Lutte contre le Covid-19: les données de santé «vendues au plus offrant»?

«Exposure Notification», ou Système de notification d’exposition, tel est le nom de l’interface de programmation (API) développée par Apple et Google pour leurs systèmes d’exploitation respectifs, iOS et Android. Un travail commun, annoncé le 10 avril, afin de mettre sur pied une solution de pistage des malades du Covid-19. «Ce que nous avons construit n’est pas une application, mais plutôt une interface de programmation que les agences de santé pourront intégrer dans leurs propres applications», précisent les deux firmes californiennes dans une déclaration commune. Selon les deux géants du numérique, 22 pays sur cinq continents auraient déjà demandé à avoir accès à leur outil.

Régulièrement critiquées concernant leur position hégémonique dans le secteur numérique ainsi que pour la collecte et le stockage sur leurs serveurs aux États-Unis de nombreuses données personnelles de leurs utilisateurs, les deux GAFA ont tenu à se montrer rassurants.

«Inquiets de voir leur solution prise pour un outil de surveillance de masse, Google et Apple ont posé plusieurs conditions que les États devront respecter», relatent ainsi des journalistes français, qui reviennent sur les fameux prérequis des deux géants des technologies: la future application ne pourra être installée que volontairement par l’utilisateur, les données collectées ne pourront pas concerner la géolocalisation et ne feront l’objet d’aucune exploitation commerciale. Par ailleurs, une seule agence de santé par pays pourra utiliser l’outil, afin d’éviter toute «concurrence» d’applications sur un même territoire.

«Ils se parent de beaucoup de vertus, mais en réalité ce sont leurs propres intérêts qu’ils font avancer», réagit au micro de Sputnik l’avocat Thierry Vallat, peu convaincu par la profession de foi des deux sociétés américaines. «Leur priorité, c’est de pouvoir développer un système qui leur permette de conserver leur hégémonie par rapport à des pays qui souhaiteraient développer leur propre application.»

En somme, pour l’avocat spécialisé dans les questions du numérique, l’intention première de ces outils d’Apple et Google, sur lesquels se baseront des autorités sanitaires à travers le monde, est justement de couper l’herbe sous le pied aux États qui pourraient être tentés de développer indépendamment leurs propres solutions nationales.

D’ailleurs, si en Europe, l’Allemagne a opté pour la solution clefs en main des deux géants américains, tout comme l’Italie, l’Irlande, la Lettonie, les Pays-Bas et la Suisse, l’Espagne hésiterait. Quant à la France et à la Grande-Bretagne, elles ont refusé cette main tendue.

«StopCovid», une «catastrophe annoncée»

En phase de test, les autorités françaises prévoient le déploiement à partir du 2 juin de l’application «StopCovid» à condition que l’Assemblée nationale y donne son feu vert lors d’un vote prévu le 27 mai.

Qu’il s’agisse du respect du calendrier et même du succès de cette opération annoncée comme devant être un «tournant» dans la lutte contre le Covid-19 en France, Thierry Vallat ne semble pas particulièrement optimiste vis-à-vis de cette initiative tricolore. «Je pense que c’est une catastrophe annoncée», redoute l’avocat, qui considère l’application «mal née dès le départ».

«Développer tous seuls notre application dans notre coin, on est vraiment très isolés, je pense que la France va dans le mur pour cette application», regrette-t-il. «La France a vraiment loupé le coche sur ces applications et laisse, une nouvelle fois, le champ libre aux GAFA qui, pour moi, utilisent leur puissance technologique dans leurs propres intérêts.»

Grâce à la technologie Bluetooth, dépeinte comme «plus douce» qu’un traçage GPS, StopCovid vise à prévenir les détenteurs de smartphones équipés s’ils ont été en contact rapproché avec un utilisateur s’étant signalé sur StopCovid comme positif au coronavirus. Le but recherché par les autorités à travers cette application est d’identifier les chaines de transmission du virus afin de les briser, en isolant les personnes infectées et au besoin leurs contacts.

StopCovid est basée sur le protocole ROBERT (ROBust and privacy-presERving proximity Tracing), fruit d’une collaboration entre la firme française INRIA et l’allemande Fraunhofer/AISEC. Un protocole lui-même présenté comme une contribution à l’initiative européenne PEPP-PT (Pan European Privacy-Preserving Proximity Tracing) de tracking, qui se présente comme étant en adéquation avec les standards européens de protection des données, de vie privée et de sécurité.

«Je pense qu’on aurait dû se rallier aux solutions de type décentralisé, qui sont préconisées dans la plupart des pays européens, qui permettent d’éviter une éventuelle réidentification des données», ajoute l’avocat.

La raison de son inquiétude? Un serveur central qui sera chargé de générer les codes anonymes qui seront diffusés entre les utilisateurs de l’application lors des interactions entre leurs smartphones. Si en théorie, le procédé garantit que les utilisateurs n’ont accès à aucune donnée personnelle sur les autres utilisateurs de l’application, cette centralisation des données, agglomérées par StopCovid, constitue aux yeux de l’avocat une «porte ouverte» aux hackers. Ce dernier évoque à titre d’exemple les récents déboires rencontrés par la plateforme gérée par le ministère de l’Enseignement supérieur, Parcoursup.

Le 19 mai, Mediapart révélait que plusieurs milliers de dossiers confidentiels d’élèves «se sont retrouvés dans leur intégralité sur Internet». Passions, activités extrascolaires… ou revenu annuel des parents, l’intégralité des données relatives à une bonne partie des dossiers des 6.500 jeunes candidats à une classe préparatoire d’un célèbre lycée parisien fut consultable en ligne suite à une «faille technique».

«Une application avec un serveur central comme celle que StopCovid est en train de développer, a l’inconvénient que les données ne soient pas anonymisées, mais pseudonymisées, c’est-à-dire qu’elles auront toujours un lien avec le smartphone de base. Donc, potentiellement, nos données pourront être reconnues comme étant celles du smartphone de monsieur X ou madame Y. C’est ça, le problème de la centralisation et là je pense qu’on a fait un très mauvais choix technologique, qui laisse la porte ouverte à des failles de sécurité», développe Thierry Vallat.

Celui-ci redoute que les déconvenues ne se multiplient dans les semaines et les mois à venir. L’avocat rappelle qu’en termes de sécurité, la CNIL avait spécifié que le système de chiffrage devrait être extrêmement performant «Est-ce qu’il le sera réellement dans le cas de StopCovid, on demande à voir», souligne l’avocat, sceptique, soulignant en matière de souveraineté numérique certains «paradoxes» en France.

Sécurisation des données: «on nous endort»

L’avocat met en avant le déploiement en France de la plateforme Health Data Hub, qui centralise certaines données de santé des citoyens français au nom de la lutte contre le Covid-19 et qui doit à terme replacer le système national des données de santé (SNDS) qui, d’ailleurs, lui aussi attribue des pseudonymes. Bémol de taille, ce futur gestionnaire des données de santé des Français est… Microsoft (Cloud Azure).

«On est en plein paradoxe. Ce sont des sociétés américaines qui vont gérer tout ça, avec le risque que les données de santé partent aux États-Unis où l’on sait que les données personnelles n’ont pas du tout le même sort qu’en Europe», regrette-t-il.

Un choix qui n’était «pas idéal», admettait la directrice du Hub, qui défendait fin décembre vouloir «aller vite» pour ne «pénaliser la France par rapport aux autres pays».

Une vitesse qui semble clé dans le dossier. Comme l’a révélé Mediapart le 8 mai, le gouvernement a accéléré, au nom de la lutte contre le Covid-19, la mise en place de ce mégafichier géré par l’entreprise américaine, dont le contrat la liant au Health Data hub «mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme». Health Data Hub, ce «mégafichier qui veut rentabiliser nos données», comme titrait déjà Mediapart… en novembre 2019.

«On est dans un marché des données de santé de plus en plus global. Aujourd’hui, l’urgence sanitaire est, à mon avis, le justificatif pour permettre à ces données de pouvoir être collectées en masse via ce type d’application, même si on vous dit avant que les données personnelles seront totalement sécurisées.»

Pour l’avocat, qui estime qu’«on n’a pas les moyens de persuasion pour contrer» les GAFA en France, le risque est donc à terme de voir les données médicales des Français monétisées, rachetées par des acteurs privés. «Le marché est trop important pour les laisser filer», met en garde Thierry Vallat, qui souligne que les données de santé sont «extrêmement bien monétisables» et «valent de l’or».

«Derrière, ce sera vendu au plus offrant. C’est à mon sens une évidence qui est technologiquement difficilement parable. Il faudrait vraiment une volonté des États de se prémunir par rapport à ce risque de collecte sauvage, mais je pense que malheureusement c’est comme cela que va se passer.»

L’avocat voit ainsi, tant dans l’outil présenté par les deux GAFA que dans l’application StopCovid, la «continuation d’un long processus de mise en danger de nos données personnelles sur l’autel du tout sécuritaire.» Thierry Vallat appelle ainsi à une «extrême vigilance» les utilisateurs de smartphone tentés par n’importe quelle application de tracking.