STOPCOVID : LE GOUVERNEMENT PEUT-IL FAIRE PLIER APPLE ET GOOGLE ?
Pour développer son application de "contact tracing" StopCovid, le gouvernement est face à un dilemme cornélien. Deux possibilités : recourir à la solution technique préconisée par Apple et Google, au détriment de la souveraineté nationale, ou développer indépendamment son application, au risque que celle-ci ne puisse être déployée sur les smartphones opérés par les deux géants américains. La Tribune retrace le fil des événements.
Un pas en avant, deux pas en arrière ? Le développement de l'application mobile StopCovid, censée permettre le traçage numérique des personnes ayant rencontrées des patients atteints du Covid-19, est loin d'être un long fleuve tranquille...
L'application devait initialement être opérationnelle à compter du 11 mai, date annoncée pour le déconfinement en France. StopCovid devrait finalement voir le jour au cours de la deuxième quinzaine de mai, a annoncé ce jeudi Orange. L'opérateur télécoms fait partie de la dizaine d'acteurs qui développe l'application, aux côtés de l'Inria, l'Inserm (Institut national de la santé et de la recherche médicale) ou encore l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
08 AVRIL : LE GOUVERNEMENT OFFICIALISE STOPCOVID
Olivier Véran, ministre de la Santé, et Cédric O, secrétaire d'Etat au numérique, dévoilent pour la première fois le projet StopCovid. Le but : plancher sur une application mobile pour identifier "les chaînes de transmission" du virus en retraçant "l'historique des relations sociales". Pour des raisons évidentes de souveraineté, le gouvernement souhaite développer sa propre application.
L'exécutif a opté pour le Bluetooth, qui a rapidement été contesté en raison de son manque de fiabilité. Car cette technologie ne mesure pas encore de manière assez précise les distances, ni si deux personnes sont dos à dos ou face à face, ce qui peut entraîner "un risque additionnel de faux positifs", estimait lundi Wojciech Wiewiórowski, Contrôleur européen de la protection des données, lors d'une audition devant le Sénat.
"Le simple fait que votre mobile ait été à proximité d'un autre smartphone [détenu par une personne infectée par le Covid-19] ne veut pas dire que vous avez été nécessairement contaminé. Par exemple, je peux être seul chez moi, et un signal peut être détecté par le mobile de mon voisin de l'autre côté du mur", a illustré le Contrôleur européen de la protection des données.
Sans compter que l'application StopCovid requiert d'activer en permanence le Bluetooth. Cela pose un premier problème technique face aux conditions d'utilisation imposées par les systèmes d'exploitation mobile Android (Google) et iOS (Apple). Afin de préserver la batterie des mobiles, l'usage du Bluetooth est limité sur Android et iOS.
Le Bluetooth reste néanmoins la piste privilégiée à l'échelle européenne, par le projet baptisé PEPPPT. Il regroupe 130 membres (scientifiques, instituts de recherche...) dans plusieurs pays, dont l'Allemagne et la France.
10 AVRIL : APPLE ET GOOGLE ENTRENT DANS LE JEU
Les deux géants américains ont annoncé rejoindre la course en développant leur propre protocole de traçage numérique. Leur promesse : concevoir une "base commune" à disposition des Etats. Apple et Google permettent ainsi d'accéder aux fonctions Bluetooth de leurs smartphones pour paramétrer certains critères : durée d'exposition, intensité du signal capté pour mesurer la distance... La contrepartie : toute application de traçage numérique recourant à leur protocole passera par un stockage décentralisé des données.
C'est donc à cette étape qu'une deuxième controverse technique voit le jour concernant l'infrastructure profonde des applis : faut-il opter pour un protocole centralisé, préféré par la France, ou décentralisé, choisi par Apple et Google ? La France a choisi une solution centralisée de stockage des données pour StopCovid, via le protocole baptisé ROBERT. L'intérêt : contrôler la sécurisation des données dans un seul et même datacenter. Mais en cas de cyberattaque, des pirates informatiques pourraient avoir accès à une montagne de données sensibles collectées par l'application. Des centaines de scientifiques craignent également qu'un stockage centralisé ouvre la voie à une surveillance étatique, dans une lettre ouverte publiée lundi.
A l'inverse, Apple et Google plaident pour une solution décentralisée, c'est-à-dire qui ne stocke pas les données récupérées par l'appli dans un seul et même serveur central. "Cela revient à conserver les données collectées en local, dans les smartphones. L'inconvénient est que la surface d'exposition augmente fortement pour les risques cyber, puisque les points d'entrée sont très nombreux", a expliqué mardi Henri Verdier, Ambassadeur pour les affaires numériques, lors d'un débat. L'approche décentralisée est également privilégiée par l'alliance européenne, dans un protocole baptisé DP3T.
22 AVRIL : LE DÉBUT DES NÉGOCIATIONS
En poursuivant le développement de StopCovid via une approche centralisée, l'application pourrait se heurter à l'opposition d'Apple et Google. Celle-si pourrait ainsi se retrouver techniquement incompatible avec les smartphones qui fonctionnent sous Android et iOS. En clair, l'application serait morte-née.
Il est "de la responsabilité d'entreprises comme Apple de faire tout leur possible pour développer des solutions techniques appropriées afin que les applications nationales fonctionnent", affirme dans un communiqué Thierry Breton, Commissaire européen au Marché intérieur.
En parallèle, le secrétaire d'Etat au numérique en France déclarait la semaine dernière qu'Apple ne souhaitait pas pour le moment changer ses règles de confidentialité pour permettre à StopCovid d'utiliser le Bluetooth, même quand elle n'est pas active.
Ce blocage de la situation renvoie au principe de la neutralité des terminaux. Cette notion juridique vise à confier à une autorité de régulation le contrôle des terminaux, de sorte que les systèmes d'exploitation n'imposent pas des conditions injustifiées aux développeurs d'applications (ici, l'Etat) ou portent atteinte au libre choix des consommateurs. En cas de manquement, le régulateur serait autorisé à émettre des sanctions.
Problème : ce principe n'est pas garanti en droit français ou européen. Une proposition de loi visant à garantir le libre choix du consommateur dans le cyberespace a été adoptée au Sénat en février dernier, mais celle-ci n'est pas encore passée devant l'Assemblée nationale. "Plus que de faiblesse, c'est de tragique impuissance dont il est ici question", regrette Sophie Primas, la présidente de la commission des Affaires économiques du Sénat (LR) dans nos colonnes. "L'Etat est contraint de négocier avec des firmes qui sont désormais plus puissantes que lui. La puissance publique se retrouve dans la position de n'importe quel développeur d'applications face au duopole Apple/Google (...) Ce chantage est, d'un point de vue démocratique, proprement inacceptable !"
ET MAINTENANT ?
Face aux géants américains, "le seul levier juridique disponible est la régulation, mais cela suppose d'avoir pris des mesures adéquates en amont sur l'ouverture des interfaces par exemple", estime Anne-Laure-Hélène des Ylouses, avocate au barreau de Paris, spécialiste en droit de nouvelles technologies et droit de la concurrence.
"Le gouvernement pourrait saisir l'Autorité de la concurrence et demander, à travers des mesures conservatoires, d'enjoindre Google et Apple de garantir l'interopérabilité de l'application StopCovid en démontrant une position dominante, voire un duopole, avance l'avocate. "Mais cela soulève un autre problème : le délai. Ce type d'action peut prendre plusieurs semaines, voire plusieurs mois."
Un délai bien trop long donc, au regard des impératifs de calendrier guidé par le déconfinement. Ce qui pourrait expliquer en partie la volte-face de l'Allemagne. Alors que Berlin s'était jusqu'ici prononcé en faveur d'un stockage centralisé, il a annoncé dimanche dernier se rapprocher du protocole décentralisé, proposé par Apple et Google.
Dans le cadre du développement de StopCovid, Orange est notamment chargé des discussions avec Apple pour aboutir à un compris. "Il y a des réunions à peu près tous les jours. Ce n'est pas conclu (...) On a une dynamique de discussion qui n'est pas mauvaise avec Apple", a déclaré Stéphane Richard, Pdg du groupe français, lors d'une conférence de presse jeudi, rapporte Reuters. En début de semaine, le président du géant informatique français Capgemini, Paul Hermelin, a suggéré que StopCovid puisse éventuellement se passer d'Apple, qui représente pourtant 15% des smartphones en circulation dans l'Hexagone.
| Retrouvez sur La Tribune tous nos articles consacrés au "tracking" en période de coronavirus :
Suivi de la contagion du Covid-19 : faut-il craindre la surveillance des smartphones ? Tracking : ce qu'il faut savoir sur la future application StopCovid du gouvernement Tracking : pourquoi le projet d'application StopCovid est si controversé
Tracking du Covid-19 : comment font les autres pays ?
StopCovid : Apple et Google au centre du jeu, la future appli de l'Etat dans l'impasse ?