Allez au contenu, Allez à la navigation

Santé publique : pour un nouveau départ - Leçons de l'épidémie de covid-19 - Rapport

8 décembre 2020 : Santé publique : pour un nouveau départ - Leçons de l'épidémie de covid-19 - Rapport ( rapport de commission d'enquête )

B. L'ÉCHEC DU TRAÇAGE À GRANDE ÉCHELLE : LES ESPOIRS DÉÇUS DE « STOPCOVID »

Le traçage strictement « médical » engagé par les professionnels de santé et les agents de l'assurance maladie restreint la recherche de cas contacts aux seules personnes connues du cas positif. La transmission interhumaine du virus pouvant advenir à l'occasion d'une interaction d'une courte durée, les chaînes de contamination peuvent aussi impliquer des contacts non connus. C'est afin de faciliter leur recherche et leur identification que le Gouvernement s'est penché, parallèlement aux solutions de traçage « médical », sur le développement d'une application destinée à organiser le traçage « à grande échelle » : « StopCovid ».

1. Les interrogations préalables à la mise en oeuvre de l'application : l'attachement à la « souveraineté numérique »
a) Les principes directeurs de l'application, harmonisés à l'échelon européen : installation volontaire et technologie de traçage peu intrusive

L'opportunité du recours à une application de traçage à large échelle a fait son apparition à la lumière de plusieurs expériences de pays d'Asie du Sud-Est, qui ont été pionniers en la matière. Deux modèles de traçage se sont progressivement imposés : l'application dédiée et le composant rattaché à une application préexistante, avec comme critère principal de cette alternative le libre choix laissé à l'utilisateur d'intégrer l'opération.

Dans l'hypothèse d'une application dédiée, la liberté de téléchargement ainsi que le degré de protection des données permettent de proposer un outil respectueux du consentement de l'utilisateur. Le choix d'un composant intégré à une application préexistante, souvent déjà téléchargée à grande échelle mais pour d'autres objets, dispense du consentement de l'utilisateur et permet le transfert incident des données visées.

Au cas où le choix se porterait sur une application dédiée, une nouvelle alternative se pose au développeur, qui doit opter, en fonction du degré d'accès aux données de l'utilisateur, pour une technologie de captation et d'extraction des données pertinentes. L'objectif de traçage de l'utilisateur permet au développeur d'envisager deux voies technologiques principales : le recours au Bluetooth, que l'on peut définir comme un moyen peu intrusif de simplifier les connexions entre appareils électroniques situés à proximité sans liaison filaire, et la géolocalisation, qui peut localiser le propriétaire d'un appareil en temps réel avec des risques d'intrusion plus élevés.

Les cas de traçage à large échelle en Asie du Sud-Est

· Le modèle de l'application dédiée avec recours au Bluetooth

« TraceTogether » à Singapour : en laissant l'application ouverte et en activant le Bluetooth, le programme stocke pendant 21 jours les données des personnes avec lesquelles le porteur a été à moins de 2 mètres durant au moins 30 minutes. En cas de test du porteur positif, les personnes contacts sont contactées pour passer un test ; le porteur doit préalablement autoriser le personnel du ministère de la santé à accéder à l'application pour identifier les individus qui ont été enregistrés. L'application ne permet normalement pas au ministère d'accéder aux données sans le consentement de l'utilisation et le numéro de l'utilisateur n'apparaît pas au moment de la transmission d'une notification aux personnes croisées (mais un identifiant attribué de manière aléatoire).

· Le modèle de l'application dédiée avec recours à la géolocalisation

« Corona Baeskin » en Corée du Sud : cette application alerte un utilisateur s'il se trouve à moins de 100 mètres d'un endroit préalablement visité par une personne contaminée. Elle signale aussi la nationalité, le genre et l'âge des personnes testées positives et la date à laquelle elles l'ont été. Le système de détection a recours à la triangulation par les opérateurs téléphoniques. Le cadre juridique sud-coréen de la protection des données personnelles, proche de celui du RGPD, ne semble pas avoir été retenu pour le développement de cette application, qui ne requiert pas le consentement de l'utilisateur pour l'utilisation des données concernées.

· Le modèle du composant intégré à une application préexistante

Programmes « Alipay » en Chine : ces programmes, intégrés à l'application populaire préexistante Alipay, sont dits « codes de santé » et attribuent une couleur (vert, orange, rouge) à l'utilisateur selon ses voyages, les personnes croisées et un formulaire rempli en ligne. Un code jaune peut induire de se mettre 7 jours en quarantaine, un code rouge 14 jours.

Initialement repoussé par peur d'une acceptabilité limitée, le projet d'une application dédiée au traçage numérique des Français a fait l'objet d'une première mission d'investigation menée par Mme Laura Létourneau, déléguée ministérielle du numérique en santé, et M. Aymeril Hoang, membre du conseil scientifique covid-19 en qualité d'expert des questions numériques. Le produit de ce travail, remis au Premier ministre entre le 20 et le 24 mars 2020, a achevé d'engager le Gouvernement dans le développement d'une application, sur le modèle singapourien.

Parallèlement, le comité européen à la protection des données (CEPD) publie, le 21 avril, un ensemble de lignes directrices relatives à l'utilisation des données de géolocalisation et d'outils de suivi des contacts, en considération des dispositions du règlement général de protection des données (RGPD). Ces dernières contiennent une liste de recommandations techniques, qui dessine une « vision européenne harmonisée [...] : utilisation basée sur le volontariat des personnes, recours à la technologie Bluetooth, utilisation de données à caractère personnel pseudonymisées... »606(*).

D'abord lancé dans une discrétion relative par le Gouvernement, le projet « StopCovid » a pour objectif, sur le modèle de « TraceTogether », de prévenir les personnes qui ont été en contact avec une personne testée positive, afin qu'elles se fassent tester elles-mêmes et, si besoin, qu'elles soient prises en charge très tôt ou qu'elles se confinent. Le principe régissant l'information du cas contact est le suivant : lorsque deux personnes se croisent pendant une certaine durée et à une distance rapprochée, le téléphone portable de l'un enregistrerait les références de l'autre dans son historique. Dans l'hypothèse d'un résultat positif, les cas contacts, préalablement enregistrés, seraient ainsi prévenus de manière automatique. L'application informerait enfin simplement l'utilisateur qu'il a été dans les jours précédents en contact avec quelqu'un d'identifié positif.

Conformément au mot d'ordre initial européen, l'application repose sur deux grands principes :

- elle obéit au principe d'une installation volontaire. Le traçage ne serait enclenché que pour les utilisateurs ayant téléchargé et allumé l'application au moment de l'interaction. Sa diffusion parmi la population nécessite donc que cette dernière y soit activement incitée par les pouvoirs publics ;

- étant l'une des technologies « les moins invasives en raison de son rayon de transmission relativement faible »607(*), le Bluetooth a par ailleurs été retenu pour permettre la reconnaissance et l'échange de données entre deux téléphones distincts.

Ce choix premier, malgré un consensus élargi des acteurs sollicités avant que le projet ne soit débattu au Parlement, a d'emblée suscité quelques critiques, questionnant l'utilité d'un recours au RGPD et à la protection des données dans un contexte où l'efficacité de l'application dépend précisément de l'exhaustivité des données qu'elle collecte. Ainsi de M. Thierry Klein, fondateur et PDG de l'éditeur Speechi, qui prétend que seule une application fondée sur le modèle coréen (comprenant le recours à la géolocalisation), avec installation obligatoire, présenterait un intérêt réel608(*).

b) La spécificité française d'une application « centralisée »

Au-delà de l'accord général qui semble prévaloir à l'échelle européenne sur le déploiement des applications de traçage, « c'est dans les détails techniques que cette unité vacille »609(*).

En effet, si les principes qui régissent l'application ne font pas débat, ce sont les modalités d'hébergement des données de contacts collectées par cette dernière qui ont longuement divisé les développeurs. Ainsi que le révélait en creux l'intervention du 27 mai 2020 devant le Sénat de M. Cédric O, secrétaire d'État au numérique, le sujet de l'hébergement des données « sur votre téléphone ou sur un serveur de la direction générale de la santé » n'était pas encore tranché.

S'est alors dessinée une opposition entre hébergement « centralisé » des données sur un serveur tiers contrôlé par l'État et hébergement « décentralisé » des données sur le téléphone de l'utilisateur.

Cette alternative technique s'est rapidement doublée d'un enjeu stratégique d'importance lorsque, le 10 avril, Apple et Google ont annoncé un partenariat sans précédent afin de permettre l'insertion, à l'aide d'une « brique logicielle » (ou « interface de programmation d'application » - API), de l'application de suivi des contacts dans tous les téléphones dont elles assurent l'exploitation. Cette solution logicielle, résolument inscrite du côté de l'hébergement décentralisé, s'est alors imposée aux États comme une condition sine qua non à l'installation et à l'utilisation correcte de l'application de traçage sur un téléphone Apple ou Android.

Or cette annonce est intervenue en contradiction directe avec le protocole français, en cours d'élaboration par l'institut national de recherche en sciences et technologies du numérique (Inria), à qui le Gouvernement avait confié le 8 avril la mission de mise en place d'un grand consortium d'acteurs publics et privés pour le développement de « StopCovid ». Le 18 avril, l'Inria publie les premiers détails du protocole « Robert », bâti sur un modèle d'hébergement centralisé avec remontée des données collectées au sein d'un serveur tiers.

S'est alors engagée, entre le Gouvernement français d'une part, et Apple et Google d'autre part, une phase de négociation visant à rendre le protocole Robert compatible avec l'activation de « StopCovid » sur un téléphone Apple ou Android. Alors que la plupart des pays européens, initialement attachés à l'idée d'un hébergement centralisé, se rangent progressivement derrière la solution logicielle proposée par les deux firmes, la France a maintenu son attachement à l'hébergement centralisé. Elle invoque pour cela deux raisons principales :

- la sécurité : le choix d'un hébergement décentralisé des données de contacts au sein des téléphones présente le risque d'une « transmission des données relatives aux personnes s'étant déclarées positives à l'ensemble des applications » du téléphone, caractérisant ainsi « des failles effectives de sécurité et de respect de la vie privée »610(*) ;

- la souveraineté ou, pour reprendre les termes du PDG de l'Inria, M. Bruno Sportisse, « la maîtrise pleine et entière du système par l'autorité de santé »611(*) : opter pour la solution proposée par Apple et Google revenait à leur abandonner la maîtrise de l'architecture de l'application et n'aurait pas permis à la direction générale de la santé (exploitant de l'application) de recueillir les données essentielles de son choix.

Le maintien de cette position - qui consacre une spécificité française au sein de l'Union européenne - ne semble pas avoir été décidé sans provoquer plusieurs remous parmi les acteurs chargés du déploiement de l'application. Ainsi que le révèle un article de presse du 30 avril 2020612(*), la direction interministérielle du numérique (Dinum) se serait rapidement prononcée en faveur de la solution logicielle proposée par Apple et Google, privilégiant l'objectif de compatibilité de l'application avec les systèmes d'exploitation des téléphones, contre l'avis de l'Inria. L'arbitrage de M. O a finalement été rendu en faveur de ce dernier, en raison de son intransigeance « sur la question de la souveraineté numérique », conduisant à la quasi-éviction de la Dinum, pourtant bras naturel de l'État en matière informatique, des suites du projet.

La livraison de l'application, avec hébergement centralisé des données, a débuté le 2 juin 2020.

2. Un bilan sans concession, obligeant le Gouvernement à une réorientation totale de sa stratégie
a) Des incompatibilités dès le lancement avec le cadre général de protection des données

Bien que les contrôles réalisés par la CNIL aient permis de constater que le fonctionnement de l'application respectait pour l'essentiel les dispositions applicables relatives à la protection des données à caractère personnel, plusieurs manquements ont été constatés, qui ont motivé une mise en demeure du ministère de la santé par la CNIL le 15 juillet613(*).

Le premier - et principal - d'entre eux est matérialisé par le fait que, « lorsqu'un utilisateur se déclare avoir été diagnostiqué ou dépisté positif au virus, l'ensemble de son historique de contacts est remonté au serveur central géré pour le compte du ministère des solidarités et de la santé, sans processus de pré-filtrage préalable des données, reposant sur des critères de distance et de durée du contact avec un autre utilisateur ». Ce manquement, d'une particulière gravité, invalide totalement le postulat selon lequel un hébergement centralisé, promu par le Gouvernement, présenterait des garanties de sécurité supérieures à un hébergement décentralisé.

Interrogé sur cette question, le secrétaire d'État au numérique a fait savoir que « la mise en place du filtre au niveau de l'application avait été prévue dans la conception de l'application [...] mais vu l'urgence opérationnelle au regard de la situation de crise sanitaire, elle a été intégrée dans un second temps, le 26 juin, car elle nécessitait de réaliser des calibrages qui n'étaient pas disponibles lors du lancement du 2 juin »614(*).

Aux yeux des rapporteurs, cette période de 24 jours couvrant l'intervalle a présenté pour les utilisateurs de l'application une atteinte indéniable à la protection de leur vie privée, et ce malgré l'assurance apportée que la « sécurité du serveur central [est] garantie par une stratégie impliquant plusieurs barrières de sécurité »615(*).

Les autres manquements relevés par la CNIL, pour importants qu'ils soient, sont davantage identifiés par les rapporteurs comme des manquements formels aux dispositions du RGPD et ne revêtent pas la même gravité.

b) Deux principaux défauts pratiques : le fonctionnement à l'arrière-plan et l'interconnexion du « StopCovid » et des données de SI-DEP

Le choix du Gouvernement de recourir au protocole Robert développé par l'Inria et de ne pas recourir à l'API développée par Apple et Google a eu une conséquence pratique de tout premier plan sur l'efficacité de l'application. Comme l'ont relevé plusieurs utilisateurs, une application de traçage téléchargée sur un appareil Apple ou Google doit fonctionner « en tâche de fond » pour être efficace et enregistrer les différents contacts ; or l'absence de recours à l'API des deux firmes américaines empêche ce maintien de l'application à l'arrière-plan du téléphone et nécessite de la part de l'utilisateur qu'elle soit régulièrement réactualisée.

Outre ce premier reproche, qui nuit franchement à son efficacité, il apparaît que l'application « StopCovid » a pâti d'un défaut d'ergonomie dans l'étape cruciale du renseignement par l'utilisateur de son statut de cas positif. Sans cette étape, ne peuvent en effet être déclenchés les envois de notification aux personnes contacts. Or les données relatives aux résultats des tests virologiques sont, comme précédemment indiqué, contenues dans la base de données SI-DEP alimentée par les laboratoires de biologie médicale.

Or la mise en oeuvre de ces deux systèmes d'information étant fondée sur une « stricte séparation, il n'y a pas d'échanges de données entre les deux systèmes, qui n'ont aucune connexion permettant de lier des données personnelles »616(*).

Aussi, la déclaration de positivité suit-elle le cheminement suivant, qui peut se révéler fastidieux :

- lorsqu'une personne reçoit un test positif, elle reçoit également un QR Code, complètement anonymisé ;

- ce QR Code doit ensuite être utilisé par la personne pour déclarer sa positivité dans « StopCovid » (et d'ainsi éviter les déclarations de positivité non fondée).

Il est apparu, aux termes même du PDG de l'Inria, que « la question de l'ergonomie de la transmission du QR Code à la personne était identifiée comme un sujet d'amélioration »617(*).

c) Un niveau de téléchargement particulièrement faible, attestant de l'échec de l'application

Au 5 octobre 2020, l'application « StopCovid » a été installée 2 640 805 fois depuis son lancement. Elle a été désinstallée 966 000 fois par les utilisateurs d'Android et 172 600 fois par les utilisateurs d'IPhone, soit un total de 1 138 600 désinstallations. En quatre mois de fonctionnement, elle a permis d'avertir 472 utilisateurs d'un risque de contact avec une personne contaminée, 7 969 personnes testées positives s'étant déclarées dans l'application.

Le secrétaire d'État au numérique, qui a longtemps refusé de voir un échec dans ces chiffres particulièrement faibles618(*), a admis, en réponse aux rapporteurs, que « le faible nombre d'utilisateurs de l'application ne permettait pas à ce stade de bénéficier de sa pleine utilité compte tenu de la faible probabilité de croiser un autre utilisateur actif de l'application »619(*).

De la même façon que la France s'est distinguée, parmi ses partenaires européens ayant fait le choix d'une application de traçage, en privilégiant l'hébergement centralisé des données au nom de la souveraineté numérique, elle se distingue également par son faible taux de téléchargement, comme le montrent les exemples du graphique ci-dessous.

Évolution du taux de téléchargement de l'application de suivi des contacts
(pourcentage de la population / nombre de jours depuis le lancement)

Source : Christophe Fraser, Oxford University, Nuffield Department of Medicine, Big Data Institute

D'après le secrétaire d'État au numérique, « 15 ou 16 millions de Britanniques ont [téléchargé] une application sur leur téléphone, ainsi que 18 millions d'Allemands [contre] un peu moins de 2,7 millions de Français »620(*). Il est à ce jour impossible de corréler ces différences au choix du mode d'hébergement des données, même s'il est tentant d'avancer que le recours à l'API développée par Apple et Google a sans aucun doute accru l'incitation au téléchargement pour les utilisateurs.

Néanmoins, comme le secrétaire d'État le rappelle à juste titre, le choix de la solution décentralisée par les Allemands et les Britanniques, s'il a facilité la diffusion de l'application, les rend « incapables d'annoncer un nombre de notifications reçues, pour une raison simple : l'ensemble de l'architecture est entre les mains d'Apple et de Google, et les homologues anglais ou allemands de la CNIL ne sont pas capables d'aller vérifier ce qui se passe à Palo Alto, dans les serveurs d'Apple et de Google ». Le suivi du traçage échappe donc en totalité aux autorités sanitaires de ces États : « ils ne savent rien de ce qui se passe, ni même si cela fonctionne »621(*).

L'arbitrage - délicat - qui doit déterminer l'efficacité réelle d'une application de traçage de grande échelle semble donc être résumé par cette alternative :

- soit l'État opte pour un contrôle étroit des autorités sanitaires sur le suivi du traçage mais doit alors produire une solution logicielle parallèle à celle des géants numériques, s'exposant à un téléchargement moins diffus ;

- soit il consent à laisser ces géants assurer l'opérabilité de l'application afin d'assurer le succès du téléchargement au risque de perdre la mainmise sur le suivi.

Une nouvelle fois, les rapporteurs, pleinement conscients des difficultés à porter un jugement sur une crise sanitaire dont l'essentiel des réponses ont été conçues dans l'urgence, ne se risqueront pas à trancher entre ces deux options, mais feront néanmoins leur cette observation de notre collègue Angèle Préville au cours de l'audition de M. O : « l'objectif est-il de connaître le nombre de notifications ou que chacun reçoive sa notification et puisse agir en conséquence ? ».


* 606 CNIL, délibération n° 2020-087 du 10 septembre 2020 portant avis public sur les conditions de mise en oeuvre des systèmes d'informations développés aux fins de lutter contre la propagation de l'épidémie de covid-19 (mai à août 2020).

* 607 « “StopCovid” : pourquoi le Bluetooth est la solution la moins intrusive pour retracer nos déplacements », Frandroïd, 8 avril 2020.

* 608 « Le RGPD, contrainte absurde », Le Monde, 25 avril 2020.

* 609 « Sur les traces de l'application “StopCovid” », Le Monde, 29 avril 2020.

* 610 Réponse de M. Cédric O au questionnaire des rapporteurs.

* 611 Audition des acteurs chargés du traçage numérique des cas contacts, 22 septembre 2020.

* 612 « Recours au Gafam, centralisation : les choix techniques sur “StopCovid” ont attisé les tensions au sein de l'État », Acteurs publics, 30 avril 2020.

* 613 CNIL, décision n° MED-2020-015 du 15 juillet 2020 mettant en demeure le ministère des solidarités et de la santé.

* 614 Réponse de M. Cédric O au questionnaire des rapporteurs.

* 615 Réponse de M. Bruno Sportisse au questionnaire des rapporteurs.

* 616 Ibid.

* 617 Réponse de M. Bruno Sportisse au questionnaire des rapporteurs.

* 618 M. Jean Castex, Premier ministre, ayant lui-même reconnu le 25 septembre 2020 ne pas avoir téléchargé l'application, les rapporteurs s'estiment dispensés de tout commentaire sur son succès et son utilité.

* 619 Réponse de M. Cédric O au questionnaire des rapporteurs.

* 620 Audition de M. Cédric O, 8 octobre 2020.

* 621 Ibid.