Le Premier ministre l'avait assuré au moment de présenter le projet : le gouvernement avait selon lui «pris toutes les garanties nécessaires pour que StopCovid respecte les données personnelles et de vie privée de ceux qui l'utilisent». «Son utilisation sera anonyme», avait-il martelé pour rassurer les opposants de cette application de traçage.
Pourtant, comme le révèle l'association de défense des libertés sur internet la Quadrature du Net, un acteur, et pas des moindres, a accès à certaines informations concernant les utilisateurs de l'application : Google.
La raison est simple : le système de vérification Captcha utilisé par StopCovid – qui permet de s'assurer que l'utilisateur est un humain et non robot –, propriété de Google, enregistre l'adresse IP du téléphone. «Cela signifie que potentiellement, Google connaît l'identité de tous les portables qui utilisent StopCovid», résume dans les colonnes du Canard Enchaîné Arthur Messaud, de la Quadrature du Net.
Interrogé par l'hebdomadaire, un porte-parole du secrétariat chargé du Numérique justifie l'utilisation des services de l'entreprise américaine en expliquant qu'elle est la «seule à fournir ça». «Nous avions prévu de développer un service de Captcha souverain qui sera utilisé dès sa disponibilité dans l'application StopCovid», poursuit-il. En attendant l'hypothétique mise en service d'un Captcha à la française, un million d'utilisateurs ont déjà téléchargé l'application.
Les informations de santé des Français stockées sur des serveurs Microsoft
La problématique de la protection des données de Santé dépasse le simple cadre de l'application StopCovid, comme l'avait souligné il y a quelques semaines le secrétaire d'Etat chargé du Numérique, Cédric O : «La santé, c'est l'affaire des Etats, pas des entreprises américaines.»
Une sortie qui se voulait rassurante mais qui n'a toutefois pas été au-delà de la simple bonne intention. Dans les faits, le gouvernement a en effet décidé d'héberger le Health Data Hub – cette plateforme française chargée de mettre à disposition des scientifiques à des fins de recherche des données très personnelles relevant du secret médical – sur des serveurs... Microsoft.
Une décision qui a fait bondir les acteurs français du secteur, à l'image du fondateur de la société roubaisienne OVHcloud : «C'est la peur de faire confiance aux acteurs français de l'écosystème qui motive ce type de décisions. La solution existe toujours. Le lobbying de la religion Microsoft arrive à faire croire le contraire.» Interrogé au Sénat sur les raisons qui ont poussé le gouvernement à opter pour une entreprise américaine, Cédric O a soutenu que les solutions françaises ne permettaient pas toutes les analyses scientifiques attendues par les chercheurs.
Plutôt que d'attendre que ces dernières développent des solutions, le gouvernement a donc préféré confier ces données sensibles à Microsoft, avec tous les risques que cela implique. Microsoft peut en effet être légalement contraint de partager ses données avec les autorités américaines. Pas de quoi inquiéter Cédric O pour autant : «Je ne crois pas qu'il y ait de fuites de données.»
Un avis loin de faire l'unanimité, notamment au sein du secteur médical. Interrogé par RT France, le médecin généraliste Karim Khelfaoui avait tiré la sonnette d'alarme début mai : «Si ces données venaient à tomber entre de mauvaises mains, des gouvernements, des banques, des assureurs ou des employeurs, je vous laisse imaginer les conséquences sur la vie quotidienne des personnes.»