Intervention de Cédric O

Il est peut-être utile, à ce moment du débat, de rappeler pourquoi nous avons fait le choix de cette architecture technique. Je rappelle d'ailleurs que, à l'origine, le projet français est franco-germano-britannique, issu d'une analyse commune menée dans l'ensemble de ces trois pays, mais aussi dans d'autres pays autour du monde, selon laquelle deux modèles s'opposent dans la manière de concevoir les applications de contact tracing : le modèle centralisé et le modèle décentralisé, même si ces termes sont questionnables. Il est important de comprendre pourquoi nous avons fait les choix que nous avons faits. Dans les deux cas, lorsque je me promène et que je vous rencontre, monsieur le président, à moins d'un mètre, et durant plus de quinze minutes, si nous avons tous les deux l'application, chacun de nos téléphones enregistre le fait que nous sommes croisés. Dans le modèle centralisé, un serveur central est mis en place et, si je m'identifie comme étant positif, l'ensemble des crypto-identifiants que j'ai enregistré sur mon téléphone remonte vers le serveur central. Plusieurs fois par jour, tous les téléphones vont vérifier si leur identifiant a été inscrit sur le serveur central. Cette architecture a un avantage : le serveur central ne contient que les crypto-identifiants des contacts de gens malades, mais il n'existe nulle part de liste de crypto-identifiants de malades.

Dans un système décentralisé, à chaque fois, nous enregistrons de la même manière chacun nos crypto-identifiants respectifs en cas de rencontre, mais si je me déclare positif, j'envoie mon identifiant vers un serveur central qui le redistribue sur votre téléphone. Dans un système décentralisé, donc, la liste des crypto-identifiants de tous les malades est, non seulement disponible et facilement accessible sur internet, mais elle est, de plus, présente sur tous les téléphones. C'est ce qui a conduit l'Agence nationale de la sécurité des systèmes d'information (Anssi), en accord avec ses homologues britannique et allemand, à considérer que la solution centralisée était plus protectrice de la vie privée que la solution décentralisée. Ces craintes se sont révélées fondées aujourd'hui, au vu du fonctionnement des applications européennes. Si vous êtes un peu malin, vous pouvez avoir accès à l'ensemble des crypto-identifiants des gens qui se sont déclarés malades en Europe, la liste est facilement accessible. En outre, avec ce que l'on appelle un sniffer, un logiciel qui permet de récupérer le crypto-identifiant que vous émettez, je pourrais, si j'étais employeur, installer un portique à l'entrée de mon entreprise et ainsi savoir si l'un de mes employés, et lequel, est dans la liste des gens malades. Il y a donc une possibilité de réidentification. Vous trouverez ces éléments dans les débats académiques et techniques, notamment portés par certains membres de l'École polytechnique fédérale de Lausanne, l'institution qui avait poussé en faveur du développement d'une solution décentralisée. La solution centralisée, elle, ne permet jamais de réidentifier quelqu'un de malade ; la première raison de notre choix tient donc à la sécurité de la vie privée. Un des reproches qui lui est toutefois adressé tient à la présence d'un serveur central, dont un État mal intentionné ou peu démocratique pourrait se servir pour surveiller ses citoyens. Nous avons considéré que la transparence sur les éléments de code, la possibilité d'accès au serveur central offerte à la CNIL comme au comité de surveillance ainsi que le fait que nous nous trouvions dans un état démocratique caractérisé par la capacité de contre-pouvoir de la CNIL et du comité de surveillance, votée par l'Assemblée nationale et le Sénat, offraient des garanties aux Français, au-delà de la confiance que ceux-ci accordent au Gouvernement.

Un deuxième élément, sanitaire, explique que, au départ, les Britanniques, les Allemands et les Français aient choisi la solution centralisée. Aujourd'hui, 15 ou 16 millions de Britanniques ont une application sur leur téléphone, ainsi que 18 millions d'Allemands et un peu moins de 2,7 millions de Français. Ici, nous savons qu'il y a eu 8 000 codes scannés et 472 notifications reçues. Les Allemands et les Anglais sont incapables d'annoncer un nombre de notifications reçues, pour une raison simple : l'ensemble de l'architecture est entre les mains d'Apple et de Google, et les homologues anglais ou allemands de la CNIL ne sont pas capables d'aller vérifier ce qui se passe à Palo Alto, dans les serveurs d'Apple et de Google.

Je ne dis pas que l'application française est un succès, je dis que nous savons ce qui se passe et que cela marche mal, alors que les Allemands et les Anglais savent que beaucoup d'applications ont été téléchargées, mais ils ne savent rien de ce qui se passe, ni même si cela fonctionne. Je vous renvoie à un article du journal Le Monde sur le sujet, qui explique très précisément que les Allemands ne sont pas capables de savoir combien de gens ont été notifiés. C'est pour cela que j'assume aujourd'hui notre choix technique, lequel, selon moi, était le bon.

Vous me demandez, madame la rapporteure, si celui-ci a pu influencer l'adoption ou le refus des Français. À mon sens, cela n'a pas été le cas, et les études confirment cette opinion. Aujourd'hui, je ne sais pas expliquer complètement pourquoi cette application n'est pas suffisamment téléchargée. Il me semble que nous sommes à la croisée de plusieurs éléments, mais les études qualitatives qui ont été menées indiquent que le vrai sujet est que les Français ne comprennent pas l'intérêt personnel qu'ils auraient à télécharger StopCovid. S'ajoutent à cela des craintes sur les données ou, à tout le moins, une incompréhension globale du fonctionnement de cette application sur ce point. En outre, il me semble qu'interviennent également des dimensions culturelles ainsi qu'un problème de timing : les Anglais ressortent leur application au moment du reconfinement ou au moment où la peur remonte ; nous avons sorti la nôtre à un moment où l'on pensait que c'était fini. Il est impossible de refaire l'histoire, mais la lancer au moment où les bars ferment, où l'on craint pour sa sociabilité - les Anglais ont interdit les rencontres à plus de six personnes - et où l'on se rend compte que cela va durer six mois, un an ou un an et demi, cela provoque un effet de traction supérieur sur l'application. Le Gouvernement et moi-même avons sans doute été aussi insuffisamment pédagogues sur l'utilité de cette application et sur la protection qu'elle permet. Je reviens sur les sondages qualitatifs : les gens ne comprennent pas quel est leur intérêt. Il me semble donc qu'il y a une conjonction d'éléments qui font que cette application est malheureusement insuffisamment téléchargée.

Je voudrais toutefois élargir la focale : dans certains pays, on a constaté un succès de l'application en termes de téléchargements, parce que, encore une fois, on ne connaît pas son impact sanitaire en Allemagne, en Grande-Bretagne ou en Suisse. Ailleurs, c'est un échec, parfois moins problématique, mais c'est un échec. La réussite des applications de contact tracing est donc plus l'exception que la règle. Cela ne doit pas nous empêcher de mener notre propre introspection sur les raisons qui expliquent que cela n'ait pas marché, mais il ne faudrait pas que l'arbre anglais et allemand cache la forêt, c'est-à-dire le fait que ces applications rencontrent des difficultés partout en Europe. Je dis « partout en Europe » parce que, à l'exception de Singapour, il est difficile de comparer les applications déployées en Corée du Sud ou en Chine, qui n'ont absolument rien à voir avec notre projet en matière de protection de la vie privée, dans des pays où, par ailleurs, les cultures sont très différentes.