Intervention de Cédric O

s'est réjoui de pouvoir s'exprimer devant l'Office sur un sujet aussi important dans le débat public et a indiqué partir du principe que l'Office a déjà connaissance des grandes lignes de l'application StopCovid et de son fonctionnement.

StopCovid est une application pour smartphone qui historise les contacts de proximité en enregistrant sur le téléphone, sous la forme de pseudonymes, les personnes avec lesquelles le porteur du smartphone a été en contact. Différentes architectures existent pour mettre en oeuvre une telle fonction.

Ce n'est pas une solution de géolocalisation comme ont pu en choisir certains pays européens, mais une solution reposant sur la technique Bluetooth, qui ne permet de repérer que des positions relatives, de détecter une proximité. Personne, pas même l'État, n'a accès à la liste des interactions sociales. L'utilisateur ne peut lui-même connaître ni la liste de ses interactions, ni le contact d'où aurait pu venir la contamination en cas d'alerte.

L'application permet de se déclarer positif au Covid-19 pour que les personnes avec lesquelles on a été en contact soient averties, puissent se mettre en relation avec des enquêteurs sanitaires et puissent prendre des mesures de prophylaxie pour ne pas contaminer d'autres personnes.

Pour les épidémiologistes, ces enquêtes sont le seul moyen d'éviter la reprise de l'épidémie et un nouveau confinement, avec ses conséquences économiques et sociales, voire démocratiques. Elles ont été réalisées à petite échelle en France, notamment aux Contamines-Montjoie, et à très grande échelle en Corée du Sud, qui a mis en place pour cela une organisation quasi industrielle. Elles devront être mises en oeuvre par tous les pays du monde. Les exemples japonais, chinois ou singapourien montrent que les tests et les masques, s'ils sont nécessaires, ne sont pas suffisants. Il est également indispensable de mettre en place un système d'enquête sanitaire, humain et peut être technique.

Les enquêtes sanitaires sont menées sous forme d'un entretien en face-à-face ou téléphonique, ce qui n'implique donc aucune exigence pour les individus concernés en termes de connectivité ou de possession d'un smartphone. Ainsi, aux Contamines-Montjoie, des enquêteurs sont allés voir les personnes identifiées ou leur ont téléphoné. Ces enquêtes se heurtent néanmoins à plusieurs difficultés, dont deux significatives. D'une part, en raison du stress lié à la contamination, les individus porteurs du virus ne se souviennent pas de l'ensemble des personnes croisées, même parmi leurs connaissances, ne serait-ce que dans les cinq derniers jours. De fait, en dehors des périodes de confinement, le nombre de contacts quotidiens peut être de vingt à quarante, d'après les spécialistes. D'autre part, dans les zones urbaines denses, notamment dans les transports en commun, les lieux publics et les commerces, retrouver les personnes croisées s'avère impossible. Par exemple, personne ne serait capable d'identifier les passagers rencontrés par un patient dans le métro. Au mieux, ceux-ci seront symptomatiques et contamineront d'autres personnes durant quelques jours, avant d'être testés et isolés. Au pire, ils seront asymptomatiques et en contamineront un très grand nombre. C'est un cas de figure où l'application trouve toute son utilité : pour une population urbaine, active, empruntant les transports en commun, qui se croise dans des lieux de forte densité.

Il faut bien comprendre comment l'application sera utilisée. Certains commentateurs politiques, probablement insuffisamment informés, affirment qu'il faudrait que 60 % au moins de la population utilisent l'application pour qu'elle soit efficace. Ce taux n'a aucun sens, comme l'a clairement indiqué Christophe Fraser, épidémiologiste à Oxford, directeur de l'étude qui a été publiée sur ce sujet dans la revue Science1(*). Dès que l'application commence à être diffusée et utilisée, notamment en zone urbaine, elle permet de toucher des personnes que les enquêtes sanitaires ne pourraient jamais atteindre d'une autre façon. Ces quelques pourcents ou quelques centaines de personnes pourront entrer dans un processus sanitaire, alors qu'elles en resteraient exclues faute d'application. Bien sûr, plus sa diffusion sera large, plus l'application sera utile, parce qu'elle permettra de toucher plus de monde. La question d'un taux minimum de diffusion dans la population n'a donc pas grand sens, ainsi que les plus éminents épidémiologistes et de nombreux personnels sanitaires l'ont rappelé dans une tribune parue le 25 avril dans le quotidien Le Monde.

Pour autant, l'utilité indéniable de cette application ne donne évidemment pas un blanc-seing au Gouvernement sur les conditions de son déploiement. Toutes les garanties sont prises pour que la vie privée soit préservée : l'installation de l'application est volontaire ; l'application est non identifiante, car compte tenu du protocole choisi, il n'existe nulle part de liste des personnes infectées, y compris sur un serveur central ; personne n'a accès à la liste des interactions sociales d'un utilisateur de l'application, car celui-ci n'est alerté que dans la mesure où il a été en contact avec une personne infectée, et il ne reçoit cette information que pour être averti du risque qu'il court et qu'il peut faire courir à ses proches ; enfin, les données seront effacées après un nombre de jours déterminé, qui sera fixé par les épidémiologistes, en fonction des connaissances sur la temporalité de l'infection. Évidemment, l'application n'a pas vocation à réaliser d'autres opérations que celles décrites ici, ou à être déployée au-delà de l'épidémie.

Enfin, ce projet est totalement transparent. Le protocole développé par l'INRIA et l'Institut Fraunhofer, dénommé Robert, a été publié voici une dizaine de jours. L'application sera open source, ce qui implique que tout informaticien pourra examiner son code et assurer à la société civile qu'elle fait bien ce que le Gouvernement annonce. Pour la partie serveur, dont le code est nécessairement moins accessible, le Gouvernement souhaite installer un comité de suivi et de transparence, composé d'organisations non gouvernementales, de spécialistes du numérique, de parlementaires, de juristes, etc. Ce comité aura toute latitude pour faire réaliser les audits techniques qui permettront de garantir aux Français que l'ensemble de l'architecture est conforme aux objectifs affichés.

Ce projet est un projet interétatique européen. Y travaillent en effet les Anglais, les Italiens, les Espagnols, les Français et les Allemands, ainsi que les Luxembourgeois et les Monégasques, ou encore les Estoniens. Au demeurant, la France a demandé, par la voix du secrétariat d'État au numérique, qu'une réunion du Conseil de l'Union européenne « Télécommunications » se tienne début mai, afin de mieux coordonner les efforts européens. Un lien étroit a été établi avec le commissaire Thierry Breton, car le sujet entre dans son champ d'attributions.

Un débat a lieu, au sein de la communauté scientifique, sur les risques que présentent les deux types de protocoles pouvant être utilisés, à savoir le protocole décentralisé DP3T et le protocole centralisé Robert.

À l'origine, la France et l'Allemagne ont étudié les deux protocoles, avant même que Google et Apple n'entrent dans le débat. Au tout premier stade, les Suisses préconisaient un protocole décentralisé et les Allemands un protocole centralisé - la France ne s'est en effet jointe à la réflexion qu'une semaine après eux.

Selon les estimations concordantes de l'INRIA, de l'Institut Fraunhofer, de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et de son homologue allemand, le protocole Robert offre plus de garanties, tant dans le domaine de la protection de la vie privée qu'en matière d'interactions avec le système de santé.

D'abord, même s'il n'y a pas de solution technique sans défaut, le protocole Robert se borne à enregistrer, sous forme de pseudonymes, l'historique des contacts de chaque individu sur son téléphone au gré de ses allées et venues. Cet historique n'existe que sur son téléphone. Le jour où l'utilisateur est déclaré positif au Covid, son application envoie cette liste de pseudonymes de contacts sur un serveur central. Ce dernier centralise donc, sous forme de pseudonymes, les contacts de toutes les personnes testées positives, mais non la liste de ces personnes elles-mêmes. Des listes de contacts cohabitent ainsi sur un serveur central, sans qu'il soit possible de les relier à une quelconque personne testée positive. Régulièrement, chaque téléphone sur lequel est installée l'application consulte le serveur pour savoir si l'un de ses propres pseudonymes n'est pas présent dans ces listes. Le cas échéant, le téléphone se voit notifier immédiatement que son possesseur a été en contact avec une personne testée positive au Covid.

Voilà comment fonctionne le protocole Robert. Il n'y a nulle part de liste des personnes contaminées. Il y a certes un serveur central sur lequel sont stockées les listes des pseudonymes des contacts des personnes contaminées. Mais, de ce fait, il n'existe pas de liste des personnes contaminées elles-mêmes, sur laquelle un groupe de hackers ou une agence de renseignement pourrait mettre la main après s'être introduit frauduleusement sur le serveur. C'est un avantage très important par rapport à la solution dite « décentralisée ».

Le protocole DP3T, promu par les Suisses et favorisé par Apple et Google, prévoit d'emmagasiner de la même manière l'historique des pseudonymes des contacts sur le téléphone de l'utilisateur. Si celui-ci est déclaré positif au Covid, son propre pseudonyme est communiqué, non à un serveur central, mais à un outil répartiteur (dispatcheur), qui le renvoie à l'ensemble des téléphones sur lesquels l'application est installée. Chaque téléphone rapproche alors le pseudonyme reçu de la liste des pseudonymes de contacts qu'il a stockés, pour voir s'il y apparaît.

Par conséquent, l'ensemble des pseudonymes des personnes contaminées au niveau européen est transmis à l'ensemble des téléphones des citoyens européens... Cela doit amener à considérer de plus près le mot « décentralisé ». Car ce que l'on décentralise ici, c'est... une centralisation.

Évidemment, l'application est protégée et cryptée. Mais tant l'INRIA que l'ANSSI considèrent que ce type d'architecture est vulnérable à des attaques telles que l'« attaque du paparazzi ». Celle-ci consiste à exploiter la liste des pseudonymes des gens testés positifs afin de savoir, au prix de quelques manipulations, si votre voisin d'immeuble est contaminé ou de connaître le nombre de personnes contaminées dans votre immeuble. Cela n'est pas possible avec le protocole Robert, puisqu'avec lui il n'existe pas de liste de personnes contaminées. C'est pourquoi l'INRIA et l'ANSSI, en lien avec l'Institut Fraunhofer, estiment que le protocole décentralisé n'est pas une option acceptable au regard de la protection de la vie privée.

Sur ces entrefaites, Apple et Google sont entrés dans la discussion, au moment où les autorités étaient de plus en plus inquiètes de la situation à Singapour, où l'application s'avère ne pas fonctionner, ou très mal, sur iPhone : en effet, les iPhones ne permettent pas d'utiliser la connexion Bluetooth en arrière-plan de façon continue. Or une détection efficace des contacts suppose que l'application soit opérationnelle non par intermittence, mais en permanence, et il n'est pas possible d'en faire en permanence la tâche de premier plan, car la personne doit évidemment pouvoir utiliser son smartphone à autre chose.

Apple et Google ont proposé de travailler à une architecture technique qui permette de mieux intégrer et interconnecter les iPhones et les smartphones Android. Mais ils ont refusé de travailler à un protocole centralisé, préférant les options retenues par DP3T. Telle est la condition qu'ils ont posée à leur coopération. La discussion n'était pas facilitée par le fait qu'à ce moment-là, les Suisses étaient encore présents dans le consortium et qu'ils discutaient donc en parallèle, d'un côté avec Apple et Google, de l'autre avec nous.

La France et l'Allemagne ont opposé une fin de non-recevoir aux propositions d'Apple et Google. Elles ont, de manière souveraine, après avoir consulté leurs autorités de santé et pris en considération leurs systèmes d'information, considéré que le protocole promu par ces entreprises n'était pas protecteur des citoyens et qu'il ne permettait pas un interfaçage efficace avec les organisations sanitaires. Elles ont donc demandé de modifier la manière dont fonctionnent les iPhones - les téléphones fonctionnant sous Android posent moins de problèmes.

Ce débat est encore en cours. Mais il n'y aura pas d'application française qui fonctionne sur l'interface de programmation d'application (API) développée par Apple et Google, dans la mesure où celle-ci contraint à utiliser le protocole DP3T. Cela pourrait aboutir, dans certains cas, à ce qu'une telle application ne puisse être déployée que sur 80 % des téléphones, à savoir ceux fonctionnant sous Android. Cela serait très insatisfaisant, mais ce serait déjà mieux que rien, dans un contexte où chaque alerte envoyée à un cas contact réduit le risque de transmission du virus.

Cependant, on peut encore espérer faire entendre raison à Apple. Cet espoir est raisonnable, dans la mesure où la discussion est menée de manière coordonnée avec l'Italie, l'Espagne, la Commission européenne et l'Allemagne.

Revenons à l'Allemagne, dont les positions ont pu paraître surprenantes. Il y a seulement trois jours, un porte-parole indiquait que ceux qui « préfèrent les États » devraient passer par un système centralisé, tandis que ceux qui « préfèrent Apple et Google » devraient passer par un système décentralisé. Cette présentation rapide a le mérite de mettre l'accent sur la nature de l'instance décisionnelle ultime en matière d'application sanitaire.

Mais, ce dimanche, l'Allemagne a annoncé vouloir travailler à une solution décentralisée, tout en donnant à cette déclaration une formulation assez sibylline. La raison de cette volte-face n'est pas technique : le gouvernement allemand demeure persuadé que l'application centralisée est la meilleure solution pour protéger la vie privée des citoyens. La raison est politique : les partisans d'une application décentralisée risquaient d'avoir un poids assez important dans la coalition gouvernementale. Cependant, au-delà des effets d'annonce, le lien entre les équipes françaises et les équipes allemandes n'est pas rompu. Elles continuent à travailler à une solution qui soit la plus proche et la plus interopérable possible.

Quoi qu'il en soit, la position des autorités allemandes ne remet pas en cause l'utilité de l'application comme élément d'un système sanitaire global pour contrôler l'épidémie ; elle ne fait qu'ouvrir la possibilité d'une application qui, le cas échéant, ne serait pas interopérable avec la solution retenue par la France. Cela traduirait une coordination européenne clairement sous-optimale, inconvénient certain mais cependant secondaire par rapport à l'utilité réelle de l'application. On ne peut que regretter ces atermoiements, d'autant que la nouvelle position allemande n'a pas été communiquée aux autorités françaises avant d'être rendue publique. Les discussions avec les autorités allemandes continuent et l'on peut espérer que sera finalement mise en oeuvre l'architecture initialement évoquée, en lien avec l'Allemagne, l'Espagne, l'Italie et d'autres pays européens. Tenir la date du 11 mai est un défi compliqué, mais n'est pas impossible. Il faudra en effet tester l'application pour vérifier son bon fonctionnement et son calibrage.

Les entités les plus impliquées dans le projet d'application StopCovid en France sont : l'INRIA, qui assure la maîtrise d'ouvrage et qui est spécialement chargé des algorithmes et de l'interfaçage avec les pays européens ; CapGemini, qui est chargé de la maîtrise d'oeuvre, de l'infrastructure globale et de l'architecture du projet ; Dassault Systèmes, qui héberge les données - il n'y a donc pas d'interférences possibles à l'égard du Cloud Act - ; Orange, qui s'occupe de la partie applicative, de l'interfaçage avec les téléphones et des questions de connectivité. Deux start-up françaises sont aussi très impliquées : Lunabee Studio réalise l'interface utilisateur en tant que telle et Withings, entreprise connue dans le monde de l'« Internet des objets » - les objets connectés -, travaille sur la capacité à déployer une solution qui ne passe pas par les smartphones. Cette solution ne serait pas disponible le 11 mai, mais plus probablement vers le 15 juin. Elle aurait l'avantage de pouvoir être déployée au profit des personnes n'ayant pas de smartphone ou ne sachant pas s'en servir. Mais la capacité à réussir ce dernier projet reste sujette à caution et son industrialisation serait compliquée.