StopCovid : peu de téléchargements, mais beaucoup de données collectées

200000 EUROS
StopCovid aurait un coût d'entretien de plus de 200.000 euros par
mois.

Alors que le gouvernement espérait faire de son application de traçage numérique StopCovid sa nouvelle arme contre le coronavirus, cette dernière est loin d’avoir été téléchargée par un grand nombre de Français. Et les dernières informations à son sujet sur la collecte de données personnelles risquent fort de ne pas améliorer la situation.

StopCovid : mois de 2 millions de téléchargements en deux semaines

Lancée le 2 juin 2020, à l’occasion de la phase 2 du déconfinement en France, l’application StopCovid continue de faire parler d’elle… en mal. Après des doutes concernant le coût de son maintien sur les serveurs, au point que des soupçons de favoritisme ont été évoqués, FranceInfo dévoile des chiffres sur le nombre de téléchargements qui ne sont guère positifs.

Obtenus par la chaîne d’info auprès du secrétariat d’État au Numérique, les chiffres montrent une première vague de téléchargements de l’application StopCovid dans les 10 jours suivant son lancement : 1,5 million. Une donnée plutôt positive, mais la tendance n’a pas duré. Les cinq jours suivants, seulement 200.000 téléchargements ont été effectués par les Français, portant le total à 1,7 million en deux semaines, soit environ 2% de la population.

Ces chiffres sont par ailleurs à prendre avec des pincettes : le secrétariat d’État au Numérique ne précise pas le nombre d’utilisateurs réels de l’application qui doit être activée pour fonctionner. Certains utilisateurs pourraient l’avoir désinstallée, ou avoir débranché le Bluetooth de leur smartphone, technologie nécessaire pour qu’elle fonctionne. Au point que Cédric O, secrétaire d’État au Numérique et premier défenseur de StopCovid, confie à FranceInfo : « Aujourd’hui, vu la faiblesse de l’épidémie, l’utilité de l’application est relative ».

Beaucoup plus de données personnelles collectées qu’annoncé

Cette mauvaise nouvelle sur les téléchargements de StopCovid arrive au lendemain d’une autre mauvaise nouvelle : Mediapart a interrogé le chercheur français en cryptographie de l’Inria Gaëtan Leurent sur les données personnelles collectées par l’application. Et sa découverte ne va pas dans le sens du gouvernement.

Alors qu’elle était présentée comme ne collectant que peu de données, les échanges n’étant censés s’effectuer qu’entre deux téléphones se trouvant à moins d’un mètre de distance l’un de l’autre durant une durée minimum de 15 minutes, StopCovid récupèrerait bien plus de données que ça.

Sur la plateforme de développement de l’application, il écrit : « J'ai fait un test en installant StopCovid sur deux téléphones, et en l'activant une dizaine de secondes avec les deux téléphones dans deux pièces différentes (environ 5 mètres de distance, plus un mur). Quand je me déclare ensuite comme malade, mon appli envoie bien ce contact sur le serveur, alors qu'il n'a aucun intérêt épidémiologique. (Je me déclare évidemment avec un faux code de malade, et le serveur refuse mes données, mais cela permet de bien voir ce qui est envoyé). »

La CNIL s’en mêle, le gouvernement se justifie

Pour le chercheur, cette collecte d’informations, confirmée par ailleurs par les administrateurs de l’application, « si ce comportement est confirmé, je pense que c'est en contradiction avec le décret qui encadre l'utilisation de StopCovid, et cela présente un vrai risque pour le serveur d'apprendre le graphe social des utilisateurs ».

Une inquiétude sur laquelle la Commission nationale informatique et libertés serait en train de se pencher, selon les informations de Mediapart. Des contrôles sont en cours.

Interrogé par Mediapart, le gouvernement se défend et explique que ce comportement assez simplement : il permettrait d’identifier des contacts de plus de 15 minutes de manière certaine. Toutes les 15 minutes, en effet, un nouvel identifiant est attribué à l’application : « ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes: deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit en réalité d’un seul, de 17 minutes, donc à risques ».


A découvrir