Monsieur le secrétaire d'État chargé du numérique, vous nous aviez fait part, lors de votre dernière audition, le 9 avril, d'un certain nombre de réflexions et d'interrogations relatives à l'application StopCovid, qui doit permettre d'identifier et de prévenir les personnes qui ont été à proximité d'une personne testée positive. La Commission nationale de l'informatique et des libertés (CNIL) a rendu ce matin un second avis à son propos, portant, cette fois, sur le projet de décret qui prévoit ses modalités de fonctionnement et les garanties apportées à ses utilisateurs à la veille du débat en séance publique. Nous souhaiterions savoir comment les choses ont évolué depuis.

Comme la CNIL l'avait demandé, le Gouvernement prendra un décret encadrant le déploiement de cette application. Il se trouve actuellement à l'étude au Conseil d'État, qui devrait rendre son avis rapidement afin que le décret puisse être rendu public avant le débat parlementaire.

Qu'est-ce qui a changé depuis ma dernière audition ? Trois éléments importants, à commencer par le fonctionnement très correct de l'application, à l'issue de quinze jours de tests menés sur les 100 téléphones de 17 marques différentes les plus utilisés par les Français, mais également en situation réelle, notamment sur le site de l'Institut national de recherche en sciences et technologies du numérique (INRIA) et dans le métro, et ce quel que soit leur système d'exploitation.

Ce résultat concorde avec celui des tests opérés par les Anglais – notamment en conditions réelles sur l'île de Wight avec 52 000 téléchargements sur 140 000 personnes. Ceux-ci devraient déployer leur application, très similaire à la nôtre, d'ici à deux ou trois semaines.

Deuxième changement : l'intégration de StopCovid au sein du système de santé, qui a conduit à définir un cas contact, à savoir un individu ayant croisé, pendant plus de quinze minutes et à moins d'un mètre, une personne testée positive. S'il dispose de l'application, il recevra une notification l'invitant à s'isoler très rapidement, à prendre contact avec un médecin et à pratiquer un test.

Troisième changement : le désalignement des pays européens – dont certains ont opté pour une application fonctionnant dans les environnements Apple et Google – sur le protocole que nous mettons en place, que nous jugeons plus protecteur de la vie privée et plus efficace d'un point de vue sanitaire. C'est également la solution retenue par les Anglais. Nous continuons néanmoins à travailler à l'interopérabilité de notre système avec les Allemands, les Italiens, les Espagnols et la Commission européenne.

L'application StopCovid demeure en revanche, de l'avis quasi unanime des professionnels de santé, utile et nécessaire en ce qu'elle couvrira des cas de transmission non identifiables par les brigades sanitaires et en ce qu'elle transmettra les informations de façon très rapide aux personnes concernées et aux professionnels de santé. En cas de prise en charge par une brigade sanitaire, vingt-quatre heures au moins s'écoulent en effet avant la prise de contact avec les personnes potentiellement contaminées. S'il ne s'agit pas d'une application magique, elle permet en tout cas de couvrir davantage de cas contact et ce de façon décisive pour lutter contre la propagation de l'épidémie, à en croire les projections réalisées notamment à Oxford ainsi que par l'Imperial College de Londres.

Les garanties qu'elle offre sont celles que j'avais déjà évoquées devant la commission – même si une application présente toujours des risques : une installation uniquement volontaire, comme le prévoit le projet de décret, un fonctionnement anonyme, temporaire, puisque ce décret prévoit qu'elle a vocation à s'éteindre six mois après la fin de l'état d'urgence sanitaire, et transparent, puisque plus de 30 000 lignes de code et, depuis hier soir, les écrans de l'interface utilisateur, ont été rendus publics.

L'article 11 du projet de loi prorogeant l'état d'urgence sanitaire prévoit par ailleurs l'instauration d'un comité de contrôle et de liaison covid-19 au sein duquel siégeront notamment des parlementaires, qui pourront en particulier diligenter tous les audits nécessaires concernant le serveur de l'application. Tout le monde pourra ainsi vérifier qu'elle fait bien uniquement ce que le Gouvernement a indiqué.

Le second avis rendu par la CNIL est en outre sans équivoque, s'agissant de l'autorisation de déploiement de l'application.

L'Assemblée nationale et le Sénat se prononceront demain au travers d'un vote à l'issue duquel le Gouvernement pourrait être autorisé à intégrer l'application dans la deuxième phase du déconfinement qui s'ouvrira le 2 juin. Cette application apportera une garantie supplémentaire à nos concitoyens désireux de retrouver une vie sociale. Cela explique notamment l'intérêt qu'elle a suscité auprès des collectivités locales, des associations caritatives et des entreprises de transport. S'il n'existe pas de seuil minimal d'utilisation de l'application parmi la population, puisqu'elle limitera dès les premiers téléchargements la transmission du virus, son efficacité sera cependant d'autant plus grande que sa diffusion sera large.

S'agissant de la fracture numérique, vous aviez évoqué, lors de votre précédente audition, la piste d'un équipement palliant l'absence de smartphones et pouvant être produit et distribué massivement : où en êtes-vous ?

Sur cette question, l'équipe projet comprend la société Withings, qui est notamment en charge de la mise au point d'outils destinés à ceux qui se trouvent éloignés du numérique. Mais je rappelle que le cœur de cible de l'application est surtout constitué par les urbains actifs utilisant le métro aux heures de pointe. Or leur taux d'équipement en smartphones est supérieur à 95 %. L'application est très simple et accessible aux personnes en situation de handicap.

En tout cas, Withings a réussi à ce stade à mettre au point une montre intégrant le protocole ROBERT (ROBust and privacy-presERving proximity Tracing), qui coûterait une cinquantaine d'euros. Sous réserve d'une validation technique, sa production industrielle et son financement devront être examinés avant une éventuelle diffusion massive, qui en tout état de cause ne pourra pas intervenir avant cet été.

L'application StopCovid, est notamment le fruit d'une collaboration scientifique et technologique européenne entre l'INRIA et certains partenaires académiques allemands, britanniques, italiens et espagnols. Compte tenu des choix technologiques différents opérés par les pays européens, les discussions relatives à l'interopérabilité des applications en cours de développement sont-elles toujours en cours ? Les échanges de données entre l'application française et les autres seront-ils possibles ? Comment notre débat pourrait-il par ailleurs alimenter celui plus global ayant trait à la souveraineté et à la sécurité numériques européennes ?

Confirmez-vous qu'aucune incitation positive, comme un élargissement des possibilités de circulation, ne poussera, conformément au règlement général sur la protection des données (RGPD), à utiliser l'application ? Quand l'interopérabilité des systèmes européens deviendra-t-elle une réalité, sachant que nos voisins rouvrent leurs frontières, que la France est un grand pays touristique et qu'il faut se prémunir contre la formation de clusters estivaux ?

Bien que les données seront anonymisées, ne sera-t-il pas possible dans certains cas de découvrir l'identité d'une personne contaminée ? Avons-nous en outre la garantie que ces données ne pourront pas être piratées ?

L'exemple de Singapour montre que de telles applications ne servent pas à grand-chose, notamment pour les personnes âgées qui constituent pourtant une population à risque.

La méthode choisie aura-t-elle par conséquent une quelconque efficacité ? N'existe-t-il pas une disproportion entre le gain escompté en matière de maîtrise de la pandémie et les atteintes potentielles à la vie privée, sachant que nous avons voté un traçage manuel dans le cadre de la loi de prorogation de l'état d'urgence sanitaire et que l'application s'apparente à une localisation déguisée des personnes concernées ?

Madame Thourot, monsieur Latombe, à ce jour, rendre interopérables les différents systèmes européens – français et anglais d'un côté, allemand, italien et suisse de l'autre – semble fort hypothétique, même si l'Union européenne reste, comme le Gouvernement, extrêmement mobilisée à ce sujet.

Le protocole Désiré, mis sur la table par l'INRIA, qui intéresse énormément nos voisins et qui a fait l'objet d'une réunion communautaire hier, pourrait tracer une troisième voie en ce qu'il permettrait – éventuellement d'ici à la fin juillet – un déploiement simultané au sein de systèmes décentralisés et centralisés. Effectivement, le fait que certains pays se soient vus « contraints » par des choix de grandes entreprises pose la question de la souveraineté numérique. Ce sujet d'inquiétude fait d'ailleurs l'objet d'une tribune que je cosigne avec mes homologues espagnole, italienne, portugaise et allemande.

Au sein de l'application, les données sont effacées au bout de quatorze jours. Aucune incitation ou coercition à son installation ne saurait exister. Si j'ai bien noté la proposition de votre collègue Damien Pichereau, celle-ci restera en effet un acte de libre arbitre.

Je renvoie MM. Paul Molac et Jean-Félix Acquaviva aux dernières projections épidémiologiques, notamment britanniques, qui font consensus : elles estiment utiles et efficaces les applications que quasiment tous les pays européens déploient car elles évitent des contaminations, des malades et des morts dès les premiers téléchargements et s'avèrent plus rapides que les brigades sanitaires. Nous n'agissons donc pas en la matière par coquetterie technologique. Par ailleurs, l'argument tiré des 60 % de la population provient d'une lecture erronée de l'étude des équipes de Christopher Fraser d'Oxford. Les épidémiologistes considèrent en effet que si 56 % de la population d'un bassin de vie téléchargeaient l'application, l'épidémie se trouverait jugulée en l'absence d'autres équipements, de gestes barrière et de confinement. Mais l'effet est d'ores et déjà systémique à partir de 10 % de téléchargement parmi la population.

Il existe des contre-exemples comme Singapour, qui a déployé l'application avant de reconfiner. Cependant, le problème de Singapour ne réside pas dans le déploiement de l'application, mais dans le fait qu'un million de travailleurs immigrés entrent chaque jour sur son territoire ; moins visés par les mesures prophylactiques que la population locale, ils ont massivement réimporté le virus.

S'agissant de la sécurité des données, il n'y a aucune localisation déguisée dans la mesure où le code est public. Il s'agit d'un outil sanitaire ; nous avons donc intérêt à ce qu'il soit transparent, afin que les gens soient rassurés quant à son utilisation.

Nous avons pris toutes les mesures possibles pour sécuriser les données de l'application, en lien avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il est impossible de garantir l'absence totale de risque, mais, outre que les données en elles-mêmes sont d'un intérêt limité, il s'agit du fichier de santé le plus sécurisé de la République française ; il l'est davantage que ceux des hôpitaux ou de l'assurance-maladie.

Nous estimons, comme la CNIL, que cet outil est adapté au contexte précis dans lequel nous nous trouvons ; il n'existerait pas sans les risques inhérents au covid-19, et ne sera pas déployé au-delà. Se pose néanmoins la question de sa proportionnalité, dont chaque parlementaire doit juger. Est-il préférable de disposer d'un outil permettant d'éviter des malades et des morts supplémentaires, ainsi qu'un reconfinement qui aggraverait encore la situation sanitaire, démocratique et économique, ou vaut-il mieux s'en passer du fait des risques qu'il implique ? Compte tenu des données scientifiques dont nous disposons, nous pensons que ce dispositif viendra compléter utilement ce qui existe, et qu'il doit être déployé.

Qu'en est-il de la compatibilité de la future application avec les principaux systèmes d'exploitation téléphoniques actuellement déployés, Android et iOS ?

Par ailleurs, quel est le niveau de précision de la technologie Bluetooth pour évaluer la distance entre le porteur du téléphone et la personne contagieuse ?

Si, comme vous le dites, des contaminations – et sans doute des morts – seront évitées dès les premiers téléchargements, le problème n'est plus de savoir si cette mesure est nécessaire, adaptée et proportionnée ; c'est plutôt en termes éthiques qu'il faut raisonner. J'ai l'impression que notre droit n'est pas adapté pour résoudre cette question de manière confortable.

Par ailleurs, pensez-vous que cette application doit être centralisée, ou bien laissée à Google et à Apple ? Les géants du numérique sont-ils plus rassurants que l'État ?

Un peu comme l'essai Discovery, qui est en passe de devenir un fiasco, cette application n'arrive-t-elle pas – sauf deuxième vague – un peu trop tard ?

Vous nous aviez dit que le Bluetooth ne fonctionnait pas très bien ; où en est-on ?

Enfin, pourquoi n'a-t-on pas actionné le dispositif des maladies à déclaration obligatoire (MDO), qui existe déjà et qui a fait ses preuves, par exemple pour ébola ou le sida ?

Il y a quinze jours, nous avons voté la prorogation de l'état d'urgence sanitaire. Les brigades sanitaires mises en œuvre pourront désormais renseigner un fichier numérique ; la commission des Lois a travaillé pour que son utilisation soit encadrée et proportionnée, en apportant un maximum de garanties en matière de protection de l'identité et des données médicales. Je me réjouis que ces garanties se retrouvent dans l'application validée par la CNIL.

En tant que députée de Paris, je m'inquiète néanmoins car depuis le 11 mai, le déconfinement s'est accompagné d'une baisse de vigilance de la population. Si cette application est validée par l'Assemblée nationale, elle devra s'accompagner d'une prise de conscience de chacun, notamment dans la seconde phase de déconfinement, à partir du 2 juin ; il faudra également que sa pleine effectivité soit assurée, par exemple par des campagnes de communication et de sensibilisation. Qu'est-il prévu en la matière ?

La CNIL juge proportionné le déploiement de l'application, tout en précisant qu'elle a un certain nombre d'observations techniques et de recommandations à formuler. Pouvez-vous nous préciser ce qu'il en est ?

Je ne suis pas convaincue de l'absolue nécessité de cette application. Étant donnés les risques qu'il induit en matière d'atteinte à la vie privée et de remise en cause des droits et libertés, un tel dispositif de cybersurveillance pose question.

Surtout, cette application est censée venir en complément d'un ensemble de mesures de prévention et de protection sanitaire ; or celles-ci sont particulièrement défaillantes. En matière de tests ou de distribution de masques gratuits, les objectifs affichés ne sont pas remplis. L'application apparaît donc comme un palliatif et une diversion, une manière de compenser le manque de moyens concrets pour protéger la population. En outre, nous n'avons aucune garantie quant à son caractère temporaire ; il arrive que certaines mesures de surveillance numérique, mises en place de manière exceptionnelle, soient ensuite généralisées.

Les arguments avancés, à la fois sur le plan sanitaire et en matière de protection des libertés, ne me paraissent donc pas suffisants pour justifier l'utilisation de cet outil.

L'INRIA et Orange ont mené des tests sur les cent modèles de téléphones – de dix-sept marques différentes – les plus utilisés par les Français, à des niveaux de batterie différents et avec différentes versions des systèmes d'exploitation iOS et Android. Ils montrent que nous parvenons à capter par Bluetooth entre 75 et 80 % des gens situés à proximité – autour d'un mètre – de la personne infectée ; les derniers tests effectués dans le métro l'ont confirmé, et les Allemands ont obtenu les mêmes résultats. Nous sommes donc confiants quant au fait que l'application fonctionne de manière très satisfaisante sur la plupart des téléphones, et nous estimons que ceux qui recevront une notification seront effectivement des cas contacts justifiant un arrêt de travail et un test. Il y a encore des éléments à améliorer, et nous continuons à travailler sur les algorithmes de classification, mais nous ne sommes pas les moins avancés sur cette question qui se pose dans le monde entier.

Le droit et la réflexion doivent évoluer avec les technologies, et nous aurons encore de nombreux débats sur l'utilisation du numérique et les limitations à lui apporter. Nos vies sont de plus en plus numérisées, définies et formatées par l'informatique ; la loi doit mettre en place les institutions nécessaires pour s'adapter à cette nouvelle donne.

La solution dite décentralisée en vigueur pour l'application, celle d'Apple ou de Google, est en réalité centralisée, puisqu'elle comprend un serveur central avec la liste des personnes infectées. Le débat sur le choix entre une version dite centralisée – chez nous, celle de la direction générale de la santé (DGS) – et une version dite décentralisée ne me semble donc pas pertinent. Je n'avais pas de préférence a priori mais, selon l'évaluation de l'ANSSI et de l'INRIA, les systèmes décentralisés sont significativement plus faciles à hacker, donc plus dangereux pour la vie privée ; par ailleurs, ils donnent beaucoup moins d'indications sur le plan épidémiologique. C'est pour cette raison que nous avons choisi un système centralisé.

Je ne pense pas, et les épidémiologistes non plus, que cette application arrive trop tard. Je n'ai trouvé aucun épidémiologiste qui dise que l'épidémie est terminée et que l'application serait inutile. Il n'y a ni coquetterie technologique, ni intérêt particulier autre que sanitaire à déployer cette application, dont la mise en œuvre soulève d'ailleurs de nombreuses questions légitimes. Nous ne la déployons pas pour nous faire plaisir, mais parce que c'est utile.

L'application n'a pas vraiment de rapport avec le dispositif des MDO ; son intérêt réel réside dans sa rapidité. Même si la maladie était à déclaration obligatoire, le délai entre la déclaration aux brigades sanitaires et l'appel des cas contacts serait de 24 à 48 heures ; avec l'application, nous gagnons ces heures décisives au cours desquelles les personnes asymptomatiques ou qui n'ont pas encore déclaré de symptômes continuent à contaminer autour d'elles.

Le risque existe que le niveau d'inquiétude diminue et que l'application paraisse moins utile aux Français, mais les travaux épidémiologiques montrent qu'il ne faut pas penser ainsi. Nous avons prévu une campagne de communication dédiée, dans le métro et dans la presse quotidienne régionale, en lien avec les collectivités territoriales qui sont très intéressées par le déploiement de l'application – c'est surtout dans les centres urbains que des foyers épidémiques risquent de réapparaître. Avec l'association « Les Interconnectés », nous avons créé un groupe de contact transpartisan, pour travailler de manière apolitique au déploiement de cet outil sanitaire qui viendra s'ajouter aux gestes barrières.

La CNIL avait fait un certain nombre de recommandations que nous avons intégrées. Dans son avis, elle valide l'application de manière non équivoque, mais elle demande des améliorations – l'information des mineurs, la formalisation du rôle des sous-traitants ou l'intégration de certains contextes spécifiques, par exemple en entreprise. Nous les intègrerons dans le projet de décret qui est actuellement examiné par le Conseil d'État et que vous recevrez ce soir ou demain.

Je ne veux pas rentrer dans le débat politique sur les masques et les tests. Seules deux questions méritent d'être posées. La première, à laquelle seuls les épidémiologistes peuvent répondre, est la suivante : l'application est-elle utile pour lutter contre le covid-19 ? La seconde consiste à se demander quels sont les risques inhérents à un tel dispositif, et ce sont les spécialistes du numérique qui peuvent en parler. Il est légitime de nourrir des inquiétudes quant à un éventuel détournement de son usage par l'État, et de poser la question de sa proportionnalité. Mais de tous les projets informatiques mis en œuvre par le Gouvernement, c'est probablement le plus transparent. Le code source est public, et la mise en place d'un comité indépendant, composé de parlementaires et de professionnels de l'éthique et de la santé, a été approuvée par le Parlement pour encadrer sa mise en œuvre. Si vous avez besoin d'une garantie supplémentaire, dites-moi laquelle, et je vous la donnerai ; si vous estimez que cette mesure qui permettrait de sauver des vies n'est pas proportionnée, vous devez expliquer pourquoi, car je n'accepte pas que l'on dise qu'elle est attentatoire aux libertés publiques. Je respecte ceux qui s'expriment contre le confinement ou contre cette application, mais il faut alors assumer de prendre le risque de malades et de morts supplémentaires.

Nous vous remercions pour vos réponses, monsieur le secrétaire d'État.