Intervention de Bruno Sportisse

Elles circulent, mais toute la question est celle de la nature des données ; or la France a fait le choix d'avoir des données qui ne sont pas médicales.

En matière de respect de la vie privée, le contrôle démocratique et le rôle des autorités administratives indépendantes sont clés. Lors de son premier contrôle de StopCovid, la CNIL a relevé deux éléments : l'utilisation d'une brique logicielle de Google pour éviter ce qu'on appelle « un recaptcha », et ainsi, les attaques par des robots de notre système d'une part, et d'autre part le non-déploiement d'un filtre de minimisation de remontée des données. La CNIL nous a mis en demeure en juillet sur ces deux sujets. Ils faisaient partie de notre feuille de route, mais nous avons été confrontés à une urgence et nous avons dû faire un arbitrage. Nous avons remédié à ces deux difficultés, et la mise en demeure est close depuis le 3 septembre. Cela montre bien l'importance des organes de contrôle en matière de cybersécurité et de respect de la vie privée.

J'en viens à la pédagogie. Face à des craintes légitimes de dérive, il faut être capable d'expliquer les éléments de réassurance que l'on a. À ma connaissance, c'est la première fois que l'on discute d'un logiciel au Parlement, et cela nous a beaucoup appris, car pour moi, la pédagogie va dans les deux sens. Ceux qui ont une connaissance technique et les décideurs politiques ont dû trouver un terrain de discussion ; c'est un élément de retour d'expérience pour les uns comme pour les autres.

Par ailleurs, il y a un petit paradoxe à dénoncer sur les réseaux sociaux des atteintes possibles à la vie privée - c'est une manifestation de la maturité numérique globale collective que nous avons.

Une question m'a été posée sur le made in France. La France a fait l'investissement dans un programme de R&D de bout en bout. C'est un élément de fierté, et cela a des implications en termes de retour d'expérience et de maîtrise. Le made in France ne doit pas nous renvoyer au plan Calcul ou au Minitel !

Le troisième volet concerne la désinstallation. Du fait de la conception extrêmement respectueuse de la vie privée de l'application, on ne sait absolument pas le pourquoi d'une désinstallation. Nous ne disposons pas de remontées d'informations précises sur les terminaux ni sur les versions des terminaux. Ce point, qui est directement lié à la conception initiale de l'application, est susceptible d'évoluer.

Si on ne sait pas pourquoi les gens désinstallent, on a toutefois des hypothèses. On constate par exemple une élasticité positive à la promotion de StopCovid. A contrario, nous avons constaté mi-juin des désinstallations massives pendant quelques jours après la publication d'un article de presse relatant une faille majeure en termes de respect de la vie privée.

Un autre élément, plus structurel, est le caractère « taiseux » de l'application. Elle ne dit pas grand-chose, et au fond, vous ne savez pas si elle fonctionne quand elle est dans votre poche. Or le plus souvent, une application est faite pour demander votre attention et votre interaction. Nous avons fait ce choix dès le début de la conception de StopCovid, mais nous envisageons de revenir dessus afin de permettre que l'utilisateur soit plus en contrôle de ce que fait son application.

Il y a un système d'exploitation Android sous lequel lorsque StopCovid est en veille, un petit bandeau indique que l'application est là pour vous protéger. C'est une donnée de ce système d'exploitation qu'on ne peut pas changer, mais qui, pour certaines personnes, peut être anxiogène - c'est du moins notre hypothèse.

Par ailleurs, il peut y avoir, sur un parc extrêmement hétérogène, des cycles d'installation et de désinstallation, par exemple parce que la version est mal supportée.

Nous avons donc quantité de petites actions à mener pour essayer de remédier à ces différents problèmes.