En 2020, un virus peut-il banaliser la surveillance de masse globale ?

TL;DR : Adoptez les gestes barrières contre la surveillance de masse généralisée : n’installez pas StopCovid.

Le 27 mai 2020, l’Assemblée Nationale a voté la mise en place de l’application StopCovid à partir du 2 juin, avec 338 voix pour et 215 contre (1), suivie dans la nuit par le Sénat avec 186 voix pour et 127 contre (2).

StopCovid (3) est une application proposée par le Gouvernement français pour tracer les rencontres des personnes qui accepteront de la télécharger afin de les prévenir en cas de contact potentiel avec une personne atteinte de la maladie à coronavirus 2019. 

Le Parti Pirate s’oppose fermement à l’utilisation de cette application et exprime ses craintes concernant l’exploitation des données personnelles et la protection de la vie privée de toutes personnes qui y auront recours dans notre pays.

Quelques précisions quant à l’efficacité potentielle de cette application…

Dans un monde idéal, le système technologique mis en place par un Gouvernement chercherait à protéger en priorité les personnes les plus vulnérables. Il faudrait donc que la totalité des personnes fragiles dispose d’un smartphone. Avec l’application. Et qu’elle fonctionne en continu. Et que la totalité des personnes qu’ils rencontrent aient également un smartphone. Avec l’application. Qui fonctionne en continu. Vous trouvez que ça fait beaucoup de conditions ? 

Nous savons, d’après les informations mises à notre disposition par le Gouvernement dans le Baromètre Numérique 2019 (4), que seulement 77% de la population française âgée de plus de 12 ans disposait d’un smartphone l’an dernier. Cette proportion descend à 44% pour les plus de 70 ans.

Nous savons aussi que l’application portée par notre Gouvernement ne pourra pas fonctionner correctement sur des appareils Apple équipés d’un système d’exploitation iOS. Il se trouve que, pour diverses raisons résumées dans cet article de Numerama (5), Apple limite l’utilisation de la technologie Bluetooth sur ses appareils.

Et nous n’avons pas oublié que le bras de fer entamé par Cédric O avec le géant du numérique n’a finalement jamais abouti à un quelconque changement de politique de leur part. 

De la même manière, les appareils équipés du système d’exploitation Android en version 8 et suivantes imposent aux applications des restrictions d’utilisation du Bluetooth. Une application qui fait des scans Bluetooth, comme StopCovid, est ainsi automatiquement coupée au bout de 15 minutes dès lors qu’elle passe en arrière plan. (6)

Ces multiples restrictions de sécurité vont bien souvent contraindre les personnes qui utiliseront l’application à la conserver strictement ouverte au premier plan pendant toute la durée souhaitée de fonctionnement pour lui permettre de fonctionner comme prévu, limitant ainsi l’utilisation qui peut être faite du smartphone par ailleurs. (7)

On ne pourra donc établir l’existence d’un « contact » entre deux personnes uniquement à condition qu’elles aient toutes les deux un smartphone, qu’ils soient munis de cette application et que celle-ci soit lancée au premier plan.

Mais qu’est ce qu’un « contact » ?

Le Gouvernement prescrit qu’un « contact » doit être considéré comme établi dès lors que deux personnes se trouvent à une distance de moins d’un mètre pendant une durée d’au moins 15 minutes. (8)

Or, pour déterminer à quelle distance un smartphone A se situe d’un smartphone B, l’application utilise la valeur captée par le smartphone A de la puissance de réception du signal Bluetooth émis par le smartphone B. Mais déterminer une distance à partir d’une puissance de signal enregistrée est loin d’être simple, puisque la multiplicité des facteurs autres que la distance pouvant jouer sur cette mesure de puissance rend toute méthode de détermination de distance, par nature, imprécise et remet donc en cause sa fiabilité (modèle de la puce Bluetooth du téléphone, réglage de sa puissance, qualité de l’antenne, présence sur la trajectoire de corps pouvant causer des interférences…). (9)

Aussi, l’application va forcément prendre en compte des personnes situées à plus d’un mètre de distance, générant ainsi un nombre certain de faux-positifs.

Marie Turcan, rédactrice en chef de Numerama, a établi une première liste de conditions pour qu’une telle application soit efficace… (10) Cela se passe de commentaire.

Quid des données personnelles ?

Le Gouvernement français a fait le choix, sur la recommandation de l’INRIA (11), d’un système centralisé qui sauvegardera un identifiant unique pour chaque appareil qui lancera l’application. (12)

Notons en passant le choix de passer par un système centralisé géré par Microsoft en opposition à une solution décentralisée proposée par Apple/Google (13) L’idée était peut-être, pour notre Gouvernement, de choisir le moins pire entre la peste et le choléra…

Ce choix de centraliser les données peut porter préjudice à notre droit à la vie privée. Corréler les informations contenues dans la base de données de l’application avec les journaux de connexions entre les smartphones et le serveur permettrait de lever le pseudonymat initialement prévu par le dispositif StopCovid et de tracer une personne utilisant l’application. (14)

Si Cédric O ne partage pas l’idée d’une « tendance pavlovienne des gouvernements à détourner des technologies pour en faire des outils de surveillance » (15), on peut tout de même noter qu’en France, un fichier de police a déjà été détourné en avril dernier pour repérer les récidivistes qui violent le confinement (16).

Cette information vient donc contredire directement le Secrétaire d’État chargé du numérique et remettre en cause la confiance que l’on devrait prêter à notre Gouvernement, et à travers lui à notre police. 

En outre, comme Cédric O l’a indiqué devant l’Assemblée Nationale, l’application va avoir recours à ReCaptcha, outil proposé par Google, avec une politique de confidentialité très vague quant aux données personnelles qu’il récupère (17), et sur qui la France et l’Europe ont prouvé, avec, par exemple, l’efficacité relative de la directive Copyright, qu’elles n’avaient aucune emprise (18)

Même si le Gouvernement a fait la promesse de remplacer ReCaptcha par une solution développée par Orange (19), il faudra attendre quelques semaines (deux, croyons-le, soyons optimistes) pour que le système de Google cède sa place à un système franco-français dont on ignore encore si le code sera publié (20), et qui aurait peut-être dû être créé avant le lancement de StopCovid.

Tout cela, ainsi que la Quadrature du Net l’a signalé (21), remet en question la sûreté des données des utilisateurs ainsi que la fameuse « souveraineté numérique de la France » tant fantasmée par notre cher Gouvernement (22).

Le Parti Pirate tient à saluer l’ouverture du code source de l’application StopCovid par l’INRIA (23), toutefois nous préférons rappeler que, même s’il sera possible de le vérifier après la publication de l’application, rien ne garantit que la version finale du code de cette application aura été compilée à partir du code source partagé.

Comme le dit Hubert Guillaud, le risque ici c’est « de faire évoluer l’application par décrets et modification successive du code… pour finir par lui faire afficher qui a contaminé qui et quand, qui serait le meilleur moyen d’enterrer définitivement nos libertés publiques. » (24)

Pour le Parti Pirate, StopCovid marque une nouvelle étape dans la généralisation de la surveillance de masse. Nous avons malheureusement trop souvent constaté que les gouvernements ont montré, en France comme ailleurs dans le monde, une tendance à la mise en place de politiques de surveillance abusive en temps de crise qui, sous couvert de situations d’urgence, finissent par entrer dans la loi de manière permanente. (25) 

D’autant plus qu’aucune information n’a été communiquée sur la durée de la mise en place de cet outil. Jusqu’à la fin de l’urgence sanitaire ? Et si l’urgence sanitaire entrait dans le droit commun ?

En Chine, parfois prise en exemple ces derniers temps par nos gouvernants pour leur capacité prétendue à gérer la crise sanitaire que nous traversons (26), l’application mise en place pour détecter les porteurs du COVID-19 sera maintenue après la crise afin de « devenir un gardien de la santé pour les habitants » selon Zhou Jiangyong, secrétaire du Parti communiste du centre technologique de Hangzhou. (27)

Si « La CNIL se dit satisfaite de voir que ses principales recommandations ont été prises en compte depuis sa première délibération, comme un meilleur chiffrement et l’absence de la moindre conséquence négative si on ne veut pas se servir de l’application » (28), on a constaté que certains de nos élus cherchent déjà à briser le libre consentement en suggérant que les personnes qui accepteront d’installer et d’utiliser StopCovid bénéficient de davantage de droits que les autres (29), ou encore Cédric O qui sous-entendait de manière équivoque que ne pas utiliser l’application pourrait causer davantage de morts. (30)

Donc, si pour le moment rien n’oblige qui que ce soit à installer cette application en France, rien ne nous prouve pour autant que ne sera pas rendu obligatoire l’utilisation de StopCovid pour se rendre dans certains lieux publics, certaines écoles ou à son travail. En effet, l’obligation du port du masque dans un certain nombre de lieux a déjà été autorisée à demi-mots par notre Premier Ministre (31) alors que rien n’a été prévu par le Gouvernement pour que tout le monde puisse en avoir à sa disposition gratuitement.

Une chose est sûre, l’application à elle seule ne suffirait pas pour lutter contre le virus. 

Le Parti Pirate, conscient de l’état plus que déplorable du système de santé en France, a voté en avril dernier un point de programme pour la mise en place de mesures d’urgence pour les hôpitaux. (32)

Nous sommes convaincus que, pour qu’une telle application soit véritablement utile, en plus de devoir surmonter tous les problèmes précédemment exposés, elle doit impérativement s’accompagner d’une politique de santé efficace.

Cette application StopCovid, vendue aujourd’hui comme un outil contre la crise par nos gouvernants, risquerait d’être perçue plus tard comme une alternative aux gestes barrière pour lutter contre la maladie si des personnes étaient contraintes de l’utiliser. Et, dans un effet pervers, cette application pourrait provoquer l’apparition d’un faux sentiment de sécurité sanitaire, comme le suggère Baptiste Robert (33), sentiment qui conduirait à une diminution de la vigilance donc à une augmentation des risques de contamination.  

Il n’est pas inutile de rappeler que, d’après le Gouvernement, le virus peut se transmettre « par contact indirect, via des objets ou surfaces contaminées par une personne porteuse. Le virus est ensuite transmis à une personne saine qui manipule ces objets, quand elle porte ses mains à la bouche. » (34) Ce mode de contamination n’implique donc pas forcément la présence simultanée de personnes dans un même lieu.

Observons le monde qui nous entoure…

À Singapour, l’application TraceTogether a été déployée par le Gouvernement, plus ou moins selon le même principe que StopCovid. Seulement 20% de la population a fait le choix de s’inscrire dans le dispositif qui s’est par ailleurs très rapidement transformé, comme on pouvait s’y attendre, en outil de surveillance de masse. (35)

« Si vous me demandez si un système de traçage de contacts Bluetooth déployé ou en cours de développement, partout dans le monde, est prêt à remplacer la recherche de contacts manuelle, je répondrai sans réserve que la réponse est non ».

Jason Bay, directeur senior de l’Agence nationale des services numériques singapourienne (SGDS) (36)

En Australie, l’application gouvernementale COVIDSafe a été installée sur le smartphone de 24% de la population, mais n’a permis de déceler qu’un seul cas (37).

« La qualité de la connexion Bluetooth et le fonctionnement de l’application se dégradent progressivement si l’on passe en tâche de fond et si le téléphone est verrouillé ».

Randall Brugeaud, directeur de l’agence en charge du déploiement de COVIDSafe. (38)

Au Ghana, seulement 35% de la population dispose d’un smartphone, limitant considérablement l’efficacité potentielle de l’application GH COVID-19 Tracker développée par le gouvernement. Mahamudu Bawumia, le Vice-Président du pays, a précisé que l’application mobile déployée par son gouvernement aidera à localiser facilement les personnes atteintes du virus et celles qui ont été en contact avec des malades. D’après lui, elle permettra également d’aider les autorités à « faire respecter la quarantaine, pour les personnes qui en auraient besoin » à condition que tout le monde ait bien téléchargé l’application… (39)

En Colombie, la fonctionnalité de traçage de l’application CoronApp, déployée par le Gouvernement, a été retirée après la découverte de dysfonctionnements techniques (40). Le pays envisage d’adopter la technologie Google-Apple en faisant le choix de confier à ces multinationales américaines les données collectées.

En République Tchèque, début mai, soit trois semaines après la sortie de eRouška, l’application de traçage gouvernementale tchèque, on dénombrait seulement 160 000 téléchargements pour 10 millions d’âmes, soit 1,6% de la population. (41) 

Au même moment dans le même pays, sur un autre système de traçage privé proposé par Mapy.cz et utilisant les coordonnées GPS, on enregistrait plus d’un million de partages de position et 350 000 personnes transmettaient leurs données de localisation en continu. (42)

En Hongrie, l’application VírusRadar (43), uniquement disponible sur Android, envoie les numéros de téléphone des personnes, qui l’utilisent et l’y autorisent, à l’autorité épidémiologique lorsqu’elles sont contaminées. Elle a été téléchargée plus de 17 000 fois (44) pour environ 9,7 millions de personnes, soit à peu près 0,2% de la population. 

En Islande, 38% de la population a téléchargé l’application Rakning C-19 déployée par le Gouvernement début avril. Il s’agirait, d’après le MIT Technology Review, du taux de pénétration le plus élevé au monde pour une application de pistage. Cependant, les membres du Gouvernement islandais ne sont pas satisfaits et estiment que l’application n’a pas changé la donne. 

“Cette technologie est plus ou moins satisfaisante… Je ne dirais pas qu’elle est inutile, mais elle n’est pas parfaite. La combinaison de plusieurs méthodes de tracking pourrait en revanche donner des résultats plus pertinents. Rakning C-19 s’est avérée utile dans quelques cas, mais cela n’a pas changé la donne sur la propagation du virus pour notre pays.”

Gestur Pálmason, inspecteur de police en charge de l’application. (45)

En Inde, l’application Aarogya Setu, rendue quelques temps obligatoire (46) par le Gouvernement pour des millions de personnes (47), a été téléchargée 100 millions de fois en deux mois pour une population indienne de 1,3 milliards de personnes, soit un taux de pénétration d’un peu moins de 8%.C’est toute la population active de l’Inde, ainsi que toutes les personnes résidant dans les zones de confinement, qui ont été contraintes de télécharger une application beaucoup plus dangereuse que n’importe quelle autre pour les libertés individuelles et la protection de la privée de la population compte tenu des politiques ultra laxistes actuellement appliquées dans ce pays. (48)

En Russie, le Gouvernement a laissé libre court à son inclination à une surveillance globale de sa population comme en atteste l’enquête publiée le 26 mai dernier par France Culture. (49)

La Belgique a, quant à elle, renoncé pour le moment à utiliser une application de traçage, estimant que le taux de pénétration d’un tel outil serait de toute façon insuffisant pour être efficace. (50)

Pour ce qui concerne la France…

Nous pensons que les moyens financiers et le temps consacré au déploiement et à la promotion de ce type d’applications sont un gâchis n’ayant aucun autre but que de tenter de masquer l’absence de solutions concrètes et un simulacre de palliatif à des politiques destructrices pour le service public.

Le Parti Pirate a toujours accordé une importance particulière au respect des libertés individuelles et à la protection des données personnelles en rejetant toute forme de surveillance généralisée, l’idée même de ce genre d’application va à l’encontre de nos principes les plus élémentaires.

C’est pour toutes ces raisons, et bien d’autres exprimées par bon nombre de spécialistes en la matière, que nous exhortons notre Gouvernement à cesser de chercher à promouvoir une solution inefficace pour cacher son incapacité à faire face à la crise sanitaire que nous traversons.

Sources    

(1) Coronavirus: feu vert de l’Assemblée à StopCovid, la France attend l’acte II du déconfinement – Agence France Presse – 27/05/2020
(2) Stop Covid : le Sénat approuve à son tour l’application de traçage numérique – Public Sénat – 28/05/2020
(3) StopCovid – Site du Ministère de l’Économie – Version du 21/05/2020
(4) Baromètre du Numérique 2019 – Site du Ministère de l’Économie
(5) StopCovid : Apple refuse de céder à la France, Cédric O feint l’étonnement – Numerama – 05/05/2020
(6) Beacon Detection With Android 8, rubrique What’s Changing – David G. Young Tech – 07/05/2017
(7) Julien Cadot, tweet du 27/05/2020
(8) StopCovid: le gouvernement veut rassurer sur le fonctionnement de l’appli de « traçage » des cas contacts – BFM TV – 21/05/2020
(9) Inferring distance from Bluetooth signal strength: a deep dive – Medium – 19/05/2020
(10) Marie Turcan, tweet du 26/05/2020
(11) Contact tracing: l’Inria riposte avec sa propre analyse des risques… et défend le modèle centralisé – 01net – 07/05/2020
(12) Protocole Robert V 1.0, Paragraphe 2.2. « Initialization », 19/04/2020
(13) Why StopCOVID Fails as a Privacy-Preserving Design, Nadim Kobeissi, 27/05/2020
(14) Laurent Chemla, tweet du 30 mai 2020
(15) LCP, tweet du 27/05/2020
(16) Coronavirus : un fichier de police détourné pour repérer les récidivistes qui violent le confinement – Le Monde – 15/04/2020
(17) RGPD – UFC Que Choisir s’attaque à Google et son utilisation de nos données personnelles – Clubic – 26/06/2019
(18) Directive Copyright : Google ne compte pas rémunérer les médias français – Clubic – 25/09/2019
(19) Stop Covid : le Sénat approuve à son tour l’application de traçage numérique – Public Sénat – 28/05/2020
(20) Cédric Levieux, tweet du 30 mai 2020
(21) La Quadrature du Net, tweet du 27/05/2020
(22) Avec « Inria 2023 », l’État vise la souveraineté numérique en construisant un leadership scientifique – Clubic – 19/02/2020
(23) L’équipe-projet StopCovid démarre la publication du code source et de la documentation de l’application StopCovid – INRIA – 12/05/2020
(24) StopCovid : le double risque de la « signose » et du « glissement » – Socialter – 14/04/2020
(25) Etat d’urgence : L’assemblée vote l’inscription dans la Constitution – Ouest-France – 08/02/2016
(26) Coronavirus : le nouveau ministre de la Santé souligne l’efficacité de la censure chinoise – RTL – 18/02/2020
(27) En Chine, l’application de traçage numérique ne disparaîtra pas après la crise du Covid-19 – Siècle Digital – 27/05/2020
(28) Application StopCovid : que sait-on du projet français de traçage des contacts ? – Numerama – 28/05/2020 
(29) Plus de libertés si vous utilisez StopCovid : la proposition controversée d’un député – Numerama – 25/05/2020
(30) Le Parlement donne son feu vert à l’application StopCovid – L’Express – 27/05/2020
(31) Assemblée Nationale, XVe législature, Session ordinaire de 2019-2020, Séance du mardi 28 avril 2020
(32) Mesures d’urgence pour la santé et les hôpitaux, Programme du Parti Pirate voté en avril 2020 
(33) « StopCovid risque de donner un faux sentiment de sécurité » (Baptiste Robert) – Toulouse La Tribune – 28/05/2020 
(34) Comprendre le coronavirus – Page du site du Gouvernement – Version du 10/05/2020 
(35) Singapour : l’application de traçage numérique se transforme en outil de surveillance de masse – Siècle Digital – 08/05/2020 
(36) Tech isn’t solution to COVID-19, says Singapore director of contact tracing app – Cnet – 13/04/2020 
(37) Australie : Le « StopCovid » du pays a identifié un seul cas malgré les millions de téléchargements – 20 minutes – 25/05/2020
(38) Covidsafe : le StopCovid australien controversé qui marche mal sur iPhone – Les Numériques – 09/05/2020
(39) Ghana : une application pour traquer les cas suspects de Coronavirus – Afrik – 17/04/2020
(40) Colombia had to abandon contact tracing from its coronavirus app because it didn’t work properly – Business Insider – 07/05/2020 
(41) Aplikaci eRouška si mohou nově stáhnout i uživatelé iPhonů. Je součástí chytré karantény – iROZHLAS.cz – 04/05/2020
(42) V Česku se rozjela chytrá karanténa. Aplikace eRouška je konečně i pro iPhone, na Androidu ji má 160 tisíc lidí – Czechcrunch – 05/04/2020
(43) Koronavírus: letölthető a magyar kontaktkövető alkalmazás – Bitport – 14/05/2020 
(44) 17 ezren töltötték le eddig a magyar koronavírus alkalmazást, ami megmondja, hogy voltál-e fertőzött közelében – Portfolio – 21/05/2020 
(45) En Islande 40% de la population utilise Rakning C-19, l’application de traçage numérique – Siècle Digital – 12/05/2020 
(46) Elliot Alderson – Tweet du 17/05/2020
(47) L’Inde ordonne à ses travailleurs de télécharger une app de contact tracing Covid-19 – Zdnet – 04/05/2020
(48) Covid-19 : Les dérives d’une application de contact tracing obligatoire en Inde – AndroidPit – 15/05/2020
(49) Des milliers de Moscovites dénoncent les ratés de leur application « StopCovid » – France Culture – 26/05/2020 
(50) Coronavirus : la Belgique renonce à une application de traçage des malades – Numerama – 23/04/2020

Autres sources pertinentes

risques-tracage.fr
Liste des applications COVID-19
Covid-19 : le traçage numérique en question – France Culture – 18/04/2020
Nos Arguments pour rejeter StopCovid – La Quadrature du Net – 14/04/2020
Worldometer
COVID-19 Dashboard by the Center for Systems Science and Engineering (CSSE) at Johns Hopkins University (JHU)