Un projet de décret du gouvernement prévoie d'inclure la possibilité de scanner des QR codes dans TousAntiCovid. Ces derniers seraient placés à l'entrée des lieux clos et permettraient la mise en place d'un nouveau moyen de traçage des contacts. Mais son fonctionnement laisse songeur.

Une étonnante mention apparaît dans le dernier projet de décret du gouvernement qui vise à modifier le cadre réglementaire de TousAntiCovid (TAC), l’app de contact tracing française.  Commenté par le Comité de contrôle et de liaison COVID-19 (CCL-COVID), le projet prévoit d’ajouter une nouvelle fonctionnalité à TAC : l’utilisation de QR codes comme dispositif de traçage des contacts. Ils seraient placés à l’entrée des lieux clos, comme les restaurants et les transports en commun. Voilà ce qu’écrit le CCL dans son avis :

« De manière simplifiée, un QR code sera positionné à l’entrée de certains lieux à risque (liste des lieux en cours d’identification en lien avec SPF [Santé publique France, NDLR]). La personne flash ce code (il suffit donc d’un téléphone avec appareil photo) et fait ainsi un check-in à la date ‘d’ pour une durée ‘t’ dépendant du type de lieu. Si une personne, qui a été dans le même lieu sur la même plage horaire, se déclare dans l’application, la personne ci-avant reçoit une notification de contact warning, dit à ‘risque modéré ‘ (impliquant la surveillance des symptômes, etc.). Si trois personnes se sont déclarées, et étaient sur la même plage horaire, alors la personne reçoit une notification classique de contact tracing à ‘risque élevé’.  »

TousAntiCovid sur un iPhone // Source : Numerama

Le CCL précise avoir reçu les « questions formulées » de la Cnil, l’autorité des données française, avant de remettre son avis. Si le décret entre en vigueur tel quel, il intègrerait donc une nouvelle fonctionnalité de traçage des contacts sur TousAntiCovid (TAC), en plus de celui déjà en place depuis mai, fonctionnement sur le Bluetooth. Reste que le détail du dispositif n’est pas donné, et de nombreuses questions restent en suspens.

Un troisième dispositif de traçage des contacts

Aujourd’hui, la France s’appuie sur deux méthodes pour effectuer le traçage des contacts, dont la finalité est de prévenir les personnes exposées à un patient atteint de Covid-19.

  • Par téléphone : des brigades d’agents de la Sécurité sociale contactent les personnes touchées par le coronavirus afin d’identifier leurs cas contacts. Puis elles se chargent d’avertir ces derniers par SMS, email ou téléphone, afin qu’ils puissent se mettre en septaine et effectuer un test PCR ou antigénique.
  • Par l’application TousAntiCovid : seuls les Français qui ont installé et activé l’application participent à ce deuxième rideau de traçage des contacts. Lorsqu’ils sont à proximité, leurs smartphones s’échangent des identifiants aléatoires, régulièrement renouvelés, qui sont ensuite envoyés à intervalle constant vers un serveur central contrôlé par l’État. Si une personne fait un test positif, elle peut se déclarer dans l’app à l’aide d’un QR code (pas toujours évident à obtenir) remis par les autorités sanitaires. Cette information sera remontée au serveur central, et tous les appareils qui ont échangé des identifiants avec la personne malade (selon certains critères de temps et de distance) recevront une notification.Cette méthode de traçage des contacts est beaucoup moins fiable que la première, d’une part en raison des nombreuses limitations techniques du dispositif, et tout simplement parce qu’à peine 12 % des Français ont téléchargé l’app, sans même décompter ceux qui l’ont désinstallée ou ne l’ont jamais activée. Preuve de l’inefficacité relative du dispositif : le 14 janvier, l’app avait envoyé 49 914 notifications pour 91 820 cas déclarés. Mais elle a l’avantage d’être automatisée et de compter également les personnes croisées que le cas positif ne connaît même pas.

Le traçage par QR-code serait donc un troisième dispositif, lui aussi intégré à TousAntiCovid. Il permettrait de faire un traçage des contacts par lieu, en parallèle de celui déjà fait par TAC par Bluetooth. Le Comité de contrôle et liaison Covid-19 précise que les informations collectées par les QR-codes seront stockées sur un serveur dédié, et ne seront pas remontées au serveur central déjà utilisé. Autrement dit, si la déclaration des cas positifs et l’envoi des notifications se font bien dans l’app, la gestion de ces nouvelles données se fera sur un nouveau serveur, à part.

Comme pour le premier dispositif de TAC, le Comité rassure explicitement sur les éventuelles dérives du dispositif : « les modalités de recueil de données n’ont pas pour objet, ni pour effet, de mettre en place une géolocalisation de l’utilisateur ». En revanche, si le TousAntiCovid actuel ne demande que l’autorisation d’utiliser le Bluetooth, il devra demander l’autorisation d’utiliser l’appareil photo pour le bon fonctionnement du nouveau dispositif.

Des questions en suspens

  • Un des principes de TousAntiCovid est que son utilisation doit rester volontaire. Autrement dit, que les personnes qui ne l’utilisent pas ne subissent aucun désavantage. Des élus ont tenté de changer ce principe, certaines collectivités locales l’ont mal expliqué, mais il a à chaque incident été rappelé et conforté. La mise en place des QR codes suivra-t-elle le principe de volontariat ? Faut-il craindre une interdiction d’entrer dans un bar ou un bus pour les personnes qui n’utiliseraient pas TAC ? Les lieux clos seront-ils contraints d’afficher les codes sous peine d’amende ?
  • Quelles données les QR-code récupèreront-ils ? Le détail du fonctionnement des QR-code n’est pas précisé dans l’avis. On ne peut que spéculer : l’utilisateur récupèrerait un identifiant lié au lieu clos, et l’enverrait ensuite à un serveur dédié ? Si l’utilisateur scanne le code en entrant, doit-il aussi le faire en sortant, pour délimiter formellement la durée passée dans l’établissement ?
  • Quels lieux clos seront concernés ? Le CCL le précise : Santé publique France (SPF), l’agence de santé nationale n’a pas encore décidé quels lieux afficheront des QR code. Restaurant, écoles, entreprises, transports en commun… les critères de sélection seront-ils rendus publics ?  Et ce n’est pas tout : la différence entre les lieux clos (aération surface, capacité d’accueil, nombres de passages) sera-t-elle prise en compte d’une manière ou d’une autre ?

Avec ce projet de décret, le gouvernement français ne serait pas le premier à quadriller ses lieux clos de QR code. Outre-Manche, le gouvernement britannique a déployé un dispositif similaire fin 2020. Tout établissement privé pouvait faire une demande de QR code en donnant son adresse, son adresse email, et un moyen de contact du manager des lieux. La NHS (équivalent britannique de la Sécurité sociale) avance certaines garanties aux directeurs d’établissements : les notifications de cas contact ne mentionnent pas le nom de l’établissement (comme c’est également prévu par le projet de décret), mais ce dernier sera prévenu si plusieurs de ses visiteurs sont déclarés positifs au Covid-19, afin de s’organiser en conséquence.

Encore une fois, cette disposition ne fait partie que d’une proposition de décret, et pourrait ne jamais voir le jour.

Partager sur les réseaux sociaux

La suite en vidéo