Intervention de Franck Poupard

Pour StopCovid, nous avons conçu un protocole très robuste avec les meilleurs chercheurs français. L'implémentation a été menée avec CapGemini, qui intervenait non en tant que cabinet de conseil mais comme prestataire numérique, au niveau opérationnel. Pour l'hébergement des données, nous avons également travaillé avec l'opérateur de cloud Outscale, qualifié par l'Anssi. Je n'ai pas connaissance de toutes les dimensions du projet mais je n'ai pas vu intervenir de cabinet de conseil. C'était une équipe resserrée, en mode projet, avec un pilotage étroit assuré par INRIA.

L'enjeu sous-jacent - et le combat a été très violent - était le choix entre deux modèles. Dans le premier modèle, le développement de l'application est assuré par l'État, qui prend ce faisant d'énormes risques, car c'est une tâche particulièrement délicate - surtout quand les acteurs du numérique qui fabriquent les téléphones et les systèmes d'exploitation sont peu coopératifs. C'est ce que nous avons vécu avec TousAntiCovid. Dans le second modèle, la mission de santé publique est confiée à Apple et Google.

Présenté ainsi, le choix n'est pas difficile à faire. Or en Europe, la France s'est trouvée très isolée dans son refus de confier une telle mission régalienne aux acteurs numériques, qui plus est non européens, que sont les Gafam. Ce n'est même pas une question de confiance : la santé publique n'est simplement pas leur rôle. La pression politique et le lobbying ont été tels que la plupart de nos partenaires ont basculé vers une solution où le contact tracing est effectué par les Gafam.

J'avais souligné alors que ces opérateurs, qui connaissent déjà tout de nous, pourraient, demain, concevoir des assurances grâce à ces données de santé. Or l'été dernier, Alphabet, maison-mère de Google, a créé une filiale dédiée à l'assurance santé... Cela montre qu'il faut être extrêmement vigilant dans la régulation de ce secteur, faute de quoi tout le système mutualiste volera en éclats. Le choix de la France a été courageux, car les autorités ont été brocardées de manière extrêmement violente. En revanche, il est incontestable que le contact tracing n'est pas une activité innocente : en la matière, on n'est jamais trop prudent !

La question du départ de nos collaborateurs vers les cabinets de conseil relève de l'enjeu plus général de la déontologie. Il n'est pas facile de gérer de tels départs, mais en poussant la logique à son terme, il faudrait les interdire. Or la question ne se résume pas à un affrontement entre les « gentils » du secteur public et les « méchants » du privé. On s'en remet donc aux règles de déontologie, qui sont très contraignantes.

Lorsqu'un collaborateur quitte l'Anssi, il n'est pas possible de lui vider le cerveau... En revanche, les engagements liés au classifié défense lui sont systématiquement rappelés. Pour le reste, nous leur faisons confiance. Je ne suis pas choqué qu'ils emportent avec eux un savoir-faire ; quant aux données, il faut savoir les oublier, ce qui demande une part de schizophrénie. Mais les mêmes questions se posent, de manière peut-être plus dure, dans les départs du privé vers le privé.

Ce modèle fondé sur la déontologie est perfectible, mais il perdrait à être trop contraignant. Si on interdit à tout agent public de rejoindre le privé, il ne faudra pas se plaindre que le public a des difficultés à recruter...