Madame la sénatrice, je serai très direct : non, je ne puis pas vous le garantir !
En revanche, je vous garantis que nous prenons toutes les mesures possibles, d’ailleurs parfois disproportionnées par rapport à la sensibilité des données en question. De fait, si j’étais un hacker intéressé par les données personnelles des Français, je préférerais probablement m’attaquer aux systèmes informatiques de certains hôpitaux, qui comportent des noms, des prénoms et des historiques de pathologies – de telles attaques sont d’ailleurs une réalité.
Les données de StopCovid se limiteront à une liste de crypto-identifiants, représentant des contacts de personnes testées positives ; nulle part, absolument nulle part, il n’y aura une liste de personnes testées positives. Ces données-là sont d’un intérêt extrêmement limité, d’autant qu’elles sont très difficiles à rapprocher d’une identité.
Tout est affaire de proportionnalité : en l’occurrence, nous avons pris toutes les mesures possibles pour assurer la protection de ces données, dont, par ailleurs, je le répète, la sensibilité est limitée. Nous avons même demandé à des hackers d’attaquer notre solution, de manière à mettre au jour des failles et à pouvoir les combler.
Plus généralement, je regrette que le niveau de préparation de nos hôpitaux et de nos entreprises, mais aussi de nos institutions – nous ne sommes pas mieux lotis que les autres –, reste encore insuffisant en termes de protection contre les attaques malveillantes, qui sont amenées à se multiplier, malgré le travail remarquable de l’Anssi.
Nous devons sensibiliser encore plus les Français – les attaques contre les particuliers ont sensiblement augmenté pendant le confinement, avec le niveau d’utilisation –, les entreprises françaises, les institutions françaises et, évidemment, les opérateurs de santé français.