Comment analysez-vous les controverses autour du traçage ?

C’est un débat à fronts renversés, plein de confusions et de paradoxes : des épidémiologistes réputés recommandent l’appui des applications informatiques et des informaticiens renommés les déconseillent. Les doutes ont envahi une grande partie de la société française, jusqu’au plus haut niveau de l’État. Mais tous les pays qui ont réussi à dompter l’épidémie ont investi dans le traçage, s’appuyant sur une combinaison de savoir-faire humains et d’outils électroniques.

Connaissant les risques de la surveillance électronique, pourquoi soutenez-vous la mise en place de l’application de traçage ?

Le traçage, électronique ou pas, est une forme de surveillance légère et rétrospective. On ne vous piste pas, on ne restreint pas vos mouvements. Il s’agit, quand on découvre que vous êtes infecté, de prévenir systématiquement et rapidement les personnes que vous avez pu contaminer pour qu’elles puissent s’isoler. Les enquêteurs humains font appel à la mémoire humaine, les algorithmes aux outils électroniques. La Corée du Sud ou Taïwan – des États démocratiques – n’ont pas hésité à recourir à des méthodes exhaustives. Notre société ne peut pas prendre le risque de laisser courir l’épidémie : il faut mettre tous les atouts de notre côté. À nous d’adopter des garde-fous pertinents pour que ces pratiques soient acceptables et acceptées.

Le sujet est l’objet de fortes tensions en France.

Santé publique France indique que la crise sanitaire a généré des niveaux d’inquiétude jamais enregistrés jusqu’alors. Le moment est troublé, on en oublie presque qu’on fournit constamment des informations confidentielles sur notre état de santé à l’État. Dès que les algorithmes s’invitent dans le débat, il y a une réaction plus ou moins forte selon les pays, clairement épidermique en France. Notre histoire n’y est sans doute pas pour rien : le fichage des Juifs pendant la Seconde Guerre mondiale est encore dans la mémoire collective. Rien d’étonnant à ce que le sujet soit également hypersensible en Allemagne. Le Règlement général de protection des données est d’ailleurs issu de l’action d’un eurodéputé vert allemand.

Les révélations d’Edward Snowden sur l’espionnage de masse ont marqué les esprits.

Cette affaire avait relancé les discussions sur la protection des données à l’échelle européenne, alors menacées d’enlisement. Finalement, le règlement européen, contraignant mais ­protecteur, est en avance sur le reste du monde. Apprendre à bien l’utiliser est un défi pour que l’Europe puisse trouver sa voie, entre la surveillance des grands acteurs privés américains et la surveillance étatique massive mise en œuvre en Chine – avec la notation sociale et le regard omniprésent de la société sur l’individu.

Quelles garanties offre une appli du type StopCovid ?

Toutes nos institutions (Comité d’éthique, Conseil du numérique, académies…) se sont prononcées pour le principe d’un traçage automatique, où les contacts sont repérés par Bluetooth, avec une garantie d’anonymat, de consentement et une durée limitée dans le temps. Ce qui n’empêche pas la méfiance de s’exprimer jusqu’au Parlement. Il faut la prendre au sérieux, convaincre, argumenter. Nous pouvons combiner efficacité algorithmique et respect de la vie privée. La France, depuis la fondation de la CNIL en 1978, a toujours été à la pointe de la lutte contre les dérives algorithmiques.

Même la communauté informatique exprime des doutes.

Les informaticiens savent que tout est piratable… C’est le refrain que répète Adi Shamir, l’un des plus grands spécialistes en cybersécurité, qui a notamment montré qu’on pouvait casser le code d’un ordinateur en enregistrant le bruit de son moteur. Dans le cas présent, c’est une histoire de bénéfice-risque. Une entreprise peut, avant un entretien d’embauche, découvrir que vous avez été contaminé ; des pirates peuvent tenter de discréditer le système en l’inondant de faux positifs. Mais le coût pour la société reste très faible par rapport à l’enjeu gigantesque qui consiste à réduire le risque de rechute.

Un débat oppose le système prôné par la France et la Grande-Bretagne, et celui développé par Apple et Google.

Tous les projets développés en ­Occident se limitent au Bluetooth, gage de ­respect de la vie privée puisque cette technologie permet de détecter quand des téléphones s’approchent sans pour autant trahir les lieux. Il y a cependant une controverse majeure sur l’architecture du partage des données. Dans le projet « décentralisé » développé par Apple et Google, le gros de l’algorithme s’effectue sur les smartphones, tandis que, dans le projet français, les calculs clés sont effectués sur un serveur central. Depuis Snowden, on a appris à se méfier des architectures informatiques centralisées, la réaction de la communauté informatique a donc été d’autant plus négative contre la solution centralisée. « Design is politics », disent les Anglo-Saxons. Il y a ainsi d’énormes débats entre algorithmiciens, qui pourraient remplir un numéro entier du 1 développant les arguments et les contre-arguments pour l’une ou l’autre de ces solutions, dont les acronymes sont ROBERT (pour la solution centralisée) et DP3T (pour la décentralisée). En réalité, chacune présente des éléments de centralisation et de décentralisation et de très hauts niveaux de protection.

Alors pourquoi utiliser pour StopCovid une architecture centralisée ?

Pour des raisons scientifiques et épidémiologiques : la possibilité de pratiquer des analyses a posteriori, d’utiliser les techniques de fouille de grandes données et d’intelligence artificielle, de changer les paramètres par essai/erreur pour éviter une abondance de faux positifs ou de faux négatifs… Ajoutons que dans le système centralisé, il n’existe nulle part de liste qui encode les personnes contaminées : elles sont disséminées parmi les personnes-contact. Une nouvelle version du protocole est en cours de développement, qui permet que seules les personnes concernées puissent savoir qu’elles ont été en contact. Développé par des chercheurs allemands et français, ce protocole, appelé DESIRE, est absolument brillant. C’est un excellent exemple du fait que les contraintes favorisent la créativité.

Mais Google et Apple sont opposés à cette solution ?

Il est évident que StopCovid fonctionnerait bien mieux avec la coopération de Google et d’Apple. Avec leurs mises à jour automatiques, ils permettraient que l’application soit téléchargée de façon bien plus systématique. Ils refusent d’ouvrir le capot du Bluetooth à une solution centralisée. C’est un conflit entre deux visions antinomiques : un État persuadé de son bon droit pour définir la politique de santé de millions de ses citoyens, et des géants du numérique qui estiment qu’ils sont plus légitimes que les gouvernements pour assurer la sécurité et la confidentialité des données.

Cela pose la question de notre souveraineté technologique ?

Aujourd’hui, les acteurs numériques européens ne pèsent presque rien. Serveurs, clouds, plateformes de données, systèmes d’exploitation… tout se construit ailleurs qu’en Europe. Si un géant européen existait – je ne suis pas sûr que ce soit possible à moyen terme –, le rapport de force serait différent. Au minimum, il aurait fallu que l’Europe s’entende sur le projet de traçage. L’Allemagne s’est lancée dans la solution ROBERT avant d’opter pour DP3T ; elle reviendrait peut-être vers ROBERT… La position des pays a fluctué sur fond de lobbying intense, voire de pressions politiques. Si la souveraineté des médicaments est souhaitable, la souveraineté numérique l’est tout autant.

Notre base de données de santé est hébergée par Microsoft, n’y avait-il aucune solution européenne ?

Si l’on voulait un déploiement complet et rapide, non ! Mais Microsoft ne peut être une solution viable de long terme. Le contrat entre la Direction de la sécurité intérieure (DGSI) et l’américain Palantir est encore plus contestable. Pour favoriser l’émergence des entreprises européennes, il faut qu’elles disposent de marchés publics. Je suis l’un des promoteurs du « Buy European Act » : toute administration publique européenne qui veut se fournir sur un secteur sensible devrait accorder une priorité aux acteurs européens. Oui, c’est une mesure protectionniste, et alors ? Les États-Unis l’appliquent depuis quatre-vingt-dix ans ; la Chine a encore pris des mesures de ce type pour favoriser l’émergence d’Alibaba, de Baidu, de Tencent et de Huawei…

L’Europe a-t-elle conscience des enjeux ?

La Commission européenne est techniquement mieux armée qu’il y a quelques années, elle possède de bonnes ressources, tout comme le Parlement européen. ­Poli­tiquement, c’est moins clair. La coordination européenne n’est pas au rendez-vous.

Les GAFA (Google, Amazon, Facebook et Apple) ont fait de la santé et de la finance des axes majeurs de leur expansion.

Il y a un vrai danger si des acteurs privés ayant accès à des données de santé se lancent dans des opérations d’assurance. Ce rapprochement pourrait signifier la fin de la solidarité par le risque partagé, mutualisé. L’avènement de systèmes d’assurances trop personnalisés pourrait mettre en péril notre modèle de société.

Le premier risque, n’est-ce pas la somme des traces que nous laissons à travers nos téléphones ?

En utilisant Google Maps et bien d’autres applis, des millions de personnes donnent en permanence des informations confidentielles à un opérateur privé. Il y a une part symbolique : à qui faites-vous confiance pour vous protéger, un acteur étatique ou privé ? Si vous avez grandi en Allemagne de l’Est, vous préférerez certainement un acteur privé. La plupart des Français feront sans doute plus confiance à l’État qu’à une entreprise mue par ses intérêts parti­culiers. Au-delà, nous sommes entrés dans une société où la surveillance est partout, nous vivons sous le regard des réseaux sociaux, un peu comme dans le panoptique. Le smartphone a introduit une rupture anthropologique.

Entrevoyez-vous une solution ?

Il y a certes des garde-fous légaux très robustes en Europe, mais les réseaux sociaux forment une servitude volontaire très populaire. Ces servitudes sont psychologiques, voire culturelles. Comment réussir à se passer des avantages des ­smartphones, de tout ce qui espionne nos vies et dissémine nos données ? La solution passe par l’éducation collective, psychologique, pour réussir à se détacher de cet objet, s’obliger à des moments sans connexion. Il faut cultiver tout ce qui peut nous redonner concentration, sérénité et méditation. Nous avons les armes en nous, nous sommes au tout début de ce combat. 

 

Propos recueillis par PATRICE TRAPIER