StopCovid est le projet d'application du gouvernement visant à tracer les déplacements des Françaises et des Français afin d'enrayer les chaînes de contamination au Covid-19 pendant la phase de déconfinement. Nous répondons ici à toutes les questions que vous pourriez vous poser à ce sujet.

Après le confinement viendra le déconfinement et pour se préparer au mieux à cette phase particulière, envisagée pour le 11 mai prochain par le gouvernement, les autorités souhaitent mettre en place un système de traçage des personnes atteintes par le Covid-19 pour mieux prévenir contre un potentiel nouveau pic de contamination. C’est là qu’intervient la plateforme StopCovid.

Toutefois, StopCovid fait encore l’objet d’un grand nombre d’interrogations. Nous répondons ici aux principales questions que vous pourriez vous poser à ce sujet. Notez que ce dossier sera régulièrement mis à jour.

Qu’est-ce que StopCovid et à quoi ça sert ?

StopCovid est un projet d’application mobile dont l’objectif est de tracer les déplacements des personnes, notamment de celles atteintes par le Covid-19, afin de surveiller les risques de nouvelles contaminations pendant la phase de déconfinement.

Grâce aux données de nos smartphones, StopCovid pourra indiquer et alerter un utilisateur si ce dernier s’est trouvé à proximité d’une personne atteinte du nouveau coronavirus. C’est ce que l’on appelle le contact tracing, ou traçage des contacts. Si vous avez été en contact avec une personne infectée, vous pourrez ensuite vous faire tester, être pris en charge et si nécessaire se confiner.

Qui développe StopCovid ?

L’application StopCovid est développée par Lunabee Studio, une firme basée à Chambéry. Celle-ci compte des noms comme Carrefour, Station F ou B&B Hotels parmi ses clients. C’est toutefois loin d’être le seul acteur impliqué.

StopCovid se construit sous l’égide de l’Institut national de recherche en sciences et technologies du numérique (Inria) avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’Institut national de la santé et de la recherche médicale (Inserm) apporte également son expertise scientifique au projet, tout en ayant développé, en parallèle, l’IA vocale AlloCovid pour accompagner les personnes par téléphone.

Il faut aussi savoir qu’Orange et les entreprises Capgemini et Dassault Systèmes œuvrent également en coulisse pour le bon fonctionnement et déploiement de la plateforme StopCovid. Enfin, Withings est chargé d’amener StopCovid sur des appareils connectés hors smartphones, comme des bracelets connectés.

Comment fonctionne StopCovid ?

Sans trop entrer dans les détails techniques, il faut savoir que la plateforme StopCovid compte s’appuyer sur les connexions Bluetooth de nos smartphones. A priori, il s’agirait là de la méthode de traçage la moins intrusive pour la vie privée des utilisateurs comme nous l’expliquons dans un dossier dédié. Les données GPS ou la géolocalisation cellulaire ne sont donc pas exploitées contrairement à ce que l’on a pu voir dans certains pays du globe.

StopCovid utilise un modèle « centralisé », contrairement à une approche dite « décentralisée ». Cela signifie que les données, non nominatives (c’est-à-dire anonymisées), sont stockées sur des serveurs centraux et contrôlés par les autorités sanitaires. L’autre approche consiste à stocker les informations-clés directement sur les smartphones des utilisateurs.

Cette approche « décentralisée » est moins efficace, car les smartphones ne partagent pas une base de données commune. Néanmoins, Apple et Google ont mis en place une solution technique qui permet de lever ces limitations techniques.

Pourquoi utiliser le Bluetooth ?

Majoritairement, nous utilisons le Bluetooth pour envoyer des fichiers entre les appareils, connecter une souris sans fil ou écouter de la musique sans fil. Cependant, l’utilisation de Bluetooth pour le suivi de proximité est pratiquée d’un point de vue commercial depuis plus d’une décennie.

Le suivi Bluetooth est effectué en mesurant l’indicateur de force du signal reçu (« RSSI ») d’une connexion Bluetooth donnée pour estimer la distance entre les appareils. En termes simples : plus le signal est fort, plus les appareils sont proches les uns des autres.

Pour aller plus loin

StopCovid : pourquoi le Bluetooth est la solution la moins intrusive pour retracer nos déplacements

Une caractéristique clé du Bluetooth LE, qui est intéressante lorsque l’on pense à la localisation ou au suivi des interactions, est que, comme de nombreux aspects des smartphones, le Bluetooth LE est bruyant.

C’est comme une personne dans un open space qui n’arrête pas de parler. Les appareils Bluetooth LE utilisent ce « brouhaha » pour annoncer leur présence à d’autres appareils Bluetooth LE – c’est comme si vous étiez au milieu d’une foule en criant régulièrement « Je suis là » à toute personne suffisamment proche pour l’entendre. Les messages sont diffusés à un intervalle de temps fixe, qui peut être défini entre 10 ms et 10,24 secondes en fonction de l’urgence de ces connexions.

Est-ce que StopCovid respectera ma vie privée ?

C’est l’une des principales préoccupations au sujet de cette application. D’aucuns craignent en effet qu’elle ne soit utilisée à des fins de surveillance généralisée. D’autant plus que si les utilisateurs ne seront pas identifiés par leur véritable identité, ils le seront tout de même par un identifiant. Il ne s’agira donc pas de données anonymisées, mais pseudonymisées.

L’utilisation du Bluetooth devrait cependant permettre de ne pas pouvoir pister précisément les utilisateurs. L’application n’a que faire de savoir où vous vous trouvez, mais simplement près de quelle personne vous vous trouviez. Elle n’utilise donc ni votre numéro de téléphone, ni votre GPS, ni votre microphone, ni votre appareil photo, mais uniquement le Bluetooth. Elle saura néanmoins associer votre identifiant anonymisé StopCovid à votre smartphone.

Cela n’empêche toutefois pas la CNIL de relever quelques risques d’atteinte à la vie privée. L’autorité administrative a ainsi évoqué, le 26 avril, l’utilisation de données personnelles à caractère de santé au sein de l’application. Des données particulièrement sensibles qui sont régulées par le RGPD. D’après la CNIL, des données confidentielles devraient donc être traitées par StopCovid, mais l’autorité rassure en indiquant que leur utilisation demeure proportionnelle à l’objectif poursuivi, à savoir un contrôle de l’épidémie.

« Les protections prises apportent un haut degré de garantie pour minimiser le risque de ré-identification des personnes physiques associées aux données stockées, pour une durée nécessairement limitée, par le serveur central », félicite ainsi la CNIL. En somme, oui, StopCovid pourra porter atteinte à votre vie privée, mais les mesures prises devraient permettre de la protéger des tiers ou d’une utilisation dans d’autres circonstances.

Quand est-ce que StopCovid sera déployé ?

Le ministre du Numérique, Cédric O, a d’abord évoqué 3 à 6 semaines de développement, ce qui nous permet d’envisager le déploiement de l’application entre fin avril et fin mai. Cependant, le gouvernement n’a pas encore décidé si l’application sera bel et bien utilisée, des tests sont menés avec les premiers prototypes.

Pour l’heure, compte tenu des incertitudes sur l'application #StopCovid, le débat est un peu prématuré. Mais je confirme mon engagement : lorsque l’application fonctionnera et avant sa mise en œuvre, nous organiserons un débat spécifique, suivi d’un vote spécifique. — Edouard Philippe (@EPhilippePM) April 28, 2020

Par ailleurs, beaucoup de flou persiste autour de cette question. Lors d’une allocution le 28 avril devant l’Assemblée nationale, le Premier ministre Édouard Philippe a acté que des doutes demeurent quant au sujet de la vie privée : « Ces questions doivent être posées, elles doivent être débattues […]. Mais il me semble que le débat est un peu prématuré ».

Pour aller plus loin

StopCovid semble loin d'être prêt

Néanmoins, cette problématique mérite selon lui d’être débattue par le Parlement. Dès lors, la mise à disposition de l’application fera l’objet d’un « débat spécifique, suivi d’un vote spécifique », une fois que l’application sera prête et avant sa mise à disposition.

Pour l’heure, on ignore donc à quelle date l’application StopCovid sera disponible pour tous les utilisateurs français de smartphones. A priori, l’application ne devrait pas être prête d’ici le 11 mai.

StopCovid sera-t-il obligatoire ?

L’application StopCovid devrait être basée sur le volontariat, comme l’a déjà indiqué le gouvernement. De fait, on imagine mal une obligation d’utiliser l’application à chaque déplacement, d’autant plus que 30 % des Françaises et Français ne sont pas équipés de smartphones.

De son côté, la Cnil a recommandé au gouvernement de ne pas imposer l’utilisation de l’application, ou à conditionner certains soins à son usage :

L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun.

« Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles », recommande également la Cnil. À noter que de son côté, le Conseil national du numérique insiste sur l’importance de l’aspect exceptionnel et temporel de StopCovid.

Quelles sont les initiatives similaires en Europe et dans le monde ?

Quasiment tous les pays utilisent ou développent une solution de contact tracking. À Singapour, cela fait plusieurs semaines que TraceTogether permet de remonter les chaînes de contamination sans géolocalisation.

L’Allemagne, qui travaillait initialement avec la France, travaille désormais avec la Suisse sur une application qui utilise un modèle décentralisé. Même chose pour l’Espagne, selon Reuters. Au Royaume-Uni, le gouvernement collabore avec le National Health Service, le service de santé publique britannique, autour d’une application nommée Palantir. Cette dernière est développée comme StopCovid sur un modèle centralisé.

En Italie, un projet d’application — nommée Immuni — utiliserait également la géolocalisation. Cependant, le choix d’un modèle centralisé ou décentralisé n’a pas encore été fait. L’Australie a également développé sa propre application « centralisée », appelée CovidSafe.

L’Europe, elle, n’a pas vraiment de projet commun entre les États, néanmoins le commissaire européen Thierry Breton est méfiant vis-à-vis de l’approche centralisée envisagée par plusieurs pays de l’Union européenne. Selon lui, les bases de données centralisées sont un risque important de sécurité.

StopCovid utilise-t-il les outils de Google et Apple ?

Apple et Google ont mis en place une brique logicielle pour la mise en place d’applications. Cette brique permet d’outrepasser certaines limitations techniques d’Android (Google) et iOS (Apple). Ces limitations ont pour objectif de protéger la vie privée des utilisateurs (la publicité ciblée), et la durée de vie de nos batteries (les tâches en arrière-plan qui consomment de l’énergie).

La solution d’Apple et Google consiste à utiliser des numéros uniques, stockés uniquement que sur les téléphones des utilisateurs, qui permettent d’identifier un appareil tout en garantissant l’anonymat des utilisateurs. Cela signifie que les données ne sont pas stockées dans des bases de données centralisées, pour des raisons de sécurité.

Pour aller plus loin

Comment le Covid-19 prouve que la fragmentation d’Android n’est pas un souci

Cependant, le gouvernement français n’a pour le moment pas fait le choix de cette brique technologique. Cette solution permet, en effet, d’accéder à de nombreux réglages utiles à StopCovid, néanmoins elle ne permet pas de gérer les identifiants anonymes liés à chaque personne.

Le gouvernement français s’est donc lancé dans un bras de fer avec Apple, car les applications « centralisées » fonctionnent mal à cause des restrictions techniques liées au Bluetooth sur iOS. L’application TraceTogether, utilisée à Singapour et conçue sur le modèle de StopCovid, oblige les utilisateurs iOS à constamment relancer l’application. La part de marché de l’iPhone étant de 20 % en France, c’est une restriction technique qui aura un impact important sur l’efficacité du dispositif dans notre pays.

Quelles sont les limites de StopCovid ?

StopCovid s’accompagne aussi de quelques doutes sur son bon fonctionnement de l’application. D’une part, pour que celle-ci soit vraiment pertinente, elle doit être massivement utilisée. Or, si son principe repose bel et bien sur le volontariat, nous n’aurons aucune garantie à ce sujet. En outre, l’application n’aurait que peu d’utilité si son déploiement ne s’accompagne pas d’une politique de dépistage à la hauteur — pour savoir qu’une personne a le Covid-19 et alerter son entourage, encore faut-il la tester.

Aussi, si le gouvernement ne trouve pas de terrain d’entente avec Google et Apple, l’application risque de toucher un nombre limité de personnes. Enfin, il est bon de rappeler que le Bluetooth n’est pas infaillible. En se basant dessus pour tracer les déplacements, StopCovid n’est pas à l’abri de quelques erreurs et fausses alertes, d’autant que la portée du Bluetooth peut atteindre plusieurs dizaines de mètres.

Il faut surtout rappeler que la stratégie du gouvernement pendant la phase post-confinement ne reposera pas uniquement sur StopCovid. Ce projet s’inscrit dans une série de mesures qui, associées les unes aux autres, auront pour objectif de faire sortir la France de cette crise sanitaire.