L’app de traçage StopCovid passera devant le parlement le 27 mai prochain et devrait être disponible dans l’App Store et le Google Play Store le 2 juin… si tout va bien. Dans l’intervalle, Cédric O, le secrétaire d’Etat au Numérique, continue de vanter cette solution 100% française… tout en débinant au passage les API d’Apple et de Google. Les GAFA ayant plutôt mauvaise presse dans les médias généralistes, Cédric O. avance ses « piques » sans trop de risques d’être contredit. Pourtant, plusieurs déclarations du secrétaire d’Etat montrent que ce dernier compte sur l’absence d’information d’une partie du public pour faire passer la pilule d’API carrément mal fichues et produites par des GAFA prédatrices.

Dans le lourd dossier de presse consacré à StopCovid, Cédric O et son équipe taillent un joli costard aux API des deux géants américains… tout en passant sous silence les défauts inhérents à l’app officielle. Ainsi, il est notifié que StopCOVID relève « exclusivement de l’État et non d’acteurs privés internationaux », alors que nombre d’entreprises privées (certes françaises) ont participé au projet (Capgemini, Dassault Systèmes, Lunabee Studio, Orange et Withings). On est très loin de l’app relevant EXCLUSIVEMENT de l’Etat. Le document contient des « petits mensonges » encore plus manifestes, notamment lorsqu’il affirme que les API de Google/Apple « n’offrent pas les garanties suffisantes en matière de respect de la vie privée et de protection des données de santé ». En accusation, « la transmission à tous les smartphones des pseudonymes des personnes diagnostiquées positives ». Voilà qui a de quoi faire un peu peur… sauf que l’affirmation est fausse : seules les clefs (chiffrées) de diagnostic, accompagnées d’une date, transitent entre les smartphones lorsque les API Google/Apple sont utilisées, JAMAIS le contact ou l’identifiant d’un contact, sans compter que ces clefs ne sont jamais stockées durablement sur un serveur (elles transitent de façon temporaire).

Le dossier StopCovid pratique aussi le mensonge par omission. La connexion Bluetooth en permanence activée (ce qui constitue en soi un accroc à la sécurité) ? Presque jamais évoquée. Le Code Source finalement publié en partie alors qu’on nous promettait une transparence totale ? Pas si grave… L’absence d’interopérabilité du système en Europe alors que les API américaines permettaient justement un fonctionnement identique pour TOUS les propriétaires de smartphones partout dans le monde ? Pas un mot encore, sachant que la question de l’interopérabilité n’est encore qu’en discussion au sein de l’ETSI (institut européen de standardisation des télécommunications). Le « gain » politique de ce positionnement anti-GAFA justifie sans doute ces quelques approximations, mais tout de même…