Le député Philippe Latombe (MoDem, 1ère circonscription de Vendée) revient dans nos colonnes sur StopCovid, l’application de suivi de contact débattue et votée aujourd’hui à l’Assemblée nationale. Si elle n’est pas la panacée, elle peut être utile, estime-t-il, non sans faire part d’autres inquiétudes.
Après l’avis de la CNIL, que pensez-vous aujourd’hui du projet StopCovid ?
Clairement, dans l’avis de la CNIL sur le projet StopCovid, les garanties nécessaires sont là. Je n’ai qu’un seul regret, tout le tapage autour de l’application dès le départ alors qu’elle n’était qu’en construction. Certains en ont même fait une position politique alors que tel n’était pas le sujet.
L’application va aider à tracer des cas contact. C’est un outil, pas la panacée. La solution respecte le règlement général sur la protection des données. Elle est volontaire et il est totalement exclu qu’il y ait une carotte un ou bâton. Si on veut torpiller cette appli, c’est bien avec un tel bonus ou malus !
Mes deux soucis principaux restent la question de l’interopérabilité avec les systèmes de nos pays voisins. L’interopérabilité avec Google ou Apple ne se fera pas. INRIA développe un nouveau protocole, DESIRE, pour envisager une telle solution, mais je n’en suis pas sûr.
Le deuxième point est aussi ce rendez-vous manqué de l’Europe sur le thème de la souveraineté numérique. Nous avons fait le choix de développer une solution indépendante d’Apple ou Google, mais des pays ont décidé de céder. Ce n’était pas le bon moment et cela préfigure mal de ce que pourrait être une Europe numérique.
StopCovid fonctionnera a priori en tâche de fond, tout en étant légèrement dégradée dans le sens où elle consommera plus d’énergie que si l’on avait utilisé la brique Apple ou Google.
Une question reste toujours en suspens, celle de la fracture numérique…
Le fabricant Withings vient de réussir à embarquer StopCovid sur une montre. Reste à savoir maintenant si l’on peut l’installer sur d’autres objets et surtout à quels coûts. Avec un tarif autour d’une quarantaine d’euros, on devrait trouver une solution pour équiper les populations les plus fragiles.
L’idée serait d’opter pour un bracelet connecté, comme ceux utilisés pour faire du sport, opérationnel pour l’été, distribuable d’ici septembre pour répondre à une éventuelle deuxième vague.
Là encore, ce n’est pas la panacée, mais une solution de plus, en attendant un possible vaccin ou en tout cas une augmentation des capacités de tests notamment PCR (Réaction en chaîne par polymérase, ndlr). Une boite vendéenne travaille sur une technologie ultrarapide, cette fois en test salivaire, bien plus simple que les prélèvements nasopharyngés.
Vous évoquiez le thème de la souveraineté numérique… qui va gérer le serveur centralisé ?
A priori, ce serait un serveur de la Direction Générale de la Santé (DGS), et donc pas Microsoft. Sauf que j’ai cru comprendre qu’il y aurait un accès pour les brigades sanitaires sur ce serveur. Or, elles utilisent les solutions Microsoft. Cela m’inquiète et j’attends des éclaircissements.
Qu’attendez-vous des débats organisés aujourd'hui à l’Assemblée nationale ?
J’attends aussi qu’un certain nombre de positions purement politiciennes s’estompent, qu’on parle des vrais sujets, de souveraineté numérique, des données de santé, de ce que sont les libertés.
Beaucoup de personnes essayent aujourd’hui de se placer en cas de remaniement, sans se poser les bonnes questions notamment s’agissant de la loi Avia à l’épreuve de la liberté d’expression, des personnes qui utilisent Zoom ou ne voient pas les problèmes soulevés par l’article 57 de la loi de finances sur le chalutage des réseaux sociaux par les services fiscaux.
Elles veulent peser sur « le monde d’après », adoptant une posture, sans entrer dans le fond technique du sujet.
L’appli est plutôt « clean » pour une fois. Je suis pour ma part plus inquiet, si l’on n’adopte pas StopCovid, que Google et Apple en profitent pour développer leur propre application et que toutes les données partent à l’extérieur.
Avec la solution française, au moins on peut vérifier les informations, s’assurer qu’elles ne sont pas utilisées autrement et qu’elles sont bien effacées. Voilà aussi pourquoi la CNIL a tenu à expertiser cette solution très régulièrement. Le dossier médical partagé, hébergé par Microsoft, est un autre sujet d’inquiétude.
Commentaires (26)
> L’appli est plutôt « clean » pour une fois. Je suis pour ma part plus inquiet, si l’on n’adopte pas StopCovid, que Google et Apple en profitent pour développer leur propre application et que toutes les données partent à l’extérieur.
Oui, mais les données vont quand même partir à l’extérieur puisque les équipes de développement ont fait le choix d’intégrer reCAPTCHA qui appartient à Google cfhttps://twitter.com/laquadrature/status/1265574212451946497 . Donc on nous bassine avec la souveraineté numérique mais il n’y a aucune réelle volonté de la part de notre gouvernement de mettre réellement en œuvre les moyens nécessaires pour assurer une souveraineté numérique. Je renvoie notamment aux divers contrats liant Microsoft et l’Éducation Nationale ou le Ministère des Armées. Je crois qu’il n’y a que la Gendarmerie qui a fait un réel effort en utilisant Ubuntu mais je ne sais pas si cette information est toujours d’actualité.
Le fait qu’un député qui discute d’une application en lien avec des lois votées dans sa propre assemblée, puisse dire qu’il n’y a rien de politique là dedans a le don de me faire perdre des cheveux…
Ce qu’il dit est louable… mais en total désaccord avec les positions de son propre parti politique, qui propose tour à tour qu’il faudrait étudier le fait de donner un “bonus” aux gens qui installent l’application, ou encore l’initiative franco-française qui se plaint de non uniformité européenne alors qu’il y a justement un projet en cours au niveau de l’UE, qui dénonce justement l’initiative individualiste de la France…
Le DMP hébergé par Microsoft ?… Déjà que ce système ne me sert à rien depuis plusieurs années, donc je vais vite supprimer le mien.
Hmmm ? Pourrais-tu expliquer ce que tu veux dire stp ?
Je ne vois pas en quoi un système de Recaptcha pour “s’authentifier” entraînerait siphonnage des données récoltées.
Bon par ailleurs je ne vois pas à quoi sert un système de Recaptcha tout court en l’occurence, j’ai dû louper un truc fondamental sur le fonctionnement de l’appli.
Il n’y a pas siphonnage de toutes les données, on est d’accord, mais il y a quand même un identifiant unique qui part vers Google voire dépôt d’un cookie identificateur dans l’application donc il y a quand même des données personnelles (telles que définies par le RGPD) qui sortent de l’UE contrairement à ce qui est affirmé. En fait, c’est ça qui me gêne surtout, ce décalage entre ce qui est dit et ce qui est réellement fait. On parle de souveraineté numérique pour justifier le fait de faire cavalier seul dans le cadre de cette application de traçage des contacts mais on utilise finalement un outil de Google. C’est cette contradiction qui me pose soucis.
Et le but de l’usage de reCAPTCHA est de s’assurer que l’utilisateur est bien un humain, et c’est dans cette optique là qu’il est utilisée dans l’appli StopCovid pour éviter, j’imagine, de générer des fausses données par des robots qui pollueraient le système. Encore une fois, ce n’est pas l’usage d’un tel outil qui me gêne, mais plutôt qu’on fasse appel à celui de Google pour ça alors qu’il existe d’autres.
C’est hébergé en France; cf les mentions légales.
“L’hébergement de l’espace d’information et d’accès au DMP est assuré par la société Worldline. Worldline fait appel à l’hébergeur Santeos (société filiale de Worldline), qui bénéficie d’un agrément pour une prestation d’hébergement des données de santé à caractère personnel collectées dans le cadre du Dossier Médical Partagé.”
Après on ne sait pas quelle solution de stockage est utilisée par la-dite société (aws, azure, etc.) - mais il faut un agrément spécifique pour stocker des données de santé, et ça doit se faire en France, en principe.
Je comprends tout à fait et je partage, mais pour le coup j’aurai du mal à jeter la pierre au chef de projet.
On a donné à l’équipe chargée de développer l’app, un délai fichtrement déraisonnable pour faire du taff propre.
–> Toute partie fonctionnelle pouvant être déléguée à un prestataire dont la fiabilité est éprouvée sera bonne à prendre.
-> Existe-t-il une solution open source (ou au moins propriétaire mais française) de filtrage de non-humain par recaptcha ou équivalent, qui soit aussi simple à mettre en place, naturellement robuste en mise à l’échelle, et fiable ?
C’est une question ouverte, je ne connais pas du tout cet écosystème donc aucune idée… Néanmoins là comme ça intuitivement j’aurais tendance à dire “non” (ou au mieux “pas encore”).
Car avoir l’IP/téléphone une seule fois, c’est bof mais ça passe
Cher linkin623,
Nous remarquons que vous avez installé l’application StopCovid. Savez-vous que Google propose l’application |lien vers GooglePlay| qui propose une fonctionnalité équivalente, qui est mise à jour régulièrement et qui est bien moins énergivore ?
|publicité 1 covid| |publicité 2 covid| |publicité 3 covid|
Je suis d’accord avec toi, ils ont fait comme ils ont pu dans le court temps qui leur était imparti.
En équivalent à recaptcha français ou open-source, il n’y a effectivement pas aussi efficace aujourd’hui. J’avais entendu parlé de hcaptcha lorsque CloudFlare est parti chez eux cfhttps://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/ mais c’est Américain, donc ça ne rentre pas, et en open-source et auto-hébergeable, il y a kcaptcha ou phpcaptcha mais ça n’a pas l’air d’être aussi efficace que recaptcha. Et ça nécessite d’utiliser en plus du php qui n’est pas présent dans l’appli.
Développer un captcha custom ça prend …. allez je suis gentil … 1h à tout péter pour un junior qui va aller devoir fouiller sur stackoverflow.
Certes c’est simplifié mais au final c’est un peu cela.
Dans la réalité ca ajoute un tag temporaire neutre (genre #HasRegisteredStopCovid) dans les profils.
Puis, plus tard, un algo fera de la classification et créera des méta-classes pour segmenter/regrouper ceux qui ont ce tag. Le tag temporaire sera remplacé par celui de la/des méta-classes qui te correspondent le mieux.
Pas certain qu’il y aura une classe covidFear… Mais sait-on jamais :)
De la part d’un gouvernement qui veut ficher les fumeurs de cannabis pendant 10 ans je n’ai aucune confiance.
Oui. Le tag c’est une info d’appartenance à une classe.
A une époque (y a longtemps) c’était une info ternaire: true/false/unknown.
Je pense avoir lu que c’était devenu une proba 0.0-1.0, avec 0.5=unknown.
Il aborde pleins d’autres sujets, tous aussi intéressants que cette appli, mais qui n’ont aucun rapport avec l’interview. A-t-il fait des propositions pour combler ses propres inquiétudes ? Lancé des enquêtes parlementaires ? Posé des questions à l’Assemblée ? En parle-t-il dans son parti, ou avec LREM puisqu’ils sont dans la même majorité ?
Ca aussi, c’est une posture purement politicienne : présenter une liste de problèmes, et dire que c’est inquiétant et qu’il est temps de s’y intéresser, alors que justement c’est à lui (et à ses confrères) de s’y attaquer. il attend quoi, d’être élu député ? Avec ces propos il perd toute crédibilité (alors qu’il a un avis assez intéressant sur l’appli).
On parle d’une appli Android et iOS.
Tu penses que Google a vraiment besoin de reCAPTCHA pour siphonner de la donnée perso dans le cas du premier ?
Là, tu tires un peu à boulets rouges sur une force vive de l’hémicycle. Si les député(e)s de mon département étaient aussi actifs et impliqués sur les sujets que Philippe Latombe (si j’en crois sa fiche NosDeputes.fr), j’en serais ravi.
Je ne conteste pas son implication, ni à l’AN ni dans sa circonscription.
Dans ce cas, je peux être d’accord avec toi. À titre personnel, je pense que, dans le processus démocratique du régime politique de la Ve République, il faudrait soit remettre le décalage entre le mandat présidentiel et le mandat de l’AN (la “cohabitation” avait de bon le fait de mettre un peu de contrepouvoir entre l’exécutif et le législatif), soit supprimer le droit de dissolution de l’AN par le PR et laisser le 1er Ministre s’expliquer en cas de motion de censure/art.49-3 – voire supprimer le 1er Ministre et établir un régime présidentiel avec exécutif et législatif radicalement séparés (comme le Sénat US versus le PotUS).
Pour reprendre ton expression, ça éviterait la position purement politicienne d’un Député d’obédience démocrate (donc enclin à la discussion, au débat) qui ne fait que présenter une liste de problèmes.
On est d’accord là-dessus mais mon point principale est qu’il y a eu tout une polémique autour de la souveraineté numérique lors de la création de StopCovid, raison pour laquelle on a fait notre truc dans notre coin qui n’est pour l’instant pas compatible avec les solutions de nos pays voisins (ici le but n’est même pas de dire laquelle des deux solutions entre celle français et celle de Google et Apple est la meilleure), pour qu’au final l’appli utilise un outil de Google. Niveau souveraineté numérique, on repassera.
Alors soit, ce n’est que pour le captcha, mais vu tout le bruit qu’il y a eu autour de la souveraineté numérique, notamment durant les débats à l’Assemblée Nationale (Cédric O qui comparait le fait qu’on ne se soit pas plié à la solution de Google et Apple au fait qu’on possède l’arme nucléaire par exemple…), je m’attendais à ce qu’il n’y ait que des outils français ou européen au moins utilisée dans StopCovid.