Parti Pirate - En 2020, un virus peut-il banaliser la surveillance de masse globale ?

Image d'illustration

En 2020, un virus peut-il banaliser la surveillance de masse globale ?

Publié le 30/05/2020
  • Parti Pirate

TL;DR : Adoptez les gestes barrières contre la surveillance de masse généralisée : n’installez pas StopCovid1.

Le 27 mai 2020, l’Assemblée Nationale a voté la mise en place de l’application StopCovid à partir du 2 juin, avec 338 voix pour et 215 contre2, suivie dans la nuit par le Sénat avec 186 voix pour et 127 contre3.

StopCovid est une application proposée par le Gouvernement français pour tracer les rencontres des personnes qui accepteront de la télécharger afin de les prévenir en cas de contact potentiel avec une personne atteinte de la maladie à coronavirus 2019.

Le Parti Pirate s’oppose fermement à l’utilisation de cette application et exprime ses craintes concernant l’exploitation des données personnelles et la protection de la vie privée de toutes personnes qui y auront recours dans notre pays.

Quelques précisions quant à l’efficacité potentielle de cette application…

Dans un monde idéal, le système technologique mis en place par un Gouvernement chercherait à protéger en priorité les personnes les plus vulnérables. Il faudrait donc que la totalité des personnes fragiles dispose d’un smartphone. Avec l’application. Et qu’elle fonctionne en continu. Et que la totalité des personnes qu’ils rencontrent aient également un smartphone. Avec l’application. Qui fonctionne en continu. Vous trouvez que ça fait beaucoup de conditions ?

Nous savons, d’après les informations mises à notre disposition par le Gouvernement dans le Baromètre Numérique 20194, que seulement 77% de la population française âgée de plus de 12 ans disposait d’un smartphone l’an dernier. Cette proportion descend à 44% pour les plus de 70 ans.

Nous savons aussi que l’application portée par notre Gouvernement ne pourra pas fonctionner correctement sur des appareils Apple équipés d’un système d’exploitation iOS. Il se trouve que, pour diverses raisons résumées dans cet article de Numerama5, Apple limite l’utilisation de la technologie Bluetooth sur ses appareils.

Et nous n’avons pas oublié que le bras de fer entamé par Cédric O avec le géant du numérique n’a finalement jamais abouti à un quelconque changement de politique de leur part.

De la même manière, les appareils équipés du système d’exploitation Android en version 8 et suivantes imposent aux applications des restrictions d’utilisation du Bluetooth. Une application qui fait des scans Bluetooth, comme StopCovid, est ainsi automatiquement coupée au bout de 15 minutes dès lors qu’elle passe en arrière plan6.

Ces multiples restrictions de sécurité vont bien souvent contraindre les personnes qui utiliseront l’application à la conserver strictement ouverte au premier plan pendant toute la durée souhaitée de fonctionnement pour lui permettre de fonctionner comme prévu, limitant ainsi l’utilisation qui peut être faite du smartphone par ailleurs7.

Je viens de faire un petit protocole de test pour voir si StopCovid fonctionne en arrière-plan sur un iPhone, sur les conseils de @DandumontP. C'est là 👇 https://t.co/UkAENwJehI

— julien cadot (@juliencdt) [May 27, 2020](https://twitter.com/juliencdt/status/1265577015551410176?ref_src=twsrc%5Etfw)

On ne pourra donc établir l’existence d’un « contact » entre deux personnes uniquement à condition qu’elles aient toutes les deux un smartphone, qu’ils soient munis de cette application et que celle-ci soit lancée au premier plan.

Mais qu’est ce qu’un « contact » ?

Le Gouvernement prescrit qu’un « contact » doit être considéré comme établi dès lors que deux personnes se trouvent à une distance de moins d’un mètre pendant une durée d’au moins 15 minutes8.

Or, pour déterminer à quelle distance un smartphone A se situe d’un smartphone B, l’application utilise la valeur captée par le smartphone A de la puissance de réception du signal Bluetooth émis par le smartphone B. Mais déterminer une distance à partir d’une puissance de signal enregistrée est loin d’être simple, puisque la multiplicité des facteurs autres que la distance pouvant jouer sur cette mesure de puissance rend toute méthode de détermination de distance, par nature, imprécise et remet donc en cause sa fiabilité (modèle de la puce Bluetooth du téléphone, réglage de sa puissance, qualité de l’antenne, présence sur la trajectoire de corps pouvant causer des interférences…)9.

Aussi, l’application va forcément prendre en compte des personnes situées à plus d’un mètre de distance, générant ainsi un nombre certain de faux-positifs.

Marie Turcan, rédactrice en chef de Numerama, a établi une première liste de conditions pour qu’une telle application soit efficace…10 Cela se passe de commentaire.

J'ai essayé, de bonne foi, de résumer les cas dans lesquels l'app StopCovid sera utile. Voilà ce que ça donne : [pic.twitter.com/nlzxiNKqsO](https://t.co/nlzxiNKqsO)

— Marie Turcan (@TurcanMarie) [May 26, 2020](https://twitter.com/TurcanMarie/status/1265303906218848258?ref_src=twsrc%5Etfw)

Quid des données personnelles ?

Le Gouvernement français a fait le choix, sur la recommandation de l’INRIA11, d’un système centralisé qui sauvegardera un identifiant unique pour chaque appareil qui lancera l’application12.

Notons en passant le choix de passer par un système centralisé géré par Microsoft en opposition à une solution décentralisée proposée par Apple/Google13. L’idée était peut-être, pour notre Gouvernement, de choisir le moins pire entre la peste et le choléra…

Le mec nous a vendu un système centralisé plutôt que la solution décentralisée Apple/Google (qui conserve les données sur nos téléphones) au prétexte de souveraineté, mais va filer toutes nos données à Microsoft sous prétexte de faisabilité. L'enfumage est total. https://t.co/CxdXHttzWa

— Laurent Chemla (@laurentchemla) [May 30, 2020](https://twitter.com/laurentchemla/status/1266697464008060930?ref_src=twsrc%5Etfw)

Ce choix de centraliser les données peut porter préjudice à notre droit à la vie privée. Corréler les informations contenues dans la base de données de l’application avec les journaux de connexions entre les smartphones et le serveur permettrait de lever le pseudonymat initialement prévu par le dispositif StopCovid et de tracer une personne utilisant l’application14.

.@cedric_o ne partage pas l'idée d'une "tendance pavlovienne des gouvernements à détourner des technologies pour en faire des outils de surveillance". > Le code sera publié pour montrer "que StopCovid fait bien ce que le gouvernement dit et rien d'autre"[#DirectAN](https://twitter.com/hashtag/DirectAN?src=hash&ref_src=twsrc%5Etfw) #COVID19 pic.twitter.com/BpDP1KcsXC

— LCP (@LCP) [May 27, 2020](https://twitter.com/LCP/status/1265640035837267968?ref_src=twsrc%5Etfw)

Si Cédric O ne partage pas l’idée d’une « tendance pavlovienne des gouvernements à détourner des technologies pour en faire des outils de surveillance »15, on peut tout de même noter qu’en France, un fichier de police a déjà été détourné en avril dernier pour repérer les récidivistes qui violent le confinement16.

Cette information vient donc contredire directement le Secrétaire d’État chargé du numérique et remettre en cause la confiance que l’on devrait prêter à notre Gouvernement, et à travers lui à notre police.

En outre, comme Cédric O l’a indiqué devant l’Assemblée Nationale, l’application va avoir recours à ReCaptcha, outil proposé par Google, avec une politique de confidentialité très vague quant aux données personnelles qu’il récupère17, et sur qui la France et l’Europe ont prouvé, avec, par exemple, l’efficacité relative de la directive Copyright, qu’elles n’avaient aucune emprise18.

Même si le Gouvernement a fait la promesse de remplacer ReCaptcha par une solution développée par Orange19, il faudra attendre quelques semaines (deux, croyons-le, soyons optimistes) pour que le système de Google cède sa place à un système franco-français dont on ignore encore si le code sera publié20, et qui aurait peut-être dû être créé avant le lancement de StopCovid.

@reesmarc @pbeyssac, dites, les gens, concernant le successeur de recaptcha fait par Orange, l'application appartiendra à qui ?

À l'État français ? À Orange ?

poke [@Florielvm](https://twitter.com/Florielvm?ref_src=twsrc%5Etfw)

— Levieux Cédric #VotePirate 🏴‍☠️ (@farlistener) [May 29, 2020](https://twitter.com/farlistener/status/1266393380839448577?ref_src=twsrc%5Etfw)

Tout cela, ainsi que la Quadrature du Net l’a signalé21, remet en question la sûreté des données des utilisateurs ainsi que la fameuse « souveraineté numérique de la France » tant fantasmée par notre cher Gouvernement22.

Comme on le craignait hier en lisant l'avis de la CNIL, il semble que #StopCovid intègre bien un mouchard de Google (recaptcha)https://t.co/QZc6v6Fih5

Si ce mouchard reste dans l'appli finale, @cedric_o aura été bien malhonnête à nous parler de "souveraineté numérique". [pic.twitter.com/2R2fzDokhA](https://t.co/2R2fzDokhA)

— La Quadrature du Net (@laquadrature) [May 27, 2020](https://twitter.com/laquadrature/status/1265574212451946497?ref_src=twsrc%5Etfw)

Le Parti Pirate tient à saluer l’ouverture du code source de l’application StopCovid par l’INRIA23, toutefois nous préférons rappeler que, même s’il sera possible de le vérifier après la publication de l’application, rien ne garantit que la version finale du code de cette application aura été compilée à partir du code source partagé.

Comme le dit Hubert Guillaud, le risque ici c’est « de faire évoluer l’application par décrets et modification successive du code… pour finir par lui faire afficher qui a contaminé qui et quand, qui serait le meilleur moyen d’enterrer définitivement nos libertés publiques24. »

Pour le Parti Pirate, StopCovid marque une nouvelle étape dans la généralisation de la surveillance de masse. Nous avons malheureusement trop souvent constaté que les gouvernements ont montré, en France comme ailleurs dans le monde, une tendance à la mise en place de politiques de surveillance abusive en temps de crise qui, sous couvert de situations d’urgence, finissent par entrer dans la loi de manière permanente25.

D’autant plus qu’aucune information n’a été communiquée sur la durée de la mise en place de cet outil. Jusqu’à la fin de l’urgence sanitaire ? Et si l’urgence sanitaire entrait dans le droit commun ?

En Chine, parfois prise en exemple ces derniers temps par nos gouvernants pour leur capacité prétendue à gérer la crise sanitaire que nous traversons26, l’application mise en place pour détecter les porteurs du COVID-19 sera maintenue après la crise afin de « devenir un gardien de la santé pour les habitants » selon Zhou Jiangyong, secrétaire du Parti communiste du centre technologique de Hangzhou27.

Si « La CNIL se dit satisfaite de voir que ses principales recommandations ont été prises en compte depuis sa première délibération, comme un meilleur chiffrement et l’absence de la moindre conséquence négative si on ne veut pas se servir de l’application28 », on a constaté que certains de nos élus cherchent déjà à briser le libre consentement en suggérant que les personnes qui accepteront d’installer et d’utiliser StopCovid bénéficient de davantage de droits que les autres29, ou encore Cédric O qui sous-entendait de manière équivoque que ne pas utiliser l’application pourrait causer davantage de morts30.

Donc, si pour le moment rien n’oblige qui que ce soit à installer cette application en France, rien ne nous prouve pour autant que ne sera pas rendu obligatoire l’utilisation de StopCovid pour se rendre dans certains lieux publics, certaines écoles ou à son travail. En effet, l’obligation du port du masque dans un certain nombre de lieux a déjà été autorisée à demi-mots par notre Premier Ministre31 alors que rien n’a été prévu par le Gouvernement pour que tout le monde puisse en avoir à sa disposition gratuitement.

Une chose est sûre, l’application à elle seule ne suffirait pas pour lutter contre le virus.

Le Parti Pirate, conscient de l’état plus que déplorable du système de santé en France, a voté en avril dernier un point de programme pour la mise en place de mesures d’urgence pour les hôpitaux32.

Nous sommes convaincus que, pour qu’une telle application soit véritablement utile, en plus de devoir surmonter tous les problèmes précédemment exposés, elle doit impérativement s’accompagner d’une politique de santé efficace.

Cette application StopCovid, vendue aujourd’hui comme un outil contre la crise par nos gouvernants, risquerait d’être perçue plus tard comme une alternative aux gestes barrière pour lutter contre la maladie si des personnes étaient contraintes de l’utiliser. Et, dans un effet pervers, cette application pourrait provoquer l’apparition d’un faux sentiment de sécurité sanitaire, comme le suggère Baptiste Robert33, sentiment qui conduirait à une diminution de la vigilance donc à une augmentation des risques de contamination.

Il n’est pas inutile de rappeler que, d’après le Gouvernement, le virus peut se transmettre « par contact indirect, via des objets ou surfaces contaminées par une personne porteuse. Le virus est ensuite transmis à une personne saine qui manipule ces objets, quand elle porte ses mains à la bouche34. ». Ce mode de contamination n’implique donc pas forcément la présence simultanée de personnes dans un même lieu.

Observons le monde qui nous entoure…

À Singapour, l’application TraceTogether a été déployée par le Gouvernement, plus ou moins selon le même principe que StopCovid. Seulement 20% de la population a fait le choix de s’inscrire dans le dispositif qui s’est par ailleurs très rapidement transformé, comme on pouvait s’y attendre, en outil de surveillance de masse35.

« Si vous me demandez si un système de traçage de contacts Bluetooth déployé ou en cours de développement, partout dans le monde, est prêt à remplacer la recherche de contacts manuelle, je répondrai sans réserve que la réponse est non ».

Jason Bay, directeur senior de l’Agence nationale des services numériques singapourienne (SGDS)36

En Australie, l’application gouvernementale COVIDSafe a été installée sur le smartphone de 24% de la population, mais n’a permis de déceler qu’un seul cas37.

« La qualité de la connexion Bluetooth et le fonctionnement de l’application se dégradent progressivement si l’on passe en tâche de fond et si le téléphone est verrouillé ».

Randall Brugeaud, directeur de l’agence en charge du déploiement de COVIDSafe38.

Au Ghana, seulement 35% de la population dispose d’un smartphone, limitant considérablement l’efficacité potentielle de l’application GH COVID-19 Tracker développée par le gouvernement. Mahamudu Bawumia, le Vice-Président du pays, a précisé que l’application mobile déployée par son gouvernement aidera à localiser facilement les personnes atteintes du virus et celles qui ont été en contact avec des malades. D’après lui, elle permettra également d’aider les autorités à « faire respecter la quarantaine, pour les personnes qui en auraient besoin » à condition que tout le monde ait bien téléchargé l’application39

En Colombie, la fonctionnalité de traçage de l’application CoronApp, déployée par le Gouvernement, a été retirée après la découverte de dysfonctionnements techniques40. Le pays envisage d’adopter la technologie Google-Apple en faisant le choix de confier à ces multinationales américaines les données collectées.

En République Tchèque, début mai, soit trois semaines après la sortie de eRouška, l’application de traçage gouvernementale tchèque, on dénombrait seulement 160 000 téléchargements pour 10 millions d’âmes, soit 1,6% de la population41.

Au même moment dans le même pays, sur un autre système de traçage privé proposé par Mapy.cz et utilisant les coordonnées GPS, on enregistrait plus d’un million de partages de position et 350 000 personnes transmettaient leurs données de localisation en continu42.

En Hongrie, l’application VírusRadar, uniquement disponible sur Android, envoie les numéros de téléphone des personnes, qui l’utilisent et l’y autorisent, à l’autorité épidémiologique lorsqu’elles sont contaminées. Elle a été téléchargée plus de 17 000 fois43 pour environ 9,7 millions de personnes, soit à peu près 0,2% de la population.

En Islande, 38% de la population a téléchargé l’application Rakning C-19 déployée par le Gouvernement début avril. Il s’agirait, d’après le MIT Technology Review, du taux de pénétration le plus élevé au monde pour une application de pistage. Cependant, les membres du Gouvernement islandais ne sont pas satisfaits et estiment que l’application n’a pas changé la donne.

“Cette technologie est plus ou moins satisfaisante… Je ne dirais pas qu’elle est inutile, mais elle n’est pas parfaite. La combinaison de plusieurs méthodes de tracking pourrait en revanche donner des résultats plus pertinents. Rakning C-19 s’est avérée utile dans quelques cas, mais cela n’a pas changé la donne sur la propagation du virus pour notre pays.”

Gestur Pálmason, inspecteur de police en charge de l’application44.

En Inde, l’application Aarogya Setu, rendue quelques temps obligatoire45 par le Gouvernement pour des millions de personnes46, a été téléchargée 100 millions de fois en deux mois pour une population indienne de 1,3 milliards de personnes, soit un taux de pénétration d’un peu moins de 8%.C’est toute la population active de l’Inde, ainsi que toutes les personnes résidant dans les zones de confinement, qui ont été contraintes de télécharger une application beaucoup plus dangereuse que n’importe quelle autre pour les libertés individuelles et la protection de la privée de la population compte tenu des politiques ultra laxistes actuellement appliquées dans ce pays47.

En Russie, le Gouvernement a laissé libre court à son inclination à une surveillance globale de sa population comme en atteste l’enquête publiée le 26 mai dernier par France Culture48.

La Belgique a, quant à elle, renoncé pour le moment à utiliser une application de traçage, estimant que le taux de pénétration d’un tel outil serait de toute façon insuffisant pour être efficace49.

Pour ce qui concerne la France…

Nous pensons que les moyens financiers et le temps consacré au déploiement et à la promotion de ce type d’applications sont un gâchis n’ayant aucun autre but que de tenter de masquer l’absence de solutions concrètes et un simulacre de palliatif à des politiques destructrices pour le service public.

Le Parti Pirate a toujours accordé une importance particulière au respect des libertés individuelles et à la protection des données personnelles en rejetant toute forme de surveillance généralisée, l’idée même de ce genre d’application va à l’encontre de nos principes les plus élémentaires.

C’est pour toutes ces raisons, et bien d’autres exprimées par bon nombre de spécialistes en la matière, que nous exhortons notre Gouvernement à cesser de chercher à promouvoir une solution inefficace pour cacher son incapacité à faire face à la crise sanitaire que nous traversons.