Covid-19 (Coronavirus-2019nCoV)

Mediapart : « StopCovid », un fiasco à la française

il y a 5 jours, par infosecusanté

Mediapart : « StopCovid », un fiasco à la française

29 SEPTEMBRE 2020

PAR CLÉMENT LE FOLL ET CLÉMENT POURÉ

L’application de traçage numérique multiplie les couacs depuis son lancement, jusqu’à l’aveu du premier ministre : Jean Castex ne l’a pas téléchargée, comme une immense majorité de Français. À l’heure où le Royaume-Uni lance son outil avec succès, Mediapart revient sur les raisons d’un échec, entre choix techniques et hésitations politiques.

Jusqu’à la lie. Olivier Véran aura finalement été désavoué par ses propres collègues. Invité de l’émission « Vous avez la parole » jeudi dernier sur France 2, le premier ministre Jean Castex a concédé ne pas avoir téléchargé « StopCovid », l’application de contact tracing initiée par le gouvernement. Et lundi, dans les colonnes du Parisien, Éric Dupond-Moretti en a remis une couche : « Je ne l’ai pas téléchargée… mais un collaborateur l’a fait pour moi, un jeune geek. » Des couacs qui desservent le ministre de la santé chargé de promouvoir l’outil annoncé en avril dernier.

Lancé en juin, « StopCovid » se transforme vite en boulet politique. L’application ne prend pas. Trois semaines après sa mise en ligne, elle enregistre 1,9 million de téléchargements. Deux mois plus tard, les chiffres plafonnent à 2,3 millions. Or, chaque mois, la facture grimpe : entre « 200 000 et 300 000 euros », d’après les informations de nos confrères de L’Obs.

« En France, comme ailleurs, les chiffres [de téléchargements – ndlr] demeurent assez faibles, constate Baptiste Robert, un expert français en cybersécurité qui a longuement travaillé sur « StopCovid ». Il y a un très fort rejet puisque le gouvernement annonce 700 000 désinstallations. »

Il reste 1,6 million d’utilisateurs supposés, soit 2,4 % des Français. Menée par le Nuffiield Department of Medecine de l’université d’Oxford, l’étude de référence sur le sujet, publiée mi-avril, décortiquée par nos confrères de Sciences et Avenir, expliquait que l’utilisation d’une application de contact tracing par 56 % d’une population permettrait « l’éradication du virus ». L’application aurait néanmoins des effets positifs à partir de 14 % – encore loin des taux de téléchargement actuels.

Mais « parmi ceux qui ont installé l’application, combien l’utilisent réellement ? », interroge Baptiste Robert. « Il faudrait pour cela connaître le nombre d’utilisateurs actifs. Or le gouvernement ne communique pas sur ces chiffres. » Demeure une donnée sans équivoque : le 31 août, l’application n’avait notifié que 103 utilisateurs d’un potentiel contact avec une personne diagnostiquée malade.

Comme de nombreux connaisseurs du sujet, Baptiste Robert prédit depuis déjà des mois l’échec de l’application. Les raisons avancées sont simples. La première tient à la fracture du numérique.

Le baromètre du numérique, enquête annuelle commandée par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), le Conseil général de l’économie, de l’industrie, de l’énergie et des technologies et l’Agence du numérique indique que seulement 77 % (15,4 millions) des Français disposaient d’un smartphone en 2019. Pour les plus de 70 ans, particulièrement exposés au coronavirus, ce chiffre atteint 44 %.

Sans smartphones, une large part de la population se retrouve exclue du dispositif. S’ajoutent les détenteurs de smartphones qui, comme Éric Dupond-Moretti, ont besoin d’assistance pour installer une application.

Au-delà de ces considérations statistiques, les difficultés rencontrées sont imputables à un paradigme culturel. « La France a une culture des libertés individuelles très forte et ces projets rencontrent toujours une levée de boucliers », constate Baptiste Robert. Même dans les pays où les conditions idéales d’adhésion sont réunies, la mayonnaise ne prend pas. À Singapour, démocratie autoritaire qui cumule haut niveau d’équipement, population insulaire et faible défiance vis-à-vis du numérique, l’application n’a jamais dépassé les 20 % d’utilisateurs avant que le gouvernement ne la rende obligatoire.

Portés par les experts du numérique, ces arguments étaient dès avril relayés dans les rangs de l’Assemblée nationale. Paula Forteza, ancienne députée LREM qui siège aujourd’hui au groupe Écologie Démocratie Solidarité, fut en première ligne. Elle critique à l’époque le déploiement « d’une technologie à risque » mise en place « de façon unilatérale et dans l’urgence ».

« Notre groupe, d’autres parlementaires, de nombreux spécialistes du numérique, tout le monde leur a dit que le projet n’était pas viable », pointe de son côté Caroline Fiat, députée de La France insoumise. Pour celle qui précise « ne pas être opposée à un projet d’application mais à ce projet mal mis en œuvre », la communication gouvernementale a joué un grand rôle dans cet échec. Présenté comme anonyme par Cédric O, secrétaire d’État au numérique, « StopCovid » repose sur un système de pseudonymat. « On ne peut pas vendre une application en mentant aux gens, en leur disant que leurs données ne seront pas partagées alors que c’est précisément son objet », tacle Caroline Fiat.

« Nous avons fait de “StopCovid” un sujet technique alors que nous aurions dû en faire un sujet sanitaire, concède de son côté Éric Bothorel, député LREM et défenseur du projet. L’application est vue comme un gadget, qui a suscité des débats éminemment techniques, parfois geek, plutôt que comme l’outil sanitaire qu’il est vraiment. » Pour lui, la responsabilité en incombe aussi à ceux qui ont critiqué le projet. « Une partie de nos opposants ont prêté au projet des intentions qu’il n’avait pas et l’ont présenté comme un outil de surveillance. Leur stratégie était irresponsable. » Il ajoute même, assumant la violence de son propos : « Criminelle ».

En mai, Cédric O développait déjà des arguments similaires, expliquant que « refuser ces outils pour des raisons philosophiques » signifiait « accepter un risque significatif de malades et de morts supplémentaires ».

« Il y a eu un clivage, rappelle par ailleurs Paula Forteza. Autour de la souveraineté : est-ce que l’application est développée en France ou ailleurs, et autour du choix d’une infrastructure centralisée ou décentralisée. »

En avril, experts et décideurs se divisent ainsi en deux clans : les partisans d’un stockage des données sur un serveur central, d’autres préférant une solution décentralisée et qui militent pour que les données soient stockées sur les téléphones des usagers.

Alors que Google et Apple travaillent sur une interface de programmation applicative basée sur un système décentralisé – un outil qui permet à des applications de communiquer entre elles – à destination des pays souhaitant lancer leur outil de contact tracing, le gouvernement s’oriente vers un outil souverain et une infrastructure centralisée.

« On ne peut pas revendiquer conquérir la souveraineté numérique et, le jour où on en a l’opportunité, se passer de le faire », justifie Éric Bothorel (LREM), qui y voit une question de cohérence. « Nous aurions pu faire le choix d’une infrastructure décentralisée à la française », réplique Paula Forteza.

La France s’avère l’un des seuls pays européens, au bout du compte, à avoir opté pour un protocole centralisé. Une erreur pour Alain Barrat, directeur de recherches au CNRS et membre du projet européen DP3T, protocole décentralisé initié par les écoles polytechniques de Zurich et de Lausanne, et aujourd’hui utilisé en Suisse. « Nous sommes dans une phase sociétale où les citoyens ont peu confiance dans le gouvernement. Si vous dites que les données sont stockées sur des serveurs très sécurisés, même si c’est le cas, certains citoyens ne vont pas vous croire. »
En rejetant le protocole développé par les deux GAFAM, la France a surtout dit adieu à l’interopérabilité des applications de traçage numérique contre le Covid-19. Les projets décentralisés des pays utilisant l’API de Google et Apple communiquent entre eux. Pas avec « StopCovid ». Danemark, Italie, Allemagne, Angleterre… Plusieurs pays avaient initialement opté pour cette architecture centralisée, mais hormis la France et l’autoritaire Hongrie, ils ont quasiment tous fait machine arrière. « J’aurais souhaité que l’Europe s’aligne sur une ligne souveraine, regrette Éric Bothorel. Mais ça ne se décrète pas. »

Pour Baptiste Robert, la France a surtout essayé « de jouer David contre Goliath pour prendre une posture politique anti-GAFAM ». « À la fin de l’histoire, précise-t-il, Apple et Google ont fait correctement leur travail et la majorité des pays européens ont fini par adopter leur solution. La France fait avec les contraintes qui sont celles du système en règle générale, sans profiter des avantages d’Apple et Google. »

Au Royaume-Uni, la situation a d’abord tourné au fiasco. Après avoir annoncé un protocole centralisé fin avril, le National Health Service (NHS) a changé son fusil d’épaule deux mois plus tard, après des essais peu concluants et les alertes des experts sur son efficacité. Lors d’une allocution dédiée à ce revirement, le ministre de la santé britannique, Matt Hancock, a tenté de garder la face, expliquant que l’option centralisée aurait fonctionné si Apple n’avait pas restreint l’utilisation du Bluetooth par des applications tierces – par défaut, l’entreprise empêche l’utilisation en continu de cette technologie par des applications fonctionnant en arrière-plan, à la fois pour des questions d’économie d’énergie et de sécurité.

Le « StopCovid » à l’anglaise a finalement été lancé le 24 septembre, avec quatre mois de retard. Après quatre jours, l’application a déjà atteint les 10 millions de téléchargements, loin devant « StopCovid ». L’application facilite notamment l’enregistrement des visiteurs, depuis peu une obligation légale pour les pubs, les restaurants mais aussi les cinémas.

En Norvège, l’application centralisée « Smittestopp » a été gelée moins d’un mois après son lancement par l’Institut norvégien de la santé publique (FHI), après que l’organisme national de protection des données, Datatilsynet – la Cnil norvégienne – a fait part de son inquiétude sur le peu d’utilisateurs et le faible niveau de protection des données personnelles.

Avec plus de 18 millions de téléchargements pour Corona-Warn, l’Allemagne est l’un des pays européens où l’application de suivi a connu un « succès populaire ». Une victoire très relative. Salué par certains défenseurs des libertés individuelles et certains politiques comme le groupe écologiste du Bundestag, le revirement de situation au profit d’un logiciel décentralisé n’a pas empêché les critiques. Le 15 juin, au lendemain du lancement de Corona-Warn, l’association Digitalcourage a publié un communiqué conseillant de ne pas installer l’application développée par SAP et Deutsche Telekom. Parmi les arguments avancés par Digitalcourage, le fait que les personnes peuvent être « désanonymisés » dans certaines circonstances, des potentielles erreurs sur l’identification de cas négatifs ou positifs, et une utilisation permanente du Bluetooth, qui rend les téléphones vulnérables à des attaques extérieures.

« L’Allemagne a cependant bien géré le fait de publier l’application en open source, ce que n’a pas su faire la France, détaille Axel Simon, membre de La Quadrature du Net et spécialiste du logiciel libre. Le gouvernement a confié cette tâche à la start-up Lunabee Studio, qui n’a aucune référence dans ce domaine et qui a fait preuve d’un certain amateurisme », estime-t-il.

Reste à savoir que faire d’une application que même les membres du gouvernement ne parviennent pas à défendre. « Il faut, et notamment le ministère de la santé, continuer de communiquer autour de cet outil qui est une solution complémentaire pour gérer la crise sanitaire », persiste Éric Bothorel. « Il faut être transparent, expliquer exactement quel est l’outil, ce qu’il fait, comment sont stockées et gérées nos données », maintient Caroline Fiat (LFI).

Tandis que Paula Forteza, elle, plaide pour une solution plus radicale. « Les gens de la start-up nation aime bien dire : “Fail fast, learn fast” [Échouer vite, apprendre vite – ndlr]. Moi, je pense qu’il faudrait arrêter ce projet. À quoi bon continuer à dépenser de l’argent public pour une application qui fonctionne pas ? » Interrogé sur les prochaines étapes du projet, le cabinet d’Olivier Véran ne nous a apporté, à ce jour, aucune réponse.