StopCovid reste un échec. Dès le départ, des doutes s’étaient exprimés sur ce projet, dénoncé comme opaque. Le gouvernement a remis un premier bilan au Parlement. Il est particulièrement indigent. Nous le diffusons aujourd'hui, assorti de l'avis de la CNIL. Des mesures devraient être annoncées ce mercredi soir.
La loi du 11 mai prévoyait trois applications « SI covid », développées spécialement pour la gestion de l’épidémie de Covid-19, en plus des systèmes existants : SI-VIC, SI-Samu, ROR et les systèmes d’information des hôpitaux.
Tout d'abord SI-DEP (Système d’information de dépistage), une plateforme de remontée des examens virologiques (RT-PCR) et sérologiques (ELISA, TRD) par les laboratoires de biologie médicale. Puis Contact Covid de l’Assurance Maladie (Ameli Pro), qui permet d’outiller le suivi des enquêtes sanitaires pour rechercher les cas contacts.
Le dernier est celui qui a été le plus médiatisé : l’application StopCovid. Réticent sur ce projet, le Parlement a exigé plus de transparence. La commission des lois de l’Assemblée avait donc adopté un amendement du député LREM Sacha Houlié indiquant que le gouvernement devait adresser au Parlement « un rapport détaillé de l'application de ces mesures », qui serait publié tous les trois mois, jusqu'à la disparition de ces systèmes d'information.
Next INpact se l’est procuré, et le moins que l'on puisse dire c'est qu'il n’est pas très « détaillé ». Pourtant, alors que l’épidémie repart, le gouvernement souhaite développer l’usage de Stop Covid et multiplie les appels du pied en ce sens. Si des annonces sont attendues, on ne peut qu'espérer que la transparence soit enfin au menu.
Des chiffres, quels chiffres ?
Ce rapport se veut surtout rassurant sur les trois systèmes créés. Sur SI-DEP, on apprend ainsi que « de multiples travaux ont été mis en œuvre pour garantir la sécurité des données. En lien avec l’ANSSI, les acteurs ont mis en place de nombreuses actions : sécurisation du transport, cryptage de la base de données et des fichiers, identification électronique avec authentification à deux facteurs, conduite de tests d’intrusion, etc. »
Pour Contact Covid, qui n’est pas encore relié à SI-DEP (une interconnexion automatique est prévue à moyen terme), le gouvernement ne livre aucune donnée. Enfin, sur StopCovid, le gouvernement ne consent à ne donner qu’un chiffre : début septembre « plus de 2,5 millions de Français » auraient téléchargé cette application.
Mais rien sur les nombres hebdomadaires et localisés de cas positifs détectés, de téléchargements et les incidences relevées, ainsi que les coûts liés à l'application. Pour avoir des chiffres, les parlementaires sont invités à lire la presse. Checknews indique ainsi que « 3 728 utilisateurs ont scanné leur code cas Covid [personnes testées positives au virus] » et que l’application a permis d’identifier « 252 cas à risque ». Pour une dépense estimée entre 80 000 et 120 000 euros par mois.
À la place, le gouvernement préfère retracer la genèse de StopCovid et rappeler qu’il provient d’« un projet de recherche qui a été initié au niveau européen dans le cadre d’une collaboration franco-allemande à laquelle a participé Inria ». Il précise qu’ont été mis à contribution « l’ANSSI, Santé Publique France, l’Inserm, Capgemini, Orange, Dassault Systèmes, Lunabee Studio et Withings. Un écosystème de contributeurs a également été mobilisé. L’hébergement du serveur de l’application est pris en charge par 3DS Outscale, qui fait partie de l’équipe projet StopCovid. C’est à ce jour, le seul prestataire d’hébergement qualifié SecNumCloud par l’ANSSI et agréé hébergeur de données de santé (HDS) ». Mais rien d’autre, pas un chiffre, pas un montant, pas un retour d’expérience.
Des avis indépendants, un peu plus bavards
Pour en savoir plus, il faut donc lire la presse ou d’autres rapports. D’abord l’avis du comité de liaison et de contrôle Covid-19 (CCL), composé de représentants d’autorités et de quatre parlementaires.
Concernant Contact Covid, le CCL insiste sur la nécessité de rester vigilant quant au respect de la confidentialité des données de santé. Plusieurs exemples sont donnés de cas où la confidentialité a été bafouée, comme des entreprises où la liste des salariés testés positifs a été communiquée.
Il souligne « des difficultés de respect de la confidentialité pour les personnes placées en Centre de rétention administrative » et tique sur le « recueil de données de santé personnelles sur les bases de données de compagnies aériennes ».
Sur StopCovid, le CCL insiste sur le très faible nombre de notifications à des cas contacts « inférieur à 200 sur trois mois, ce qui est dérisoire ». Il révèle aussi qu’au moins 700 000 personnes ont désinstallé l’application, un chiffre sur lequel « le Gouvernement communique très peu » et estime que l’application StopCovid doit être relancée.
« Le rebond de l’épidémie est favorable à une campagne de promotion de cette application », comme l’a montré l’exemple guyanais. Après un SMS des autorités, face à la montée de l’épidémie, plusieurs milliers de personnes l’avaient téléchargée. Il est donc conseillé au gouvernement de faire de même. Difficile en l'état actuel des choses.
Les contrôles de la CNIL
L’autre document qui permet d’en savoir plus est l’avis de la CNIL, rendu public la semaine dernière. Presque aussi long (21 pages) que le rapport gouvernemental (29 pages), il était également prévu par l’amendement Houlié.
Comme le CCL, la CNIL demande que le gouvernement donne des indicateurs de performance des systèmes déployés. Elle regrette ainsi « que le rapport du Gouvernement adressé au Parlement ne fasse pas état d’éléments plus précis justifiant de la nécessité de maintenir ces traitements au regard du contexte sanitaire actuel ».
La Commission fait aussi état des vérifications opérées sur SI-DEP, Contact Covid et StopCovid. Pour SI-DEP, elle délivre un satisfecit, soulignant l’effort de pédagogie envers l’ensemble des acteurs de la chaîne de remontée des tests. Sur Contact Covid, elle regrette la faible information délivrée à certains patients 0 et cas contact.
Par ailleurs, quelques mauvaises pratiques ont été relevées lors de contrôles, comme des données envoyées par des CPAM à une ARS sans passage par une messagerie sécurisée.
C’est sur StopCovid que la CNIL est la plus sévère, ayant mis en demeure le ministère de la Santé sur cinq points. Dans son rapport au Parlement, le gouvernement consent à reconnaître ses failles, tout en indiquant qu’une « partie de ces rectificatifs avaient déjà été mis en place entre la fin des contrôles et la mise en demeure ».
La v1 faisait remonter l’historique des contacts au serveur central, au lieu de filtrer au sein du téléphone. Le gouvernement a aussi dû mettre fin au recours au reCaptcha de Google. La Direction générale de la Santé a dû compléter les mentions d’information fournies aux utilisateurs, en mentionnant les données communiquées à Inria. Enfin, l’analyse d’impact à la protection des données (AIPD) de l’application a dû être complétée.
Une réponse a été apportée à la CNIL le 17 août, permettant à sa présidente de clore la mise en demeure le 3 septembre. Une seconde phase de contrôles est d’ores et déjà prévue avant la fin du mois.
Le plan de relance de StopCovid
Face à l’échec de StopCovid, Emmanuel Macron aurait tapé du poing sur la table le 11 septembre, selon le Canard enchaîné. Le président se serait notamment étonné que les jeunes, chez qui le virus circule le plus, ne téléchargent pas l’application. Il aurait mis en avant la campagne de communication à 50 millions d'euros faite en Allemagne. Un conseil de défense spécial StopCovid s’est tenu ce mercredi matin, des annonces devraient suivre.
Pour relancer le projet, Cédric O a cherché des idées. Première piste : rendre prioritaire au test les utilisateurs de StopCovid. De quoi faire hurler de nombreux députés, y compris de la majorité comme Eric Bothorel et Sacha Houlié, qui vient même de déposer un amendement pour s’y opposer. Le gouvernement a depuis fait machine arrière sur cette idée, Cédric O ayant juré dans les médias que « StopCovid ne sera pas rendu obligatoire ».
Le gouvernement pourrait s’orienter sur une campagne de communication, notamment en ligne. Il n’a jusqu’ici pas pensé à acheter de l’espace sur les réseaux sociaux, ce qui serait pourtant logique pour inciter au téléchargement d’une application. Sur Snapchat, alors que le gouvernement a dépensé 25 000 euros depuis le début de l’année, par exemple pour encourager les jeunes à voter malgré le Covid-19, rien sur StopCovid.
Même absence de communication sur Facebook, où il a plutôt misé sur une fille en bikini pour promouvoir les gestes barrières, une publicité à destination des hommes âgés.
Une dernière piste pourrait être... de simplement jouer la transparence sur le fonctionnement de l’application et la gestion des données. La députée Alice Thourot, qui rapporte le texte de prorogation de l’état d’urgence sanitaire, veut imposer plus de transparence dans les prochains rapports du gouvernement , avec des éléments quantitatifs.
Car les députés en ont eux aussi marre de l’opacité gouvernementale sur StopCovid.
