Covid-19. Retour sur l’échec de l’application StopCovid

Trois mois après son lancement, l’application française de suivi des contacts StopCovid a été téléchargée 2,4 millions de fois mais au moins 700 000 personnes l’ont déjà supprimée. Moins de 7 969 personnes se sont déclarées malades et à peine 472 « cas contacts » ont reçu une notification via l’application.

Lancée le 2 juin 2020 sur les magasins d’applications d’Apple et de Google, StopCovid devait servir à reconstituer automatiquement les liens de transmission de la maladie afin d’avertir celles et ceux qui avaient croisé une personne contaminée et de les inciter à réaliser un test de dépistage (voir La rem n°54, p.31). De l’aveu du premier Ministre Jean Castex, « StopCovid n’a pas obtenu les résultats que l’on espérait ».

Un lancement raté

La Cnil, gardienne de la protection des données personnelles, a procédé dès le 9 juin 2020 à un premier contrôle en ligne de l’application, puis à deux contrôles sur place les 25 et 26 juin. Elle a tout d’abord constaté plusieurs manquements aux dispositions du règlement général sur la protection des données (RGPD, voir La rem n°42-43, p.21) et de la loi Informatique et Libertés dans la première version de l’application, qui faisait remonter, selon ses propos, « l’ensemble de l’historique de contacts des utilisateurs au serveur central, et non les seuls contacts les plus susceptibles d’avoir été exposés au virus ». Ce qu’avait d’ailleurs découvert Gaëtan Leurent, chercheur français en cryptographie, qui a participé au développement de l’application StopCovid au sein de l’Inria (voir La rem n°54, p.31). Or si la Cnil a effectivement constaté la résolution de ce problème sur la nouvelle version de l’application lancée fin juin 2020, les deux versions de l’application ont coexisté, les utilisateurs de la première version n’ayant pas été contraints de procéder à la mise à jour. Les autres manquements, mineurs, ayant été résolus, la Cnil a clos le 3 septembre 2020 la mise en demeure adressée au ministère des solidarités et de la santé le 20 juillet 2020.

Le Comité de contrôle et de liaison Covid-19, chargé « d’évaluer, grâce aux retours d’expérience des équipes sanitaires de terrain, l’apport réel des outils numériques à leur action, et de déterminer s’ils sont, ou pas, de nature à faire une différence significative dans le traitement de l’épidémie » a rendu le 15 septembre 2020 un bilan très mitigé. Au-delà du nombre de téléchargements, l’application doit également être activée et consultée au moins une fois par mois, or le gouvernement communique très peu à propos de ces statistiques d’usage. De l’aveu du comité de contrôle, « le nombre de notifications à des cas contacts est inférieur à 200 sur trois mois, ce qui est dérisoire ». Cet échec s’explique-t-il par les choix techniques de la France ? En avril 2020, l’exécutif a effectivement dû choisir entre une approche décentralisée, proposée par Google et Apple, et une approche centralisée, avec un protocole « maison ». Après d’âpres tensions au sein même du gouvernement, la France a finalement préféré, notamment pour une question de souveraineté numérique, une approche centralisée en s’appuyant sur le protocole ROBERT (ROBust and privacy-pres-ERving proximity Tracing), développé par l’Inria et l’institut allemand Fraunhofer pour la sécurité appliquée et intégrée (AISEC, voir La rem n°54, p.31). Et l’Allemagne d’avoir rapidement quitté le projet.

La France isolée

Trente-cinq pays dans le monde dont quatorze européens et treize États américains développent ou ont développé une application de suivi des contacts en utilisant l’Exposure Notification API (API : Application Programming Interface), développée conjointement par Google et Apple. Cette API fonctionne sur un modèle dit « décentralisé », c’est-à-dire que les identifiants de chaque utilisateur sont générés par l’application, stockés directement dans les smartphones et circulent entre chaque appareil lorsqu’un utilisateur s’est déclaré malade. Ces API outrepassent certaines limitations matérielles, notamment liées au Bluetooth des appareils, et sont intégrées au sein même de la dernière version des systèmes d’exploitation de Google et d’Apple. Ce « système de notifications d’exposi­tion » n’est cependant qu’une API, un ensemble de fonctions par lesquelles un logiciel offre des services à d’autres logiciels. Ainsi, l’API de Google et celle d’Apple ne fonctionnent qu’à travers une application préalablement développée par l’autorité sanitaire du pays qui aura fait le choix d’utiliser ces outils.

C’est notamment le cas, en Europe, de l’Allemagne, qui s’est rapidement désolidarisée de l’utilisation du protocole ROBERT. L’application allemande Corona-Warn-App a été téléchargée 17,8 millions de fois, soit par plus de 21 % de la population, plusieurs centaines de personnes s’étant déclarées malades à travers l’application. Steffen Seibert, porte-parole du gouvernement allemand déclarait : « Ce n’est pas la panacée mais un outil supplémentaire précieux pour détecter et interrompre les chaînes d’infection. ». Immuni en Italie, Stopp Corona en Autriche, eRouška en République tchèque, Smittestop au Danemark, StayAwayCovid au Portugal ou encore Hoia en Estonie sont quelques-unes des applications nationales développées à partir des API proposées par le duo américain. Ces outils ont été plus ou moins bien accueillis par la population et les associations de défense des libertés publiques.

En septembre 2020, la Commission européenne a expérimenté une infrastructure technique consacrée à la recherche de cas contact au-delà des frontières de chaque pays européen. La République tchèque, le Danemark, l’Allemagne, l’Irlande, l’Italie et la Lettonie participent, à travers leur propre application de suivi des contacts reposant sur l’API de Google et Apple, à ce système d’information mis en œuvre par T-Systems et SAP, qui sera exploité à partir du centre de données de la Commission à Luxembourg. Ce système à l’échelle européenne ne traitera aucune autre information que « les clés aléatoires », correspondant aux identifiants de chaque utilisateur, générées par les applications nationales de suivi des contacts (voir La rem n°54, p.31) : « Les informations échangées sont pseudonymisées, cryptées, réduites au minimum et stockées aussi longtemps que nécessaire pour retracer les infections et ne permettent pas l’identification des personnes individuelles. »

La France, par ses choix techniques, semble bien isolée face à cette action commune menée par la Commission. Cédric O, secrétaire d’État chargé de la transition numérique, a annoncé fin juin 2020 que l’application nationale StopCovid avait coûté chaque mois entre 80 000 euros (en juillet 2020) et 120 000 euros (en décembre 2019), ajoutant que le budget prévoyait également des dépenses optionnelles « d’appui au support utilisateur » de 50 000 euros par mois ainsi que des dépenses « liées au déploiement », de l’ordre de 30 000 par mois. Il resterait cependant un moyen d’inciter fortement les Français à télécharger l’application. Selon le quotidien L’Opinion, le gouvernement réfléchissait, mi-septembre 2020, à donner aux utilisateurs de l’application StopCovid un accès prioritaire aux laboratoires d’analyses. « Ce n’est pas une idée farfelue mais rien ne dit qu’elle sera retenue dans les prochains jours », commentait alors l’Élysée. C’était oublier que l’installation de l’application est avant tout basée sur le volontariat et qu’elle ne pourra en aucun cas conditionner l’accès à des tests ou à des soins.

Les différences culturelles pourraient-elles expliquer le succès ou l’échec de ces applications de suivi des contacts ? Singapour a longtemps été citée en exemple pour avoir, dès le 20 mars 2020, développé et lancé une application de suivi des contacts, téléchargée par 20 % de la population. Elle n’aura cependant pas permis d’endiguer une deuxième vague d’épidémie un mois plus tard ni d’empêcher le confinement de sa population. Courant avril 2020, le gouvernement singapourien a imposé à quiconque pénétrait dans un bâtiment public, un centre commercial ou encore une entreprise, de scanner un QR Code à l’entrée pour envoyer l’ensemble de ses données personnelles, nom, prénom, adresse, numéro de téléphone à un système d’information centralisé nommé SafeEntrey : un pistage massif contraire aux libertés publiques et très loin des valeurs européennes, vigilantes en qui concerne la maîtrise des données personnelles.

L’expérience des pays ayant enregistré le plus fort taux d’installations d’application de suivi des contacts montre qu’à elle seule, la technologie ne sert à rien. Le risque est celui d’un solutionnisme technologique (voir La rem n°33, p.60) souvent déconnecté de la réalité et de ce que souhaitent les utilisateurs. Rakning C-19, l’application islandaise, enregistre les données GPS des utilisateurs et, avec leur autorisation, permet d’examiner leurs déplacements lorsque l’un d’eux se révèle malade. Gestur Pálmason, inspecteur de police qui supervise les efforts de recherche des cas contacts en Islande expliquait en mai 2020 : « La technologie est plus ou moins… Je ne dirais pas qu’elle est inutile […]. Mais c’est l’intégration des deux [l’application de suivi des contacts combinée à des techniques de traçage manuel comme les appels téléphoniques] qui donne des résultats. Je dirais que Rakning C-19 s’est avéré utile dans quelques cas, mais cela n’a pas changé la donne pour nous. »

De nombreux médias, en France comme à l’étranger, ont cité une étude publiée dans la revue Science du 8 mai 2020 expliquant qu’une application de suivi des contacts serait inefficace au-dessous d’un taux d’adoption par la population d’au moins 60 %. En fait, l’étude réalisée par Christophe Fraser, épidémiologiste des maladies infectieuses, et ses collègues à l’université d’Oxford, indique plutôt, à partir d’une modélisation mathématique, que si un pays ne prenait aucune autre mesure de lutte contre la pandémie que la mise en place d’une application de suivi des contacts, il faudrait que le taux d’utilisation de cet outil atteigne 56 % de la population (soit environ 80 % des détenteurs de smartphone) afin de parvenir à réduire la propagation du virus en dessous du seuil de contrôle de l’épidémie. Relayer ce chiffre sans davantage d’explications n’a fourni en fait aucune information de bon sens. Nul pays au monde ne s’est soustrait aux autres mesures de lutte contre la pandémie. En réalité, l’étude précise que « l’application devrait être un outil parmi les nombreuses mesures préventives générales de la population telles que la distanciation physique, l’hygiène des mains, le port du masque et une désinfection régulière ».

Tout en regrettant ces fausses déclarations dans les médias, l’épidémiologiste à l’École polytechnique fédérale de Lausanne, Marcel Salathé, estime quant à lui, qu’une application de suivi des contacts pourrait même prévenir des infections à un niveau bien inférieur à 60 % : « Dès que vous avez [un taux d’adoption à] deux chiffres, je pense que l’effet est déjà assez important ». En attendant, si 2,4 millions de Français ont téléchargé l’application et si 700 000 l’ont déjà supprimée, le taux d’adoption en France est très légèrement supérieur à 2 %. Seul l’avenir dira si une communication plus efficace du gouvernement et le rebond de l’épidémie inciteront plus de personnes à utiliser StopCovid.

Face à cet échec, le président de la République a lui-même annoncé lors d’une allocution télévisée le 14 octobre 2020, comme la Chancelière Angela Merkel l’avait fait pour l’application allemande Corona-Warn-App en juin 2020, le lancement d’une nouvelle version de l’application française le 22 octobre 2020. Baptisé « TousAntiCovid », ce nouvel outil sera complété d’informations en temps réel sur la maladie et de notifications locales, notamment pour diffuser les restrictions en vigueur à l’échelle de l’utilisateur.

Sources :

  • « Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing », Luca Ferretti, Chris Wymant, Michelle Kendall, Lele Zhao, Anel Nurtay, Lucie Abeler-Dörner, Michael Parker, David Bonsall, Christophe Fraser, Science, May 8, 2020.
  • « Nearly 40 % of Icelanders are using a covid app – and it hasn’t helped much », Bobbie Johnsonarchive, MIT Technology Review, May 11, 2020.
  • « COVID-19 contact tracing apps are coming to a phone near you. How will we know whether they work ? », Kelly Servick, sciencemag.org, May 21, 2020.
  • « Le flop mondial des applis de contact tracing », Cécile Lemoine, L’Opinion, 21 juillet 2020.
  • « Coronavirus : les fortunes diverses des applications de traçage en Europe », Jules Bonnard, TV5monde.com, 9 septembre 2020.
  • « Here are the countries using Google and Apple’s COVID-19 Contact Tracing API », Mishaal Rahman, XDA-Developers, September 14, 2020.
  • « Europe starts testing app interoperability service to power cross-border COVID-19 exposure », Natasha Lomas, Techcrunch.com, September 14, 2020.
  • « Pour se faire tester plus vite, faudra-t-il installer l’application StopCovid ? », Matthieu Deprieck, lopinion.fr, 15 septembre 2020.
  • « StopCovid : Quel avenir pour l’application décriée de contact tracing « made in France » ? », Alice Vitard, usine-digitale.fr, 18 septembre 2020.
  • « Ce que l’on sait d’Alerte Covid, la nouvelle version de l’appli StopCovid », Julien Baldacchino, franceinter.fr, 12 octobre 2020. 

1 COMMENTAIRE

  1. Bonjour,
    Merci pour votre article.
    N’étant pas un spécialiste, je me pose la question suivante : l’application de traçage française est-elle installable sur un téléphone portable sous Android au départ de dépôts non pisteurs (tels FDroid) et le code source est-il disponible (ouvrant la possibilité d’utiliser l’application en dehors des écosystèmes (semi-)fermés (OS autres qu’Android) ? Je crois savoir que ce n’est pas le cas pour l’application française ; par contre, il me semble avoir lu que c’était le cas de solutions déployées dans d’autres pays de l’UE. Je pose la question car, au-delà de la confiance à accorder aux autorités sans possibilité de vérification aucune au-delà de leurs dires, on obtiendra pas la confiance d’une partie de la population (dont je fais partie) tant que le code sera fermé (il ne s’agit pas de complotisme, c’est l’inverse : pouvoir, entre autres, démontrer aux esprits complotistes, qu’il n’y a rien à redouter en matière de confidentialité et de protection de la vie privée, du moins au niveau de l’application).

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici