III. L'ÉCHEC DE TOUSANTICOVID : UN CAS D'ÉCOLE
À partir de l'été 2020, et comme de nombreux pays dans le monde (cf. supra ), la France a décidé d'utiliser une application de contact tracing pour briser les chaînes de contamination, suivant en cela l'avis du Conseil scientifique du 20 avril, qui estimait cette solution « indispensable » en complément du dispositif humain des « brigades de traçage » (cf. supra ).
Pourtant, le bilan de l'application StopCovid , lancée le 2 juin 2020 et devenue TousAntiCovid le 22 octobre suivant, apparaît très décevant non seulement en comparaison des applications similaires utilisées ailleurs, mais aussi en général - toutes ces applications ayant in fine montré une efficacité très limitée en comparaison des dispositifs plus intrusifs utilisés notamment en Asie.
Comment expliquer cet échec ? À vrai dire, TousAntiCovid illustre parfaitement les contradictions françaises à l'égard du numérique , dans le contexte de la crise sanitaire et au-delà : en refusant de trancher entre efficacité et confidentialité, la France a finalement perdu sur les deux tableaux , s'infligeant de longs mois d'intenses polémiques pour développer finalement un outil certes très sécurisé, mais aussi très peu utilisé, et dont l'impact sur la progression de l'épidémie est plus que douteux.
TousAntiCovid rappelle que l'enfer est pavé de bonnes intentions : les spécificités de l'application ont été justifiées par le « respect des valeurs européennes », mais elles relevaient aussi de choix techniques discutables et perturbés par de mauvaises considérations politiques.
Ces remarques concernent la fonctionnalité initiale de l'application, le contact tracing . Ses fonctionnalités ultérieures (passeport et pass sanitaires notamment), distinctes, ouvrent des perspectives plus encourageantes - mais n'échappent pas à la répétition des polémiques.
A. LE CONTACT TRACING À LA FRANÇAISE
1. Une genèse douloureuse
Il est vrai que l'idée même d'une application de contact tracing s'est, d'emblée, heurtée à la sensibilité de l'opinion sur le sujet des données personnelles. Sans surprise, la CNIL n'a pas non plus fait preuve d'un enthousiasme excessif , prévenant fin avril 2020 que « l'utilisation d'une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l'accès à certains services, tels que par exemple les transports en commun », et précisant que le volontariat signifiait « qu'aucune conséquence négative » ne serait attachée à l'absence de téléchargement ou d'utilisation de l'application.
Compte tenu de la sensibilité du sujet, on ne peut que saluer l'effort de pédagogie du secrétaire d'État chargé de la transition numérique, Cédric O . Dans un texte très argumenté publié le 3 mai 2020 102 ( * ) , il explique ainsi que « l'architecture du système est pensée de telle manière que personne, pas même l'État, n'ait accès ni à la liste des personnes contaminées ni au "graphe" des interactions sociales ("qui a rencontré qui ?"). L'application ne demande absolument aucune donnée personnelle à l'utilisateur : ni le nom, ni l'adresse, ni même le numéro de téléphone mobile. C'est bien simple, elle ne demande rien à part le consentement de l'utilisateur de l'utiliser ». De fait, la priorité absolue a été accordée, dès le départ et au-dessus de toute autre considération, à la préservation de l'anonymat des utilisateurs, notamment face à « l'État ».
Bruno Sportisse, président-directeur général d'Inria 103 ( * ) , explique cela dans les mêmes termes : « une telle application n'est pas une application de surveillance : elle est totalement anonyme . Pour être encore plus clair : sa conception permet que PERSONNE, pas même l'État, n'ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales entre les personnes. La seule information qui m'est notifiée est que mon smartphone s'est trouvé dans les jours précédents à proximité du smartphone d'au moins une personne qui a, depuis, été testée positive et s'est déclarée dans l'application.
« Une telle application n'est pas une application de délation : dans le cas où je suis notifié, je ne sais pas qui est à l'origine de la notification. Lorsque c'est moi qui me déclare positif, je ne sais pas qui est notifié.
« Une telle application n'est pas obligatoire . Ses utilisateurs choisissent de l'installer. Ils choisissent d'activer le bluetooth . Ils peuvent, à tout moment, désactiver le bluetooth ou désinstaller l'application ».
D'emblée, le Gouvernement a donc écarté toutes les propositions consistant à conditionner certaines activités à l'utilisation de StopCovid , alors même que le Conseil scientifique l'envisageait expressément, et que d'autres pays en avaient décidé ainsi.
Par exemple, dans une lettre ouverte adressée le 25 mai au secrétaire d'État chargé du numérique, le député de la majorité Damien Pichereau avait par exemple estimé qu'il serait « judicieux de coupler l'utilisation de l'application StopCovid à une contrepartie , comme par exemple une légère baisse des restrictions en cette période de sortie du confinement (on peut notamment penser à une augmentation du périmètre de déplacement de 100km à 150km). Cet allègement permettrait sans aucun doute d'inciter un plus grand nombre de nos concitoyens à télécharger l'application , renforçant ainsi notre capacité à retracer les chaînes de contamination ». Cette idée, dont l'esprit n'est pas si éloigné des récents arbitrages, avait été immédiatement rejetée.
2. Le choix isolé du protocole « centralisé » ROBERT
Au nom de la préservation absolue de l'anonymat, la France a fait un choix technique qui la distingue des autres pays : celui du protocole ROBERT ( ROBust and privacy-presERving proximity Tracing ), développé par l'Inria et l'Institut allemand Fraunhofer. Il est lui-même dérivé du protocole PEPP-PT 104 ( * ) , issu de recherches menées par des équipes allemandes, italiennes et suisses.
Pour simplifier, le principe du protocole ROBERT est le suivant :
- lorsque l'application est activée par l'utilisateur, son smartphone reçoit un crypto-identifiant éphémère généré par un algorithme, qui change toutes les 15 minutes ;
- le smartphone collecte les crypto-identifiants des smartphones restés « à proximité » pendant une certaine durée (initialement fixée à 15 minutes) et sur lesquels l'application est également activée ;
- si l'utilisateur est diagnostiqué positif et qu'il le signale dans l'application, et seulement dans ce cas, celle-ci fait remonter au serveur central l'intégralité des crypto-identifiants, y compris les siens, dans un paquet global, de sorte qu'il est impossible pour le serveur de savoir lequel de ces identifiants correspond à un cas positif, et encore moins d'établir un lien entre un identifiant et un individu ;
- tous les identifiants ainsi remontés vers le serveur font l'objet d'une évaluation du niveau de risque au regard, notamment, des données relatives à la durée d'exposition . Cette évaluation se fait en fonction des modèles épidémiologiques, le cas échéant être améliorés par des modèles d'apprentissage automatique ;
- par ailleurs, chaque smartphone interroge à intervalle régulier le serveur pour vérifier si son crypto-identifiant figure dans la liste des identifiants à risque. Si tel est le cas, l'utilisateur reçoit une notification l'informant qu'il est « cas contact », sans qu'il puisse en aucune façon faire le lien avec une autre personne . La notification est le cas échéant accompagnée d'une invitation à s'isoler, à effectuer un test, etc. - ces éléments relevant de la politique de santé publique.
Un autre exemple d'architecture « centralisée » est le protocole BlueTrace , développé par Singapour pour son application TraceTogether disponible depuis le 20 mars 2020, et adopté ensuite par l'Australie ( CovidSafe ) et Hong Kong ( LeaveHomeSafe ).
3. Le succès de l'architecture « décentralisée » proposée par Apple et Google
À cette architecture « centralisée », où le travail d'identification des risques est effectué par un serveur unique, peut s'opposer une architecture « décentralisée », où ce sont les crypto-identifiants des personnes positives qui sont envoyés par le serveur vers les smartphone s, au sein desquels la mise en correspondance est effectuée . Le serveur, quant à lui, n'a jamais accès à l'historique des contacts, à la différence du protocole ROBERT.
C'est notamment le choix retenu par Apple et Google, qui ont développé conjointement Exposure Notification , une solution de contact tracing compatible avec leurs systèmes d'exploitation respectifs , basée sur le protocole DP-3T, lui aussi issu de recherches européennes 105 ( * ) . Présentée le 10 avril 2020, Exposure Notification n'est pas une application, mais seulement une interface de programmation (API) , c'est-à-dire un « kit » de fonctionnalités prédéfinies à destination des développeurs, qui peuvent ensuite les intégrer librement dans les différentes applications nationales.
Du fait de sa simplicité, de son interopérabilité et de sa sécurité, la solution d'Apple et Google a très vite été adoptée par la majorité des pays du monde .
Au sein de l'Union européenne, seules la France et la Hongrie font exception . L'Allemagne , qui avait initialement soutenu le protocole PEPP-PT, a finalement annoncé rejoindre Exposure Notification le 26 avril, suivie de peu par l'Irlande et l'Italie, laissant la France isolée. Le Royaume-Uni , autre soutien initial, a fait de même. Le 25 mai, la Suisse devenait le premier pays au monde à lancer une application basée sur la solution d'Apple et Google.
Il convient ici de préciser qu'en réalité, les solutions « centralisée » comme « décentralisée » offrent toutes les deux un très haut niveau de sécurité et de confidentialité 106 ( * ) : ni le protocole ROBERT, ni le protocole DP-3T et sa déclinaison par Apple et Google ne permettent d'établir un lien entre un crypto-identifiant et un individu. Tous les protocoles sont publiés en open source et librement accessibles à quiconque souhaite les examiner ou les améliorer 107 ( * ) .
Du reste, il n'existe en matière de sécurité informatique aucune solution parfaite, et au niveau mondial, la sécurité du protocole centralisé PEPP-PT a globalement fait face à davantage de critiques 108 ( * ) de la part de la communauté scientifique que celle du protocole décentralisé DP-3T.
4. Un choix lourd de conséquences : la désactivation du Bluetooth et l'absence d'interopérabilité
En réalité, le problème du choix isolé de la France n'est pas tant une question de sécurité qu'une question d' efficacité .
À cet égard, il semble que le refus du Gouvernement d'utiliser la solution d'Apple et Google ait d'abord été dicté des considérations d'ordre politique - afficher une solution « souveraine » à tout prix -, et non par des arguments techniques liés à la confidentialité des données, qui tiennent en l'occurrence du prétexte .
Or, par son refus, la France s'est privée des avantages cruciaux qu'offrait le protocole décentralisé, condamnant StopCovid à l'inefficacité avant même sa sortie . Les risques étaient pourtant bien identifiés au sein de l'écosystème numérique 109 ( * ) , et l'arbitrage du Gouvernement s'est fait à l'issue d'un débat houleux en interne, conduisant notamment à écarter la direction interministérielle du numérique (DINUM) de la gouvernance du projet 110 ( * ) .
Le refus d'adopter la solution décentralisée est problématique pour deux raisons principales.
D'une part, ce choix empêche l'application de fonctionner en tâche de fond sur les iPhones , soit la majorité du temps, car Apple restreint l'accès des applications tierces à la puce Bluetooth des terminaux sous iOS , afin de protéger la vie privée de ses utilisateurs, ainsi que la capacité de la batterie. StopCovid puis TousAntiCovid fonctionnent donc uniquement lorsque l'application est ouverte au premier plan par l'utilisateur, ce qui les condamne en pratique à l'inefficacité. Le problème est moindre pour les smartphone s fonctionnant sous Android , qui autorise un accès plus large aux paramètres Bluetooth , sans pour autant être total 111 ( * ) . À l'inverse, la solution développée par Apple et Google fonctionne avec le Bluetooth en arrière-plan, c'est-à-dire en permanence , sauf si l'utilisateur l'a désactivé.
Face à ce blocage, la France avait décidé de porter le sujet à un niveau politique , en annonçant qu'elle conditionnerait le déploiement de StopCovid à l'obtention d'une dérogation spéciale de la part d'Apple pour l'accès à la puce Bluetooth , espérant que l'entreprise n'oserait pas s'opposer à une telle demande faite au nom de la protection de la santé de la population. Mais Apple n'avait aucune raison de céder, et ne l'a pas fait . En effet, une telle décision aurait créé un précédent, que d'autres États auraient ensuite pu invoquer, dans le cadre de la lutte contre le Covid-19 ou pour toute autre raison plus ou moins légitime - or, rappelons-le, Apple n'a pas même cédé aux pressions du FBI, sur son propre territoire, pour des faits de terrorisme 112 ( * ) . Pour Apple, la fermeture de son système d'exploitation constitue en effet la meilleure manière de protéger la vie privée de ses utilisateurs , un argument d'autant plus recevable en l'espèce que l'entreprise proposait, avec Google, une solution sécurisée permettant d'atteindre les mêmes objectifs.
Ce n'est pas la moindre des contradictions françaises : quoique sécurisé, le protocole ROBERT suppose en effet de faire confiance à un acteur unique, « l'État » - celui-là même auquel nous sommes si réticents à transmettre la moindre information par ailleurs.
D'autre part, le choix français d'un protocole « souverain » interdit toute interopérabilité avec les applications des autres pays , alors que la gestion d'une pandémie requiert par définition un effort coordonné à l'échelle internationale. Toutes les autres applications européennes sont compatibles entre elles : une personne voyageant dans un autre pays n'aura pas à télécharger une nouvelle application, et l'identification des chaînes de contamination ne sera pas entravée. À l'inverse, un voyageur ou frontalier arrivant en France devra télécharger TousAntiCovid ... qui, s'il veut bien s'en donner la peine, ne sera de toute façon d'aucun secours s'il arrive déjà porteur du virus, ou s'il rentre dans son pays après avoir été contaminé.
Tout ceci est a minima une importante occasion manquée : que les infrastructures informatiques des différents systèmes de santé ne soient pas compatibles entre elles est un fait contre lequel on ne peut pas grand-chose à court terme, en revanche, les smartphone s sont les mêmes partout, et ne pas en avoir tiré profit est un choix difficilement justifiable.
* 102 https://cedric-o.medium.com/stopcovid-ou-encore-b5794d99bb12
* 103 Dans une présentation détaillée, quoique très accessible aux non-spécialistes, du fonctionnement de l'application, publiée sur le site d'Inria le 18 avril 2020 : https://www.inria.fr/fr/contact-tracing-bruno-sportisse-pdg-dinria-donne-quelques-elements-pour-mieux-comprendre-les-enjeux
* 104 Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT)
* 105 Decentralized Privacy-Preserving Proximity Tracing (DP-3T).
* 106 En réalité, les termes de « centralisation » et de « décentralisation », simplificateurs et marqués idéologiquement, n'ont pas contribué à la sérénité du débat. L'architecture dite « décentralisée » peut tout aussi bien être vue comme une « centralisation locale » des identifiants à risque. Comme l'indique Bruno Sportisse, tous les projets comportent une composante centrale (un serveur) et une composante décentralisée (les smartphone s). Il n'existe pas de solution entièrement décentralisée fondée sur une seule communication de « pair-à-pair » entre les smartphones , qui présenterait des risques incomparablement plus élevés pour la confidentialité des données.
* 107 Comme le veulent les standards du secteur, les publications scientifiques et le code-source sont disponibles sur Github : https://github.com/ROBERT-proximity-tracing pour ROBERT et https://github.com/google/exposure-notifications-server pour Exposure Notification . Dans ce dernier cas, il s'agit d'un exemple d'application basée sur l'API - le code-source relatif aux systèmes d'exploitation n'étant en toute logique pas entièrement accessible.
* 108 En particulier sur l'ampleur des « remontées » d'identifiants, l'application du seuil minimal d'exposition annoncé de 15 minutes, d'ailleurs variable, se faisant sur le serveur.
* 109 Voir par exemple : https://www.numerama.com/tech/619446-stopcovid-vs-apple-pourquoi-la-france-sest-mise-dans-une-impasse.html
* 110 Voir à ce sujet : https://www.acteurspublics.fr/evenement/recours-aux-gafam-centralisation-les-choix-techniques-sur-stopcovid-ont-attise-les-tensions-au-sein-de-letat
* 111 La nécessité de contourner les restrictions sous Android explique notamment le retard de près d'un mois pour le déploiement de StopCovid , annoncé pour le 11 mai et finalement lancé le 2 juin.
* 112 Suite à la fusillade de San Bernardino (Californie) en décembre 2015, Apple avait refusé le déblocage des deux iPhone du terroriste, qui avait fait quatorze victimes, en dépit du bras de fer engagé par le FBI et le procureur général des États-Unis. Voir à cet égard le message de Tim Cook, PDG d'Apple, le 16 février 2016 : https://www.apple.com/customer-letter/