Crédit photo : Yuliya - 123RF
L’Assemblée Nationale a voté en faveur de l’application StopCovid, 338 voix pour, 215 voix contre et 21 abstentions. Le Sénat a confirmé ce vote avec 186 voix pour contre 127, avec 29 abstentions.
Cette application utilise le bluetooth des smartphones afin d’alerter l’utilisateur lorsque celui-ci est entré en contact avec une personne atteinte par le Covid-19 pendant plus de 15 minutes, seulement si cette personne possède également l’application.
Le gouvernement n’avait pas besoin de passer par l’Assemblée et le Sénat mais il voulait ainsi légitimer la mise en place d’un outil controversé. Le pseudo feu vert de la CNIL va également dans ce sens, comme l’explique Arthur Messaud, juriste à la Quadrature du net, dans les Inrocks, « Il n’y avait pas besoin en soi de l’autorisation de la CNIL - qu’elle n’a d’ailleurs pas donnée -, mais elle a été consultée par le gouvernement par courtoisie. »
Sur le papier, l’objectif est de permettre aux personnes utilisant l’application d’aller voir le médecin ou de s’auto-confiner après avoir été alerté d’un contact avec une personne contaminée, et ainsi éviter une seconde vague de contamination dans le pays.
D’après le gouvernement, l’application n’utilisera pas la géolocalisation, sera basée sur le volontariat, les données seront effacées au bout de 14 jours, et, surtout, l’anonymat des utilisateurs sera garanti. En réalité, il n’est pas question d’anonymisation mais de pseudonymisation, ce qui est loin d’être suffisant.
La Quadrature du Net met en garde contre la banalisation des technologies relatives au traçage et de la possibilité d’ajout de « fonctions coercitives ». Mais pas seulement. L’application, d’après le gouvernement, est censée être anonyme en générant des pseudonymes. Le problème est le suivant : il n’est pas très compliqué de faire le rapprochement entre le moment passé avec une personne et l’alerte donnant le jour et l’heure de la rencontre passée avec une personne contaminée.
Or comme le souligne le site Risques Traçage, cela ne respecte pas les définition du Règlement Général sur la protection des données. Ce dernier explique que « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».
Ils expliquent également qu’il existe énormément de risques de détournement de l’application, notamment lors d’entretiens d’embauches. « Il suffit d’utiliser un téléphone dédié, sur lequel on installe l’application et qu’on ne met au contact que de cette personne. Les deux téléphones enregistreront le contact, et si la cible est testée positive le téléphone dédié recevra une alerte. » Dans un scénario qu’ils développent, ils prennent l’exemple d’un entretien d’embauche. « L’entreprise RIPOUE souhaite recruter une personne pour un CDD. Elle veut s’assurer que le candidat ne tombe pas malade entre l’entretien d’embauche et la signature du contrat. Elle utilise donc un téléphone dédié qui est allumé uniquement pendant l’entretien, et qui recevra une alerte si le candidat est testé positif plus tard » et dans ce cas le candidat ne sera pas retenu. Ce n’est qu’un exemple parmi tant d’autres qui montre les dérives possibles de l’application StopCovid.
D’après Risques Traçage, il n’y a certes pas de base de données nominatives des malades mais les données ne sont pas anonymes ; il est possible de retrouver qui a contaminé qui, et il est également possible de déclencher de fausses alertes. Le bluetooth pose aussi des problèmes de sécurités, puisque (des failles ont été décelées sur Android) et cela n’empêche pas un fichage à grande échelle, notamment si des applications annexes sont créées par des tiers sur la base des données collectées par l’application.
Alors que le gouvernement explique que « Cette application évite des malades et des morts ! » il n’y a aucune preuve que cela puisse avoir le moindre impact pour éviter une seconde vague. D’autant plus que d’après la Quadrature du Net « de premières approximations évaluent que plus de 60%, voire plutôt 80 ou 100 % de la population devrait utiliser l’application pour que celle-ci soit efficace, à condition encore qu’elle produise des données fiables ». Or seulement 77 % de la population possède un smartphone, et ce chiffre tombe à 44 % pour les personnes de plus de 70 ans, considérées comme les plus vulnérables. D’après la Quadrature du Net, Singapour a utilisé une application semblable, et seulement 16 % de la population l’a utilisé, la rendant totalement inefficace.
La priorité n’est pas d’investir dans une application qui n’a pas fait ses preuves et qui pose beaucoup de risques pour les utilisateurs, mais de fournir des masques et des tests gratuits pour tous et toutes. Nous n’avons pas besoin d’un flicage supplémentaire mais de plus de moyens dans les hôpitaux, afin de soulager les personnels de santé et d’améliorer la gestion des patients. | 
