L'application StopCovid finira-t-elle par voir le jour ?
Le report du débat sur l'application StopCovid cache un projet confronté à une levée de boucliers tous azimuts et à des défis techniques encore loin d'être résorbés. Avec en toile de fond toutes les limites de la souveraineté numérique hexagonale face à Google et Apple.
Le débat et le vote sur l'application de traçage de contact StopCovid n'aura donc finalement pas eu lieu. Sur Twitter, les commentaires allaient bon train pour expliquer le revirement gouvernemental. Certains ont pu y voir "un enterrement de première classe" dès lors qu'aucune date de débat n'a été annoncée. L'exécutif pourrait en effet être tenté d'éviter un vote hostile sur un projet qui suscite des réserves jusque dans les rangs de sa propre majorité. D'autres se sont étonnés de ne pouvoir débattre des caractéristiques d'une application avant qu'elle ne soit développée. Sur Public Sénat , Cédric O s'est voulu rassurant mercredi 29 avril. "Plus de 100 personnes travaillent jour et nuit sur ce projet" et "plus on explique ce que fait cette application et surtout ce qu’elle ne fait pas, plus on explique son utilité, plus les parlementaires comprennent et acceptent cette application" a expliqué le secrétaire d'État au numérique.
Risque de surveillance de masse et doute sur l'anonymat
Toujours est-il que l'application est loin, très loin, d'être prête, le projet devant faire face une multitude de critiques et d'obstacles. Si l'application a le soutien du conseil scientifique et d'épidémiologistes, les salves des associations de défenses des libertés publiques se multiplient. La Quadrature du net et la Ligue des droits de l'homme ont été rejointes dimanche par plus d'une centaine de spécialistes de la sécurité informatique qui s'inquiètent de la constitution d'un"graphe social à partir des interactions entre individus" ouvrant la voie à une "surveillance de masse". Une tribune qui relaie aussi les doutes d'une dizaine de chercheurs sur l'effectivité de l'anonymat des utilisateurs via quinze scénarios illustratifs. La Cnil elle-même s'étant inquiétée de la sécurité du protocole présenté par l'Inria (notre article), le secrétaire d'État au numérique a sollicité l'aide de l'Agence nationale de la sécurité des systèmes d’information (Anssi). Signe d'une certaine fébrilité liée au débat parlementaire du lendemain, l'agence a publié dès lundi 27 avril une dizaines de recommandations techniques. Celles-ci concernent la sécurisation du serveur central, le cryptage des pseudonymes ou encore la prévention des attaques informatiques. L'agence annonce par ailleurs assurer "un audit et des contrôles de sécurité tout au long de la conception de StopCovid"… ce qui laisse présager que certaines options techniques actées par l'Inria pourraient être remises en cause.
Une participation "gratuite" des industriels
L'existence d'un projet concurrent de traçage de contacts mené par des entreprises privées faisait par ailleurs désordre. Le prototype de StopC19 (c'était son nom) ne sera finalement pas testé en Île-de-France, la plupart des industriels impliqués ayant finalement rejoint le projet gouvernemental. Une contribution "gratuite et sans propriété intellectuelle " a précisé Cédric O. Le week-end dernier, la répartition des rôles avait été dévoilée par l'Inria. Aux côtés des chercheurs informatiques et de l'Inserm, Capgemini collabore ainsi sur l’architecture de l'application tandis qu'une filiale de Dassault Systèmes assurera le stockage sécurisé des données. Une PME savoyarde, Lunabee Studio, concevra pour sa part l’ergonomie de l'application et Orange en facilitera la diffusion. De leur côté, les spécialistes des objets connectés Withings et Sigfox planchent sur des objets connectés susceptibles d'équiper les personnes n'ayant pas de smartphone. Un possible "bracelet électronique" qui n'a pas manqué de susciter à son tour un flot de critiques même si les projets des industriels excluent la géolocalisation.
La relativité de la souveraineté numérique mise en lumière
Mais le projet bute aussi sur des difficultés illustratives des limites de la souveraineté numérique tricolore. L'application, dont les épidémiologistes conditionnent son efficacité à sa large diffusion, pourrait en effet ne pas fonctionner du tout sur les mobiles Apple, soit plus de 20% du parc de smartphones, et sur une part significative des mobiles tournant sous Android. StopCovid demande en effet des ajustements des systèmes d'exploitation Android (Google) et d'IOS (Apple) pour permettre à la technologie Bluetooth de fonctionner en permanence. Or les deux géants du numérique seraient d'autant moins tentés de répondre à la demande du gouvernement français qu'ils proposent eux-mêmes un protocole technique concurrent de celui imaginé par les chercheurs européens. Le gouvernement obtiendra-t-il gain de cause ? Plusieurs précédents montrent qu'il est très difficile de négocier des ajustements techniques avec les deux géants. Du reste, le gouvernement allemand a fait machine arrière dimanche 27 avril en déclarant désormais s'orienter vers un protocole "décentralisé" (celui de l'Inria étant centralisé), comme le proposent Google et Apple.
Autant d'obstacles qui ne peuvent qu'inciter le gouvernement à la prudence sur le calendrier de sortie de l'application et du débat qui doit la précéder. "À ce stade, nous visons le 11 mai mais ça peut être un peu après s’il nous faut quelques jours supplémentaires pour qu’elle soit prête", a déclaré Cédric O.