistages de la population aux bracelets électroniques utilisés par l’administration pénitentiaire.





Quels sont les obstacles techniques de la mise en place de StopCovid sur les smartphones Android et iOS des français ?

Pour réaliser cette tâche, les utilisateurs de l'application doivent accorder un accès permanent à la fonction de bluetooth à l'application StopCovid. Une autorisation qui n'est pas accordée par iOS, le système d'exploitation des smartphones Apple. Apple juge que cela est contraire à la politique de confidentialité déployée sur iOS.

« Cette restriction à l'utilisation du bluetooth a été introduite par Apple dans ses modèles récents d'iPhone, après avoir constaté des abus de la part de développeurs, qui utilisaient le bluetooth pour localiser les utilisateurs et leur envoyer des publicités ciblées... Apple ayant inscrit la protection de ses utilisateurs au cœur de son message commercial, le choix a été fait de désactiver ce lien entre le bluetooth et des applications inactives », note dans une tribune en défense d'Apple Adrienne Brotons, ancienne conseillère à l'Elysée sur les sujets numériques (2015-2017) et membre de la Fondation Jean Jaurès.

A noter que côté Android, les dernières versions limitent aussi l’usage du bluetooth.





Qu'ont proposé Apple et Google pour aider les autorités de santé et les gouvernements ?

Afin d’aider les gouvernements et les autorités de santé, Apple et Google ont annoncé le 10 avril mettre à leur disposition une base commune, pouvant être utilisée et adaptée par toutes les applications gouvernementales, et basées sur le bluetooth.

La technologie des deux géants de la tech a pour avantage d'accorder une exception dans l’accès permanent aux fonctions bluetooth, mais aussi de paramétrer certains critères (durée d’exposition, intensité du signal capté pour évaluer la distance) de manière à définir un cas contact.





Pourquoi Cédric O refuse d'utiliser la technologie proposée par Apple et Google ?

Apple/Google : la bonne solution ? Pas pour le gouvernement français. Car en plus de la gestion du bluetooth, la plateforme commune d’Apple et Google prend elle-même en charge la gestion des identifiants anonymes liés aux smartphones des utilisateurs de l’application. Ce que refuse Cédric O, le secrétaire d’Etat chargé du numérique. « C’est la mission de l’Etat que de protéger les Français. c’est donc à lui seul de définir la politique sanitaire, de décider de l’algorithme qui définit un cas contact ou encore de l’architecture technologique qui protégera le mieux les données et les libertés publiques », dit-il.

« La puissance publique se retrouve ici dans la position de n'importe quel développeur d'applications face au duopole Apple/Google. Le terme utilisé depuis longtemps par le Sénat de "colonie numérique" prend ici tout son sens. La mise en place d'un outil de lutte contre le virus dépend du bon vouloir de firmes qui sont en capacité aujourd'hui de dicter leurs conditions à l'Etat et même de le "challenger" avec une solution concurrente », note avec justesse dans une tribune Sophie Primas, présidente de la commission des Affaires économiques du Sénat (LR).

Cédric O a donc déclaré au JDD ne pas vouloir intégrer à StopCovid la solution proposée de manière commune par Google et Apple. « C’est une question de souveraineté sanitaire et technologique », a t-il dit. « StopCovid sera la seule application totalement intégrée dans la réponse sanitaire de l’Etat français. Cela ferme le débat. »

Et de demander a Apple de revoir sa politique de sécurité pour faire fonctionner StopCovid sur sa plateforme.





Pourquoi l'Allemagne vient de décider d'utiliser la solution d'Apple et Google ?

A noter que l'Allemagne a annoncé hier, après avoir longtemps défendu une solution nationale, se ranger derrière le projet d'application de traçage de porteurs du coronavirus proposé par Google et Apple. Selon le ministre allemand de la Santé, Jens Spahn, et le chef de cabinet de la chancelière Angela Merkel, Helge Braun, Berlin privilégie désormais une « architecture décentralisée » qui permettrait de stocker les données des utilisateurs sur leur propre téléphone plutôt que dans une base de données centrale.

Jusqu'à présent, Berlin avait opté pour une application paneuropéenne connue sous le nom de PEPP-PT, développée par 130 scientifiques européens. Mais cette application a rencontré une forte opposition en Allemagne car il était prévu que les données soient stockées sur un serveur central. Comme le projet StopCovid.

La Commission européenne a également recommandé que les données recueillies par ces applications de traçage ne soient stockées que sur les téléphones des utilisateurs et soient chiffrées.





Que retient Cédric O de la position de la Cnil sur le projet StopCovid ?

La mise en place d'une « application mobile d’historique de proximité » doit selon le gouvernement « constituer une brique importante du dispositif d’enquêtes sanitaires qui accompagnera le déconfinement » pour casser les chaines de transmission de l’épidémie de Covid-19.

Le gouvernement a demandé à la Cnil (Commission Nationale Informatique et Liberté) de se prononcer sur la régularité du projet concernant le respect du cadre français de protection de la vie privée.

La Commission s'est prononcée sur « la nature des données impliquées dans l’application et en particulier leur caractère personnel afin de mettre en place les mesures adaptées, la conformité d’un tel dispositif aux règles de protection des données personnelles et, le cas échéant, les garanties supplémentaires qu’il conviendrait de prévoir », mentionne Cédric O, le secrétaire d’Etat chargé du numérique du gouvernement Philippe.

Il retient de l'avis de la Cnil que « le dispositif projeté est soumis aux règles de protection des données à caractère personnel », c'est-à-dire le RGPD. Mais aussi que la Cnil mentionne que « l’application peut s’inscrire dans le cadre législatif et réglementaire actuel », c'est-à-dire qu'il ne convient pas de changer les textes de loi pour que le projet soit mis en œuvre.

Enfin, la Commission juge que « les opérations d’accès à des informations stockées et l’inscription d’informations dans le terminal sont strictement nécessaires à la fourniture du service », et comme elles sont « strictement nécessaires », elles sont « donc licites », note le gouvernement.

Mais la Cnil recommande pour protéger les données personnelles des Français que « le caractère volontaire de l’utilisation de l’application » soit « explicitement prévu dans les textes juridiques régissant ce dispositif ». Par ailleurs, « aucune conséquence négative ne devra être attachée à l’absence de téléchargement ou d’utilisation de l’application ».

Par ailleurs, une attention particulière devra être portée « aux mesures permettant aux personnes d’exercer leurs droits sur leurs données à caractère personnel ».

Enfin, « le code source de l’application, du serveur central et leur paramétrage seront ouverts ».





Que dit par ailleurs La Cnil (et ça Cédric O ne le mentionne pas) ?

« La CNIL appelle à une vigilance particulière contre la tentation du "solutionnisme technologique" », mentionne par communiqué la Commission. En clair, une application mobile ne suffit pas à lutter contre le coronavirus. Surtout dans un pays où la politique de santé publique en matière de masques et de tests semble bien plus liée à la gestion de pénurie qu'à une stratégie planifiée de lutte contre les pandémies.

La Cnil souligne aussi que l'efficacité de l'application dépendra, « notamment, de sa disponibilité dans les magasins d’application (App Store, Play Store), d’une large adoption par le public et d’un paramétrage adéquat ». Comme l'utilisation de la technologie bluetooth pour créer des historiques de contact semble réalisable sous Android, mais pas sous iOS, la question d'un paramétrage adéquat et de l'adoption "large" reste tout à fait ouverte.

Pour aller plus loin sur l'avis de la Cnil concernant StopCovid, lire StopCovid : la Cnil approuve mais reste vigilante.





Quel est le ressenti de la population face aux applications de contact tracing ?

Alors que les personnes interrogées dans un récent sondage effectué dans six pays hésitent à révéler les résultats des tests à leur gouvernement, une majorité de l'échantillon testé voudrait savoir si quelqu'un de leur voisinage immédiat est testé positif.

La plupart des personnes interrogées déclarent qu'elles sont à l'aise pour communiquer un résultat positif au test du Covid-19 à leur médecin ou aux prestataires de soins de santé publique. Mais seulement 28 % des personnes interrogées seraient prêtes à le faire avec leur gouvernement.

Dans les six pays, une majorité est prête à partager les résultats d'un test – qu'il soit négatif ou positif – avec une application, uniquement si les données sont accessibles aux autorités de santé. L'enquête révèle que moins de 20 % des personnes interrogées dans chaque pays sont prêtes à partager leur identité ou leur localisation avec une application accessible au public.





Pourquoi les défenseurs du respect de la vie privée s'opposent-ils à la mise en place de StopCovid ?

Dans une tribune intitulée "StopCovid est un projet désastreux piloté par des apprentis sorciers", Antonio Casilli (Sociologue), Paul-Olivier Dehaye (Mathématicien) et Jean-Baptiste Soufron (Avocat), enjoignent le gouvernement de « renoncer à la mise en place d’un outil de surveillance enregistrant toutes nos interactions humaines ».

« Même si toutes les garanties légales et techniques étaient mises en place (anonymisation des données, open source, technologie bluetooth, consentement des utilisateurs, protocole décentralisé, etc.), StopCovid serait exposée au plus grand des dangers : celui de se transformer sous peu en "StopCovid Analytica" », disent ils en référence au scandale Cambridge Analytica.

Et de mentionner que cette application mobile ne devienne un outil de restriction des libertés, rappelant qu'à Hong Kong les autorités imposent un capteur au poignet des personnes en quarantaine.





Qui va développer et déployer StopCovid ?

L'Inria, ANSSI, Capgemini, Dassault Systèmes, l'Inserm, Lunabee Studio, Orange, Santé Publique France et Withings annoncent avoir formalisé une équipe-projet StopCovid. Le projet est à l'heure actuelle dans sa phase de construction d’un prototype.

Au sein du projet, coordonné par l'Inria, les membres de cette équipe-projet se répartissent le travail comme suit :

Inria : coordination et protocole de transmission, privacy-by-design.

coordination et protocole de transmission, privacy-by-design. ANSSI : cybersécurité.

cybersécurité. Capgemini : architecture et co-développement back-end.

architecture et co-développement back-end. Dassault Systèmes : infrastructure souveraine de données qualifiée SecNumCloud.

infrastructure souveraine de données qualifiée SecNumCloud. Inserm : modèles de santé.

modèles de santé. Lunabee Studio : développement des applications mobiles.

développement des applications mobiles. Orange : diffusion de l’application et interopérabilité.

diffusion de l’application et interopérabilité. Santé Publique France : insertion et articulation de l’application dans la stratégie globale de détection et suivi des contacts ("contact tracing").

insertion et articulation de l’application dans la stratégie globale de détection et suivi des contacts ("contact tracing"). Withings : objets connectés.





L'Inria précise également qui sont les membres de l’écosystème des contributeurs du projet StopCovid.





A titre individuel :



Frédéric Arnoux (pour STIM) ;

Sylvain Chaillou ;

Thomas Chappuis ;

Benjamin Duban (pour STIM) ;

Gabriel Hubert ;

Jules Leclerc ;

Daniel Marhély.



En tant qu’organisation :

