«Stop-Covid» «Tous Anti Covid»: Non au pistage par smartphone!

Contexte: j'ai créé cette page le 20 avril 2020 pour expliquer pourquoi le pistage par smartphone, envisagé par le gouvernement français et par d'autres gouvernements pour maîtriser l'épidémie du Covid-19 (coronavirus), est une très mauvaise idée, car il est à la fois inefficace et liberticide. Depuis, l'application a effectivement été lancée, sous le nom «Stop Covid», elle n'a eu aucun succès, et n'a identifié à peu près aucune situation de risque de contamination. Elle a ensuite été rebaptisée «Tous Anti Covid», et le gouvernement est en train de la rendre de plus en plus indispensable: d'abord elle permettait d'afficher une «attestation» (fiche de sortie du domicile) numérique alors que la version papier était de plus en plus compliquée, changeante, et mise en ligne uniquement le jour même où elle est obligatoire. Puis le gouvernement veut la transformer en «passeport sanitaire», à la chinoise, comme s'il n'était pas possible d'afficher sur un simple papier que quelqu'un a été testé négatif ou qu'il a été vacciné.

Sur cette page, j'utilise le mot «pistage», plutôt que le mot «tracking» utilisé par le gouvernement ou sa traduction en «traçage» qui relève de l'euphémisme, car la traduction précise de «tracking» est bien «pistage» (de «track» = «piste»). Il faut s'inquiéter lorsqu'un gouvernement ou tout autre pouvoir préfère utiliser un mot bizarre, plutôt que d'utiliser le mot qui décrit le mieux ce dont on parle.

De quoi s'agit-il?

L'exemple de Singapour: une efficacité citée en exemple, alors qu'elle est inexistante

Le modèle le plus souvent invoqué est l'application «TraceTogether» («Traçons ensemble»), créée par le gouvernement de Singapour et proposée à la population de cette ville-État sur la base du volontariat.

Ce modèle n'est pas rassurant, car Singapour est dirigée par un régime plutôt autoritaire (une «dictature éclairée», pour autant que cela existe). La moindre infraction y est punie de peines extravagantes (600€ pour un crachat par terre, la peine de mort pour la détention de 500g de cannabis). Certaines années, Singapour est le pays pratiquant le plus d'exécutions à mort par rapport à la population (d'autres années, il n'y a aucune exécution). Et la liberté de la presse est à peu près inexistante: Reporters Sans Frontières classe Singapour au 151^e rang en matière de liberté de la presse. Les rues y sont aussi propres qu'en Suisse, mais les libertés individuelles n'ont rien à voir avec ce qui existe en Suisse.

Au bout de quelques mois, le gouvernement a rendu public la code source de l'application smartphone (code ouvert) et a autorisé sa réutilisation (code libre). Comme l'épidémie a été efficacement maîtrisée à Singapour (au moins la première vague), on nous a dit que c'était grâce au pistage par smartphone. Ceci est faux, comme le montre la capture d'écran du site du gouvernement de Singapour:

Capture d'écran du site du gouvernement de Singapour, le 19 avril 2020: 1,1 million d'utilisateurs

Le gouvernement revendique donc 1,1 million d'utilisateurs, soit 19% de la population du pays. Et il s'agit probablement du nombre de téléchargements, puisque Google Play indique «500.000+ téléchargements». Le nombre de réels utilisateurs est plus faible que cela, car beaucoup d'utilisateurs téléchargent une application puis la désinstallent. Les avis laissés par les utilisateurs sur les magasins d'applications illustrent les inconvénients qu'ils ont rencontrés avec cette application:

Sur Apple: utilisateurs assez mécontents (3,1 étoiles sur 5) car on ne peut pas utiliser le téléphone lorsque l'application est en service, faute de quoi elle ne fonctionne pas bien, comme le montre cet avis (représentatif) et la réponse du gouvernement: « Sur iPhone, l'appli doit-elle être ouverte ou bien tourner en arrière-plan? Il y a beaucoup de confusion à ce sujet chez les utilisateurs d'iPhone. La plupart soutiennent que tant que l'appli est ouverte EN ARRIÈRE-PLAN pendant qu'ils surfent sur le web, regardent des vidéos ou font des jeux, elle restera efficace. Nous sommes quelques-uns à comprendre dans les instructions qu'il faut laisser l'appli ouverte et que nous ne pouvons donc PAS utiliser le téléphone pour appeler, etc., pour qu'elle fonctionne. Merci d'éclaircir ceci car 9 personnes sur 10 comprennent la première explication. Autrement ceci ne sera pas du tout efficace. Apple a une énorme part de marché ici et il y a ici beaucoup d'utilisateurs d'iPhone qui laissent l'application en arrière-plan uniquement. Réponse du développeur, Bonjour (...), Merci pour votre retour. Malheureusement, sur iOS, l'appli TraceTogether doit être en premier plan pour fonctionner le mieux possible, c'est pourquoi nous le recommandons pour de meilleurs résultats. Pour en savoir plus, merci de lire le manuel de développement d'Apple (...) Quand vous êtes dans des lieux très fréquentés et que vous n'utilisez pas activement votre téléphone, nous vous recommandons de mettre TraceTogether en premier plan en mode Économie d'Énergie pour faciliter le suivi des contacts. Si vous devez utiliser vos autres applications, pensez juste à revenir ensuite à TraceTogether quand vous avez terminé. En mode Économie d'Énergie, TraceTogether réduit la luminosité de l'écran pour minimiser et prolonger l'utilisation de la batterie mais reste en premier plan afin de pouvoir continuer à chercher d'autres téléphones avec TraceTogether. Vous pouvez activer le mode Économie d'Énergie en posant votre portable sur l'écran, ou en le gardant la tête en bas dans votre poche. Vous pouvez aussi cliquer sur le lien sur la page d'accueil de l'appli pour ces instructions.»

Source: App Store, TraceTogether Un avis du 21/03/2020 (3 étoiles sur 5) “Does app have to be open on iPhone or run in the background There’s a lot of confusion on the ground among iPhone users. Most insist that as long as the app is open IN THE BACKGROUND while they surf the web, watch videos and play games, it will continue to be effective. A few of us understand the instructions to mean that the app has to be open and we therefore canNOT be using the phone for calls, etc. in order for it to work. Please clarify as 9/10 people see to understand it as the former. Otherwise this is not going to be effective at all. Apple has a huge market share and there are many iPhone users out there leaving the app on in the background only. Developer Response, Hello (...), Thank you for your feedback. Unfortunately, on iOS, the TraceTogether app works best in the foreground, so that is what we recommend for better results. To learn more, please read Apple Developer’s documentation (...) When you are in crowded places and not actively using your phone, we recommend that you foreground the TraceTogether app in Power Saver Mode to help with contact tracing. If you need to use your other apps, just remember to switch back to TraceTogether when you are done. In Power Saver Mode, TraceTogether dims the screen to minimize and conserve battery usage but stays in the foreground so it can continue searching for other TraceTogether phones. You can activate Power Saver Mode by putting your mobile phone face down, or keeping it upside down if it’s in your pocket. You can also click on the link on the app home screen for these instructions.” NB: les textes sur fond bleu sont recopiés des sites internet d'Apple, de Google, et du gouvernement de Singapour. La traduction en français est de moi.

Sur Android, les utilisateurs sont plus satisfaits (note 3,8 étoiles sur 5) mais relèvent plusieurs problèmes sérieux qui empêchent parfois son utilisation: sur certains téléphones, l'application s'arrête inopinément sur d'autres téléphones, ce sont d'autres applications (musique par exemple) qui s'arrêtent les autres utilisations du Bluetooth ne fonctionnent plus (écouteurs, transfert de fichiers) le son est haché quand on écoute de la musique la batterie se vide beaucoup plus vite que d'habitude (d'après le gouvernement, cela ne devrait pas être le cas) la procédure de validation par SMS échoue parfois

Source: plusieurs avis sur Google Play, pour TraceTogether

Donc sur les 1,1 millions de personnes ayant installé l'application, une bonne partie l'a désinstallée pour ces différentes raisons, et parmi ceux qui l'ont conservée, 90% des utilisateurs sur iPhone la laissent en arrière-plan ce qui l'empêche de fonctionner correctement. Nul doute que ces problèmes techniques seront résolus, mais c'est la situation actuelle, au 20 avril 2020.

Cela signifie que lorsque deux personnes se rencontrent, la probabilité que les deux personnes aient téléchargé l'application TraceTogether est de 3,6% (19% au carré), et que la probabilité que les deux personnes aient l'application en fonctionnement est de seulement 1% (10% au carré).

Il va de soi qu'avec une probabilité aussi faible, l'application ne peut avoir aucune efficacité puisqu'au moins 99% des contaminations lui échapperaient, sans compter celles qui lui échapperaient même si toute la population était équipée (voir plus loin). Et donc, ce n'est absolument pas avec cette application que Singapour a réussi à maîtriser l'épidémie. Les raisons réelles du succès sont bien plus prosaïques:

• respect des règles de distance physique (plus traditionnel en Asie, où on ne se salue pas en se serrant la main ou en se faisant la bise),
• port généralisé du masque dans les lieux publics et en particulier les transports publics (eux, ils ont des masques et ils savent comment il faut les utiliser),
• diagnostic rapide des tous les cas suspects (eux, ils ont suffisamment de capacité de test),
• isolation stricte des malades (avec les moyens suffisants pour que les malades ne soient pas obligés de sortir pour différentes raisons),
• diagnostic et isolation préventive des proches des malades (avec de gros moyens humains pour identifier les chaînes de contamination et agir en conséquence, ce qu'un logiciel ne pourra jamais faire automatiquement).

En-dehors de l'efficacité des mesures prises, Singapour a peut-être également bénéficié d'un virus encore imparfaitement adapté aux humains et moins contagieux que les souches qui ont muté ultérieurement et se sont propagées en Europe et en Amérique, car la sélection naturelle sélectionne a priori les souches les plus contagieuses (ceci est bien sûr une simple hypothèse).

On voit que la France, comme d'autres, fait un pari technologique pour masquer son insuffisance dans les méthodes éprouvées de contrôle de l'épidémie, ou tout simplement pour se doter d'un nouvel outil de surveillance de la population.

Mise à jour du 27 avril 2020: en réalité le «succès» de Singapour est à relativiser, car une remontée des contaminations a nécessité un nouveau confinement au moins jusqu'au 1er juin 2020 (article de The Guardian du 21 avril 2020), avec fermeture des écoles et commerces. L'épidémie se propage en particulier chez les travailleurs immigrés, originaires d'Inde, du Bangladesh ou d'autres pays pauvres d'Asie, la force de travail cachée qui s'entasse dans des dortoirs sans aucune possibilité de véritable confinement.

Un principe de base très contestable

L'idée invoquée pour justifier cette application est d'identifier les contacts récents entre les personnes pour identifier les éventuelles contaminations par le coronavirus.

Rappelons que le Bluetooth est un système de communication par radio (à 2,4 GHz, comme le WiFi), d'une portée d'environ 10 mètres pour la version utilisée dans les téléphones portables (la portée du Bluetooth va de 2m pour des oreillettes à 100m pour la version la plus puissante, et elle varie fortement selon la puce utilisée, l'orientation des antennes et les éventuels obstacles). Le Bluetooth permet à chaque appareil de communiquer avec les appareils voisins. Chaque appareil Bluetooth est identifié par un nom (souvent configurable par exemple «iPhone Michel») mais surtout par un identifiant unique sur 6 octets (comme l'adresse MAC des cartes Ethernet ou WiFi), c'est-à-dire qu'il n'existe pas deux appareils ayant le même identifiant Bluetooth.

Ce que voit un appareil qui communique avec un autre appareil Bluetooth (ici une chaîne Hi-Fi): le nom affiché par l'autre appareil (ici «VHM-314»), sans rôle essentiel le type de communication (ici, la transmission d'un flux audio, comme pour une oreillette) le numéro unique sur 6 octets de l'appareil, indispensable pour communiquer avec lui la puissance du signal radio provenant de l'autre appareil la qualité de la connexion (plus basse si le signal est faible ou s'il y a des perturbations) la puissance d'émission de notre appareil (réglée après négociation avec l'autre appareil) Ces dernières informations doivent servir à estimer la distance entre les deux appareils.

Le problème est que les personnes se trouvant à moins de 10 mètres ne sont pas toutes susceptibles de transmettre le virus. Et heureusement, car dans une grande ville comme Singapour, on peut avoir des centaines de personnes à moins de 10 mètres, rien qu'en marchant dans une rue fréquentée, ou sur le quai de métro le long d'une rame bondée. Le diagramme des «contacts» serait tellement énorme qu'il en deviendrait inutilisable.

Du coup, le gouvernement de Singapour indique que ne sont enregistrés que les contacts de plus de 30 minutes. Là, le graphe des contacts devient beaucoup moins touffu et bien plus facile à exploiter, puisqu'on peut ainsi identifier les réunions familiales, amicales, politiques, syndicales (pour autant que la notion ait un sens à Singapour), etc... On voit bien l'utilité d'un tel pistage pour un gouvernement autoritaire, mais l'utilité pour contrôler une épidémie est beaucoup moins évidente.

La première voie de contamination par le coronavirus est le contact avec les postillons d'une personne contaminée, par exemple:

• Dans le métro, une personne contaminée postillonne sur une barre de maintien, ou touche la barre après s'être mouchée: elle dépose le virus sur la barre;
  Ensuite, un autre voyageur touche la barre de maintien, puis se touche le nez, les yeux ou la bouche: il se contamine avec le virus.
  Aucune proximité physique entre les deux personnes: le premier voyageur est descendu avant que le second n'entre dans la rame
  => l'application ne sert à rien dans ce cas, car elle n'a aucune possibilité d'identifier un contact
  

• Dans un lieu fréquenté, une personne contamine éternue et projette des postillons, dont l'un pénètre dans l'œil de la personne qui est en face, ce qui lui transmet le virus.
  Durée totale de la proximité entre les deux personnes: 3 secondes
  => l'application ne sert à rien dans ce cas, car si l'application enregistrait des contacts aussi brefs, le graphe des contacts serait trop grand

• Le virus est transmis entre personnes qui passent du temps ensemble (famille, amis, collègues de travail,...)
  Durée totale de la proximité entre les personnes: > 30 minutes
  => l'application identifie bien le contact, mais elle est peu utile, car le patient est parfaitement capable de dresser la liste des personnes qu'il côtoie ainsi, s'il est pris en charge par un service compétent
  

• Une personne contaminée habite dans un immeuble, à quelques mètres des autres appartements.
  Le virus n'est pas transmis car les cloisons sont hermétiques
  Durée totale de la proximité entre les personnes: plusieurs heures
  => l'application identifie un faux positif et ne sert donc à rien, car en réalité il n'y a pas de risque de transmission

Il y a un débat scientifique pour savoir si le virus peut également se propager par des aérosols (particules microscopiques en suspension dans l'air), auquel cas le scénario de contamination serait le suivant:

• Le virus est transmis à longue distance par un réseau de ventilation ou de climatisation, ou dans l'air confiné d'un métro.
  Généralement aucune proximité physique entre les deux personnes
  => là encore, l'application ne sert à rien.
  

À Singapour, le gouvernement dispose de bien plus d'informations qu'il ne veut bien l'admettre

Selon le gouvernement de Singapour, les seules informations personnelles enregistrées sont (copie du site, le 19 avril 2020):

Votre numéro de portable Un identifiant d'utilisateur anonymisé, par exemple: 9I8VPeQeWDofj39c8dPySoUXLqh2

Your mobile number A random anonymised User ID e.g.: 9I8VPeQeWDofj39c8dPySoUXLqh2

Le gouvernement de Singapour garantit qu'il ne veut ni la position GPS ni la position basée sur la proximité des réseaux WiFi:

Nous ne collectons pas de données sur votre position GPS TraceTogether utilise le Bluetooth pour estimer la distance entre vous et les autres téléphones exécutant la même application. Nous ne collectons pas de données sur votre position GPS. Nous ne collectons pas non plus de données sur votre réseau WiFi ou mobile.

We do not collect data about your GPS location TraceTogether uses Bluetooth to approximate your distance to other phones running the same app. We do not collect data about your GPS location. Neither do we collect data about your WiFi or mobile network.

Autorisations listées par Google Play	Signification
Cette application dispose des autorisations suivantes :
Stockage modify or delete the contents of your USB storage read the contents of your USB storage	L'application peut lire et écrire tous les fichiers contenus dans le téléphone (photos, contenu multimédia reçu par les réseaux sociaux, documents téléchargés, attestations numériques de déplacement dérogatoire...), en-dehors des données propres à l'application elle-même.
Lieu precise location (GPS and network-based) approximate location (network-based)	Contrairement aux affirmations du gouvernement de Singapour l'application dispose bien: de la position indiquée par le récepteur GPS (si la fonction GPS du téléphone est activée) = «position précise» dans Android de la position calculée à partir des émetteurs WiFi et des antennes relais captées par le téléphone = «position approximative» dans Android. Remarque: dans Android, la réception GPS ne fonctionne que si elle est activée, mais la localisation par WiFi fonctionne même si la fonction WiFi a été désactivée par l'utilisateur (sauf peut-être en mode avion).
Photos/Contenus multimédias/Fichiers modify or delete the contents of your USB storage read the contents of your USB storage	Similaire aux autorisations «Stockage»
Autre receive data from Internet view network connections access Bluetooth settings pair with Bluetooth devices full network access prevent device from sleeping run at startup	L'application peut: se connecter à n'importe quel serveur internet savoir quels réseaux informatiques sont accessibles, et lesquels sont connectés activer la fonction Bluetooth (si l'utilisateur l'a désactivée) communiquer avec d'autres périphériques Bluetooth: c'est l'objectif affiché empêcher la mise en veille du téléphone (pour rester constamment active) se lancer au démarrage du téléphone
Des fonctionnalités peuvent être automatiquement ajoutées au sein de chaque groupe en cas de mise à jour de l'application TraceTogether.	Lors de la mise à jour (qui est automatique si l'utilisateur ne modifie pas cela), l'application peut disposer de nouvelles informations.
NB: l'autorisation «obtenir le numéro de téléphone» n'est pas demandée par l'application mais...	...le numéro de téléphone est vérifié par l'envoi d'un code à 6 chiffres par SMS

Quand bien même l'application ne demanderait que les informations indiquées par le gouvernement, les garanties seraient limitées:

• chaque utilisateur est identifié par son numéro de téléphone
• le gouvernement ne dispose donc pas seulement des contacts entre des «identifiants anonymes» (un bel oxymore), mais bien des contacts entre les personnes, y compris activités politiques, syndicales, associatives, ou journalistiques. Et ceci, sans nécessiter d'une décision de justice.
  En France, on voit bien par exemple comment la police pourrait utiliser ces informations pour identifier et saboter les groupes de gilets jaunes, qui s'organisent (tant bien que mal) notamment par des rencontres physiques informelles.
  
• même sans utiliser les fonction de positionnement du téléphone, le gouvernement peut avoir une bonne idée de la position de chaque personne en utilisant les informations du réseau mobile: en permanence, les opérateurs téléphoniques vérifient la distance entre l'utilisateur et les antennes relais voisines pour le connecter à l'antenne la plus proche (mesure du délai de propagation et de la force du signal radio). Ainsi, en zone dense (donc, à Singapour, partout), dès que le téléphone peut capter 3 antennes relais, le réseau peut très facilement calculer sa position avec une bonne précision.
• par ailleurs, le croisement des informations de connexion entre téléphones Bluetooth permet, moyennant un travail d'analyse automatisée, de remonter à des informations de localisation: chaque information récupérée est peu transmise, mais il y en a tellement qu'en les combinant on peut en tirer des informations précises.
  

De faibles garanties en Europe (le RGPD, la CNIL,...)

Il y a des textes protégeant la vie privée, au niveau national comme au niveau européen. Au niveau national français, la CNIL (Commission Nationale de l'Informatique et des Libertés) a été créée dès 1978 pour appliquer la loi «Informatique et Liberté». Au niveau européen, le CEPD (Comité Européen de la Protection des Données) est chargé de faire respecter le RGPD (Règlement Général sur la Protection des Données), texte nettement plus récent. À noter que le RGPD étant un «règlement européen», c'est-à-dire une loi européenne (le terme «loi» a été gommé lorsque le projet de traité constitutionnel a été rejeté et rebaptisé en «traité de Lisbonne»), il est directement applicable dans chaque pays sans qu'il soit nécessaire de l'intégrer dans la législation nationale, contrairement au cas des «directives européennes».

Ces institutions sont bienvenues pour contrôler l'usage que font les entreprises avec les données personnelles, et pour les forcer à sécuriser ces données, mais leur poids est beaucoup plus faible face aux États. Notamment la CNIL n'a jamais pu maîtriser la prolifération de fichiers policiers, et ne peut au mieux donner qu'un avis non contraignant. On peut donc penser qu'elles ne feraient pas le poids si une application de pistage numérique était créée par plusieurs pays européens.

La CNIL a rendu un avis très pertinent et assez complet sans être trop long, le 24 avril 2020. Elle demande à être consultée à nouveau lorsque le projet sera mieux défini.

• L'avis de la CNIL adopté le 24 avril 2020 (et ici en sauvegarde locale)
  Je vous invite vivement à lire cet avis qui souligne, dans des termes diplomatiques et bien choisis, tous les risques posés par l'application Stop-Covid (devenue Tous Anti Covid).
  

Avant cela, la présidente de la CNIL avait été auditionnée le 15 avril 2020 par la commission des lois du Sénat:

• La vidéo de l'audition de Marie-Laure Denis, présidente de la CNIL (durée 1h30 environ)
• Le verbatim sur le site de la commission des lois (c'est le premier compte-rendu de la page)

On retient que la CNIL ne s'y opposerait pas frontalement, car l'État a essentiellement tous les droits s'il y a un but légitime. Et on peut s'inquiéter lorsqu'on entend la présidente de la CNIL indiquer que le système de Singapour n'est pas nominatif puisqu'il associe l'identifiant Bluetooth au numéro de téléphone et non au nom de l'utilisateur (la CNIL connaissant certainement l'existence des annuaires téléphoniques, il doit s'agir d'une étourderie de sa présidente, fatiguée après plus d'une heure d'audience sur un sujet aussi sensible).

Par contre, elle réclame l'utilisation des moyens les moins liberticides possibles, et qu'il y ait un réel volontariat: c'est-à-dire que les personnes n'ayant pas installé l'application ne soient pas limitées dans leur liberté de mouvement (ex: accès aux transports publics) ou autres (ex: accès au lieu de travail), et que celles qui l'ont installée puissent la désinstaller. Elle s'inquiète explicitement du risque de pérennisation, avec une référence claire à l'intégration par Macron du droit dérogatoire de l'état d'urgence terroriste dans le droit courant. Elle assure que la CNIL est capable de s'assurer de la destruction de données informatiques (feignant d'ignorer la possibilité de les recopier préalablement). Enfin, elle insiste sur l'erreur qu'il y aurait à se reposer uniquement sur la technologie pour maîtriser l'épidémie, au risque de négliger des mesures plus traditionnelles (distanciation sociale, masques,...).

En définitive, le point clé est bien l'efficacité attendue, car en l'absence de véritable espoir d'efficacité, il n'y a aucune légitimité à vouloir mettre en service une application dangereuse pour les libertés publiques. Tandis que si personne ne contestait l'efficacité, aucune barrière politique ou administrative ne pourrait s'opposer à cette logique de pistage.

Juste après l'audition de la présidente de la CNIL, le Sénat entendait sur le même sujet Jean-François Delfraissy, président du comité de scientifiques:

• Mr Delfraissy a expliqué le rôle du numérique sur d'autres aspects (l'orientation des patients ou la transmission des résultats des tests), et surtout l'importance d'aspects non numériques: les tests, les masques, et une armée de personnes pour déterminer concrètement isoler les personnes positives et pour identifier les chaînes de contamination (l'application n'étant, au mieux, qu'une aide dans cette tâche). La Corée avait 20.000 personnes pour s'en occuper, mais en France rien ne semblait prévu à cette date.
  
• Avec lui s'exprimait également un autre membre du Comité scientifique, Aymeril Hoang («expert en numérique», ajouté au Conseil scientifique le 3 avril 2020, cf le décret de nomination), de façon assez inquiétante puisqu'il nous a appris que:
• il est partie prenante dans la mise en place de l'application: le Conseil scientifique est donc désormais juge et partie lorsqu'il trouve une utilité à ce système
• il trouve le système de Singapour tout à fait satisfaisant et respectueux des libertés
• la transmission du numéro de téléphone n'est pas exclue (comment parler d'anonymat si le numéro de téléphone est connu?)
• il utilise des arguments assez légers pour garantir que l'information qu'une personne est positive «n'est transmise à personne», le problème étant que si la personne est identifiée par le serveur à ce moment, alors son réseau de contacts est également identifié, ce qui pose des problèmes sérieux par exemple s'il est militant ou journaliste.
  La seule garantie apportée par Mr Hoang est que l'application de la personne positive se contente d'indiquer la liste des identifiants croisés (et donc susceptibles d'avoir été contaminés). Or il y a un risque, tout simplement en identifiant le téléphone à l'origine de cette information (la police le fait quotidiennement), et éventuellement aussi avec le QR-code autorisant la déclaration de positivité (pour éviter toute déclaration injustifiée, le patient devrait scanner un code présenté par le médecin, et le risque est que ce code contienne des informations permettant d'identifier la personne, notamment par croisement avec le fichier des remboursements de la Sécu).

Des risques évidents de dérive

En avril 2020, on a vu le gouvernement français passer en quelques jours par les phases suivantes:

• nous n'utiliserons pas d'application de pistage car c'est contraire aux traditions françaises en matière de libertés publiques
• des pays comme Singapour ont maîtrisé l'épidémie grâce à ce type d'applications, il faudrait quand même se poser la question
• nous allons envisager cette possibilité
• nous proposerons une application de pistage
• (et grâce à «l'état d'urgence sanitaire», le gouvernement peut instaurer des lois par simple décret, ce qui évite les discussions)
  

On peut donc craindre les dérives suivantes, parfaitement possibles en l'espace de quelques mois:

• il sera fortement conseillé d'activer cette application (conseil, incitation,...)
  
• cette application deviendra obligatoire pour les utilisateurs des transports publics, pour les fonctionnaires et les salariés des entreprises, pour sortir de chez soi après la fin du confinement, pour entrer dans certains commerces...
  
• cette application deviendra obligatoire pour tout le monde
  
• cette application sera également utilisée pour lutter contre: le terrorisme, la fraude fiscale, l'écologie radicale, les gilets jaunes, etc...
• comme en Chine, l'application calculera des scores de «bon citoyen» conditionnant certains droits, le score diminuera en cas de loyer non payé, d'excès de vitesse, ou de consultation d'un site internet d'opposition
  
• l'application nécessitera également: l'accès à la caméra et au micro, l'accès au répertoire, etc... (l'accès à l'historique des appels peut être obtenu directement via les opérateurs téléphoniques, si un décret-loi est pris en ce sens)
• pour vérifier que vous avez bien le téléphone sur vous, l'application sonnera toutes les 15 mn et exigera que vous fassiez un selfie, comme certains pays l'ont imposé dans la lutte contre le Covid-19
  
• après la fin de l'épidémie, l'application sera maintenue car, on ne sait jamais, l'épidémie pourrait resurgir, et d'autres épidémies pourraient apparaître (le nombre de maladies menaçant l'humanité est malheureusement élevé), «la vie ne sera plus jamais comme avant»
• le caractère obligatoire de l'application sera finalement pérennisé par une loi
  

État des lieux

Mise en place de l'application:

• Le gouvernement avait prévu de présenter l'application à l'Assemblée Nationale le 28 avril 2020, sans autoriser les députés à voter dessus
• À noter que, dans tous les cas, la loi instaurant «l'état d'urgence» permet au gouvernement de décider ce qu'il veut, même contre l'avis des parlementaires, en décrétant lui-même les lois. Et ceci, bien que les décrets-lois ont été rebaptisés «ordonnances» dans la Constitution de la V^e République, car le terme «décret-loi» était à juste titre associé aux dictatures.
• Les partis d'opposition ont exigé que les députés puissent voter: le gouvernement a d'abord accepté cette demande (mais par un vote sans effet juridique, selon le récent article 50-1 de la Constitution), puis il a refusé à nouveau et indiquait qu'il y aurait un unique vote (également sans effet juridique) portant sur la totalité du discours sur le plan de déconfinement.
• Finalement, le 28 avril 2020, le vote (sans effet juridique) a eu lieu mais n'a pas porté sur le pistage car l'application n'était pas prête et ses détails encore flous. Le gouvernement a annoncé que l'application ne serait pas disponible le 11 mai 2020 pour le déconfinement, mais sans annoncer son abandon malgré les nombreuses contestations.
• Le 5 mai 2020, le gouvernement a annoncé que l'application serait disponible le 2 juin 2020. Toutefois, la France a choisi une piste rejetée par les autres pays européens (le fichier centralisé), et n'a pas trouvé d'accord avec Apple (ce qui interdit a priori le fonctionnement de l'application en tâche de fond).

Sur le suivi des personnes contagieuses:

• Jusqu'à une semaine avant le déconfinement du 11 mai 2020, rien n'avait été annoncé sur cette question
  
• Puis des brigades d'enquêteurs ont été annoncées, comportant des médecins mais pas uniquement (employés municipaux, associations...), avec une grande improvisation et peu de transparence, notamment sur le respect du secret médical et sur la conservation des données. Le mécanisme initialement proposé a semblé peu respectueux de la vie privée, au point de choquer les médecins sommés de recueillir les coordonnées des proches de leurs patients, et de mettre en doute la confiance des patients s'ils doivent «dénoncer» une autre personne dans un couple illégitime ou un groupe militant (par exemple de gilets jaunes). Alors qu'il existe depuis toujours des maladies contagieuses à déclaration obligatoire, comme la tuberculose ou la rougeole, on se demande bien pourquoi le gouvernement a voulu inventer une usine à gaz.
• Le système a été largement amélioré et rendu plus respectueux des libertés publiques, suite au débat du lundi 4 mai 2020 au Sénat (compte-rendu analytique, vidéo), où le Sénat a voté contre le plan de déconfinement, puis lors de la commission paritaire qui a suivi (réunion entre députés et sénateurs trouver un texte de compromis).

S'opposer pour protéger les libertés publiques

Les libertés reculent surtout lorsque personne ne les défend.

Vue l'absence totale d'efficacité et les risques importants, chaque citoyen doit s'y opposer. En particulier:

• s'y opposer par tous les moyens possibles, en dénonçant à la fois la faible efficacité et les risques inacceptables (action politique et associative, expression publique et privée, réseaux sociaux)
  
• ne pas installer cette application sans y être obligé (il ne faut jamais obéir par avance aux décisions liberticides c'est ainsi que s'installent les dictatures)

Initiatives dont j'ai connaissance:

• Le site La Quadrature du Net, spécialisé dans le lien entre les technologies informatiques et les libertés publiques, a publié le 14 avril 2020 une page «Nos arguments pour rejeter StopCovid», incluant les risques de dérive politique et les doutes évidents sur l'efficacité.
  
• Le site risques-tracage.fr, créé par des chercheurs spécialistes en cryptographie, sécurité informatique et droit des technologies, explique lui aussi tout le mal que l'on peut penser de cette application «Stop-Covid». La page elle-même est courte mais on peut télécharger des explications plus détaillées, expliquant les fausses promesses des applications de pistage «respectueuses de la vie privée», indépendamment des risques évidents de dérive politique et policière, d'une façon claire et non technique.
• Les partis d'opposition ont été très critiques sur le projet d'application de pistage, et plus encore sur les modalités de sa mise en place (voir plus haut, «État des lieux»).
• Les Verts (EELV) ont lancé une pétition pour inviter les parlementaires à s'opposer au projet (12 000 signatures).
  
• Apple s'oppose à l'utilisation du Bluetooth par les applications en arrière-plan (d'où les difficultés rencontrées par le gouvernement de Singapour), et le gouvernement français fait pression sur Apple pour lever cette restriction (Dépêche Reuters, dans Times of India Technology, 23 avril 2020, en anglais). Apple résiste (contrairement à Google) mais propose une «API» (une fonction permettant aux applis d'utiliser une fonction du téléphone) pour permettre le pistage, en collaboration avec Google (article de Tech Crunch, 24 avril 2020, en anglais). Le gouvernement français s'y oppose, officiellement pour éviter qu'Apple et Google collectent trop d'informations personnelles, mais sans doute également pour que ce soit le gouvernement lui-même qui dispose de ces informations.
  
• Dans la presse, beaucoup de personnes ont fait connaître leurs arguments, par exemple:
• Didier Sicard, Président d'honneur du Comité National d'Ethique, et d'autres personnes tout aussi qualifiées: «Pour faire la guerre au virus, armons numériquement les enquêteurs sanitaires» (Libération, 26 avril 2020)
  (résumé: on n'a pas besoin d'un mouchard dans la poche, mais d'une armée d'enquêteurs en épidémiologie, et d'outils numériques à leur disposition)
  
• Des universitaires de différents domaines: «Stopcovid : une application inefficace et menaçante pour la démocratie» (Libération, 27 avril 2020)
• Jean-Baptiste Soufron, Avocat: «StopCovid, un bracelet électronique pour tous» (Libération, 19 avril 2020)
  

Si cela devait vraiment tourner mal (scénario catastrophe): comme personne n'est obligé d'être héroïque au point de risquer sa liberté, il peut arriver que vous soyez finalement obligé d'installer l'application. Mais faites-le le plus tard possible, après des relances! Il vous restera alors la possibilité de chercher toutes les possibilités pour la rendre inopérante, mais à ce petit jeu vous n'êtes pas sûr de gagner. Quelques pistes:

• enregistrer le moins d'informations possibles dans le smartphone
• cacher les caméras (en particulier la caméra frontale) et boucher l'orifice du micro lorsque le téléphone n'est pas utilisé
• sortir sans smartphone à chaque fois que c'est possible et tant que c'est autorisé
  
• remplacer l'agenda intégré du smartphone par une application indépendante utilisant un stockage chiffré
• préférer des applications chiffrées de communication par internet
• lancer des applications consommant tellement de mémoire que l'application de pistage sera arrêtée par le système d'exploitation
  
• pour ceux qui sauraient le faire, déconnecter «accidentellement» l'antenne Bluetooth ou le module Bluetooth
• se lancer dans le développement d'une application utilisant la localisation: ceci justifiera l'installation d'une application renvoyant une position erronée aux applications du portable.
• utiliser deux smartphones (l'un pour l'appli de pistage, l'autre pour l'utilisation réelle)
• inciter les autres personnes à prendre le même genre de mesures

Et en Chine?

Le pays le plus avancé en contrôle policier de sa population est certainement la Chine. Là-bas, les caméras avec logiciel reconnaissance faciale sont très répandues mais sans doute moins efficaces à cause du port du masque. Mais les smartphones y sont utilisés à fond.

Il y a au moins 2 types d'utilisation:

• La police (ou tout autre agent) scanne les citoyens: de même que tout Chinois est «noté» en fonction de chacun de ses actes, avec un score qui lui accorde ou non certains droits, il y a désormais un score pour le Covid-19. Les Chinois doivent montrer leur note, sous la forme d'un QR-Code affiché sur le smartphone et contrôlé par les policiers. La couleur du QR-Code indique les autorisations du citoyen (vert = déplacements autorisés, jaune = confinement au domicile, rouge = confinement surveillé), et on peut imaginer que si un opposant obtient un QR-Code rouge on lui dira que c'est l'intelligence artificielle qui l'a décidé. Le fait que ce soit un QR-Code permet de stocker suffisamment d'information pour permettre au logiciel de la police de vérifier l'authenticité du code, et de suivre les déplacements de tous les citoyens.
• Les citoyens scannent leurs lieux de passage: inversement, le citoyen doit scanner, avec son smartphone, les QR-Codes affichés aux endroits où il va. Notamment, à l'entrée des stations de métro, et à l'intérieur de la rame de métro. Ceci permet encore une fois de connaître précisément l'itinéraire de chaque personne et les personnes qui étaient avec elles. L'intérêt sanitaire est évident, car contrairement au pistage par Bluetooth, ce système permet d'identifier les risques de contamination par les surfaces (Mr A, dépisté positif, s'est assis il y a 3 jours sur tel siège du métro, or Mr B s'y est assis peu après, il faut donc confiner et dépister Mr B, même si ces deux personnes ne se sont jamais trouvées à proximité l'une de l'autre). Mais en contrepartie de cet intérêt sanitaire, c'est le pistage absolu de l'ensemble de la population par le gouvernement, digne de la dictature qu'est la Chine, mais inacceptable dans une démocratie.