Pourquoi l’application TousAntiCovid a montré son inefficacité selon la CNIL ?
Le régulateur estime que l’application a fait preuve d’une « utilité marginale » dans la lutte contre le coronavirus.
La Commission nationale de l’informatique et des libertés (CNIL) a publié lundi son cinquième rapport sur les outils numériques et techniques déployés contre la Covid-19. En ce qui concerne TousAntiCovid, l’application de suivi des contacts (contact tracing) développée par la France pour lutter contre la propagation de l’épidémie, le rapport considère qu’elle a fait preuve d’une “utilité marginale”. Le rapport souligne également le fait que l’application n’a plus guère évolué depuis des mois. Il est important de noter que la CNIL n’est pas le premier organisme à avoir pointé du doigt l’inutilité de l’application.
TousAntiCovid (anciennement StopCovid) est une application mobile de suivi des contacts déployée par le gouvernement français dans le cadre de la lutte contre la pandémie de la Covid-19 et destinée initialement à avertir d’une éventuelle transmission avec une personne infectée. Disponible sur iOS et Android, TousAntiCovid a été mise à jour à plusieurs reprises pour intégrer des choses comme l’attestation de vaccination, le passe vaccinal, mais aussi pour informer la population des chiffres de la pandémie. Cependant, force est de constater que, depuis son lancement en juin 2020, TousAntiCovid n’a pas du tout eu bonne presse.
L’application a reçu de nombreuses critiques et sa première version (StopCovid) a été qualifiée d’“inefficace” par un rapport parlementaire en décembre 2020. Si l’application a été activée par 1,8 million de personnes au bout de trois semaines, elle n’avait permis d’alerter que 14 personnes. Lundi dernier, la CNIL a déclaré à son tour que TousAntiCovid a fait preuve d’une « utilité marginale » en ce qui concerne sa fonction principale : le suivi des contacts. En effet, pour que le suivi fonctionne normalement, il faut que plusieurs smartphones soient allumés, que le Bluetooth soit activé, que l’application soit installée et configurée.
Bien sûr, c’est sans compter sur les différents problèmes (bogues, sécurité, confidentialité des données privées des utilisateurs, etc.) qui ont affecté le développement de TousAntiCovid. La France a également eu des difficultés à faire fonctionnement correctement TousAntiCovid sur l’iPhone. L’application fonctionne grâce au Bluetooth, mais Apple a mis son veto quand la France lui a demandé d’amoindrir l’accès au Bluetooth de l’iPhone pour lui faciliter la tâche. En autres difficultés qui ont empiété sur le succès de TousAntiCovid, tous les Français ne disposent pas d’un smartphone et parmi ceux qui en ont un, tous n’ont pas installé l’application.
Selon la CNIL, l’échec de TousAntiCovid est dû au fait que la fonctionnalité de suivi de contact par Bluetooth est très dépendante du nombre d’applications activement utilisées. « Or, les statistiques d’utilisation de la fonctionnalité de suivi de contacts (proportion de cas positifs se déclarant dans l’application, nombre d’utilisateurs notifiés, proportion des personnes testées positives s’étant déclarées dans l’application après avoir été notifiées, etc.) ne semblent pas particulièrement élevées », a-t-elle expliqué. Elle estime en outre que l’application peut se trouver sur des téléphones, mais ne plus avoir été ouverte et activée depuis des mois.
En outre, la CNIL note que l’application n’a plus reçu une mise à jour majeure depuis plusieurs mois et que les mises à jour récentes n’ont modifié en rien son fonctionnement. La dernière mise à jour pour Android remonte au 16 juin et concerne des « améliorations diverses et des corrections » qui n’ont pas ajouté de nouvelles fonctions. La CNIL a également déclaré qu’elle n’a pas procédé depuis mi-juillet 2021 à d’autres contrôles pour vérifier la conformité de l’outil avec le Règlement général sur la protection des données personnelles (RGPD). À ce propos, il est important de rappeler que la CNIL a déjà relevé quelques défaillances par le passé.
En juin 2021, elle a souligné que les informations relatives aux preuves de vaccination sont conservées en clair au sein des codes-barres présents sur les justificatifs. Christian Quest, porte-parole d’OpenStreetMap France, s’était indigné que « cette application qui avait promis, craché, juré qu’elle ne contiendrait pas de données personnelles vienne donc de revenir très discrètement sur ses promesses ». Selon lui, « les différents QR Code et 2D-DOC présents sur les certificats papier (y compris ceux que l’on peut récupérer sur “https://attestation-vaccin.ameli.fr/attestation”) contiennent des données personnelles et des données de santé ».
En effet, « ces données sont en clair pour qui sait extraire de ces codes-barres les données qu’ils contiennent, car rien n’est chiffré même si ce n’est pas lisible par un humain ». TousAntiCovid (et toute autre application qui les scannera) a donc accès à leur contenu lorsque l’on ajoute ce certificat dans l’application et traite donc de ce fait des données à caractère personnel et plus seulement des données pseudonymisées. Il est donc possible, pour un acteur mal intentionné, d’accéder à l’intégralité des données personnelles intégrées aux codes QR présents sur les justificatifs, y compris des données de santé.
Il a également été révélé en juin 2020 que TousAntiCovid collectait plus de données que ce que le gouvernement avait annoncé, ce qui signifie que les utilisateurs se retrouveraient davantage exposés si une personne mal intentionnée décidait d’extraire les données personnelles intégrées aux codes QR présents sur les justificatifs. Par ailleurs, il faut également rappeler que l’élaboration de TousAntiCovid a coûté plus de 6,5 millions d’euros aux contribuables français. Avant le déploiement, Cédric O, le Secrétaire d’État chargé du Numérique déclarait que si l’application était adoptée par 56 % de la population, elle mettrait fin à l’épidémie.
Cet objectif étant difficilement réalisable, Cédric O ajouta que « si l’on a 20 % ou 30 % des populations des grandes villes, c’est très bien. En matière de gain marginal, c’est non négligeable, c’est même très utile ». Mais après un peu moins de six mois d’utilisation, la réalité est tout autre. À peine 3,5 % de la population (2,5 millions d’utilisateurs) l’avait installé, tandis qu’elle a enregistré 1 million de désinstallations et 300 000 réinstallations. Il est clair qu’avec de tels chiffres, il ne fallait vraiment pas s’attendre à grand-chose. Malgré l’utilité marginale de la fonctionnalité de suivi des contacts, la CNIL conseille quand même de maintenir l’application.
Toutefois, elle recommande aux utilisateurs de ne s’en servir que pendant les périodes de circulation active du virus. « Malgré l’utilité marginale de la fonctionnalité de « contact tracing », les garanties intégrées pour préserver la vie privée permettent son maintien dans le contexte sanitaire actuel. Elle recommande toutefois d’inciter les utilisateurs à n’activer la fonctionnalité de traçage des cas contacts que pendant les périodes de circulation active du virus », a-t-elle déclaré. Enfin, elle rappelle au gouvernement que l’utilisation de l’application doit être limitée à la durée strictement nécessaire à la réponse à une situation sanitaire exceptionnelle.
Source : Rapport de la CNIL
