Entre les défenseurs de la vie privée et les partisans de la santé publique, le débat et le vote, prévus le 27 mai, autour de l'application StopCovid promettent de diviser les parlementaires. Voici les clés pour comprendre les enjeux de ce sujet défendu par le gouvernement, qui compte s'appuyer sur cet outil pour gérer l'épidémie.
Pour rappel, l'application mobile StopCovid devrait être lancée le 2 juin prochain sur les smartphones iOS et Android. Celle-ci doit permettre de tracer les Français de manière anonyme en s'appuyant sur la technologie Bluetooth. Si l'on croise une personne contaminée par le Covid-19, l'application permettra de recevoir un message d'alerte quelques instants plus tard.
Toutefois, pour que cette application soit efficace les trois quarts des Français doivent l'adopter. Reste que celle-ci divise. Selon une enquête réalisée par Harris Interactive à la demande de professionnels de la donnée publique, 59 % des Français seraient favorables à la mise en place de l'application, mais 54 % n'auraient pas confiance dans l'utilisation qui pourra être faite des données.
L'intérêt sanitaire doit-il primer ?
Pour le gouvernement, la raison d'être de StopCovid est simple : il faut contrôler l'évolution de l'épidémie et l'intérêt pour la santé des citoyens doit être la priorité. A cela, le gouvernement a assuré avoir placé des «gardes fous» afin de respecter au mieux la politique de protection des données privées gérée notamment par la Cnil et dans le respect du RGPD mis en place par l'UE. Ainsi, les données sont promises comme anonymes, non géolocalisées, sécurisées et centralisées par l'Etat.
De plus, le gouvernement compte jouer sur la transparence. Le code source de l'application sera ainsi rendu public par l'Inria, dont les chercheurs travaillent sur le projet depuis le début. Le sujet divise pourtant les spécialistes. «Nous ne sommes pas dans une dictature et le risque pandémique est toujours présent», plaide Philippe Fourcin, responsable technique chez F-Secure, société spécialisée dans la sécurité informatique, et qui assume défendre StopCovid. Sans remettre totalement en cause ce projet, Fred Raynal, directeur de Quarkslab, société experte dans la recherche en cybersécurité, prévient que l'usage d'une telle application n'est pas «sans risque et peut constituer un premier pas vers une société sous surveillance».
Les données sont-elles vraiment anonymes ?
L'anonymisation promise par l'Etat reste au centre du débat. Sera-t-il possible pour une personne malveillante de récolter des données personnelles aux fins de les revendre ? Sur ce point, l'Etat explique centraliser les données et utiliser un système de pseudonymes pour désigner les utilisateurs. Ces derniers ne devraient donc jamais savoir qui ils ont croisé. Mais ce principe à ses limites. Le problème est la déduction que voudront faire les utilisateurs prévenus qu'ils ont croisé un malade. Si l'application ne fournira pas l'identité de cette personne, ni son pseudonyme, les utilisateurs peuvent quant à eux se demander qui ils ont croisé dans la journée. L'épicier du quartier, le médecin venu consulter à domicile, la gardienne de l'immeuble... ? Avec «le risque d'assister à de véritables chasses aux sorcières, comme ça a été le cas en Corée du Sud, exacerbant la stigmatisation des personnes à risque», prévient un groupe de chercheurs de l'Inria, dans son rapport Le traçage anonyme, dangereux oxymore.
La collecte de données est-elle sans garantie ?
Une partie des députés et sénateurs s'interrogent sur la pertinence des données récoltées et leur usage sera-t-il effacé une fois la crise sanitaire résolue ? Sur ce point, le gouvernement déclare ne pas vouloir stocker de données personnelles, mais les opposants à StopCovid veulent plus de garanties. Dans une tribune au site Le Monde, Nozha Boujemaa, directrice science et innovation chez Median Technologies, affirme que StopCovid est «une application de notification d’exposition et rien d’autre ! Les informations générées ne sont pas des données personnelles».
L'application est-elle infaillible ?
Sur le plan de la cybersécurité, StopCovid ne sera pas infaillible s'accordent à l'unanimité les spécialistes car en matière informatique rien ne l'est. Dès lors certains pointent du doigt l'usage du Bluetooth qui offre une porte d'entrée pour les hackers. En février dernier, une faille de sécurité majeure a été découverte dans la technologie Bluetooth. Dénommée BlueFrag, celle-ci nécessite simplement que le Bluetooth soit activé sur un smartphone. Et l'attaquant peut prendre le contrôle du mobile pour exécuter un code en arrière-plan, notamment, afin de récupérer des données, le tout sans besoin de mot de passe et sans intervenir physiquement sur le mobile. Si un correctif a depuis été apporté, d'autres failles peuvent être découvertes. Cet argument serait stérile pour les défenseurs de StopCovid. «Le risque autour du Bluetooth existe, mais nous l'utilisons déjà au quotidien pour faire fonctionner de nombreux objets connectés ou interagir sans contact», rappelle Philippe Fourcin de F-Secure.