À partir du 9 juin, une nouvelle phase de déconfinement s'enclenche, et avec elle l'arrivée des codes QR pour accéder à l'intérieur des restaurants, des bars, des cafés, mais aussi des salles de sport. Numerama fait le point.

C’est le 9 juin 2021 qu’une nouvelle phase de déconfinement doit avoir lieu en France. À cette date, le couvre-feu sera déplacé à 23 heures au lieu de 21 heures et les bas, cafés et restaurants pourront de nouveau accueillir leur clientèle à l’intérieur, et non pas seulement en terrasse. Par ailleurs, les salles de sport et les stades pourront rouvrir.

C’est aussi à ce moment-là que les cahiers de rappel entreront dans la danse, et il sera question de codes QR, puisque ces marqueurs vont participer au traçage des contacts via l’application TousAntiCovid. Ces espèces de codes-barres en deux dimensions doivent servir à informer des individus s’ils se trouvaient dans un établissement où des personnes contaminées s’y trouvaient aussi. Il s’agit de remonter les chaînes de contamination et d’alerter les cas contacts.

Normalement, ils ne seront pas obligatoires : il y aura soit la possibilité de scanner un QR Code, soit de s’inscrire sur un carnet de rappel papier. Le gouvernement a, pour l’instant, mis en ligne un site internet qui donne les grandes lignes du fonctionnement des QR Codes — mais la fonction, elle, n’est pas encore tout à fait développée. En attendant d’avoir plus de précisions, voici ce que l’on sait déjà sur l’utilisation des QR Codes dans ces situations.

Un code QR ?

Acronyme de Quick et Response, soit en français code de réponse rapide, le code QR a été inventé dans les années 90 par un Japonais, Masahiro Hara, pour l’entreprise Denso Wave, une filiale de Denso Corporation. Son projet était de concevoir un visuel en mesure de stocker plus d’informations que le classique code-barres. Aujourd’hui, le code QR est un dispositif plutôt répandu.

Le code QR est un carré dans lequel figurent des modules noirs sur un fond blanc. Il en existe de toutes tailles : le plus petit peut afficher 21 modules de côté et le plus grand 177. Dès lors, un code QR peut contenir de quelques dizaines de caractères à plusieurs milliers. Le code QR est bidimensionnel. Il se lit dans deux sens : horizontalement et verticalement. C’est pour cela que l’on parle d’un code-barres en 2D.

Dans le visuel, on trouve aussi trois carrés identiques dans les angles : ils servent en fait à indiquer la position du code QR et de quelle manière la lecture des données doit se faire. Il y a aussi d’autres motifs techniques disséminés, en plus des données à encoder. Le code QR inclut aussi une certaine redondance dans les motifs pour corriger des erreurs ou si une partie du code est illisible ou manquante.

Les codes QR ont été notamment utilisés en 2020 lorsque le ministère de l’Intérieur a mis à disposition un formulaire pour générer une version numérique de l’attestation de sortie dérogatoire, utilisable sur un smartphone. L’utilisation de code QR pour accéder à des lieux publics a aussi été observée à l’étranger, comme à Singapour. On devrait aussi en voir une variante avec les certificats de test et de vaccination.

Comment la création d’un QR code va-t-elle se passer ?

Cette partie ne concerne que les établissements amenés à recevoir du public, dès le 9 juin 2021. Un générateur doit être mis à disposition des gérants. Les codes seront spécifiques aux lieux, afin que le traçage des contacts fonctionne. En scannant le code, les gens seront liés via leur identifiant TousAntiCovid à ce lieu. Ainsi, si une personne infectée s’y trouvait aussi, l’alerte pourra cibler les bons individus.

Conscient que tout le monde n’est pas un power user du numérique, le gouvernement dit qu’il va fournir un guide d’installation pour accompagner celles et ceux qui auraient des difficultés à appliquer la mesure. Une fois le code-barres généré, il ne reste plus qu’à l’imprimer en un ou plusieurs exemplaires et de faire un affichage aux endroits clés de l’établissement.

Pour des raisons à la fois de sécurité et de confidentialité, les établissements seront invités fortement à réimprimer de nouveaux codes QR chaque semaine, pour éviter d’éventuels détournements malveillants. Un exemple d’attaque théorique pourrait consister à changer un bon QR code par une version piégée, de façon à installer un virus sur le smartphone de la victime ou pour l’amener à faire telle ou telle action.

Pour se faciliter la vie, et éviter d’avoir à faire ça manuellement chaque semaine, certains propriétaires d’établissement pourraient opter pour des appareils affichant des codes QR qui se renouvellent régulièrement. Néanmoins, cela nécessite un investissement un peu plus important par rapport à de simples rames de papier à acheter pour l’impression des codes.

Comment les gens vont-ils le scanner ?

L’utilisation d’un QR code nécessite d’employer un dispositif particulier pour le lire. Les smartphones étant largement diffusés dans la population, ce sont eux qui seront mobilisés pour scanner ces codes-barres, via la caméra dorsale. Un bémol toutefois : il y a près d’un quart de la population qui n’a pas de smartphone, selon le baromètre du numérique de 2019 du régulateur des télécoms.

Pour les personnes concernées, il faudra pointer l’appareil photo de son smartphone vers le code QR pour le scanner. En règle générale, il faut avoir préalablement installé une application capable de lire ce code — sauf si le système d’exploitation mobile est capable de lire nativement le QR code via l’application de l’appareil photo. Mais ici, il faudra passer par l’application TousAntiCovid spécifiquement.

Dans une FAQ, il est dit que « le système fonctionne même avec les smartphones les plus anciens ». Il est à noter qu’il faut au minimum Android 5 (si on a un smartphone Android) ou iOS 11.4 (si on a un iPhone) pour utiliser TousAntiCovid. Android 5 est sorti en 2014 et iOS 11.4 en 2018. Même s’il y en a de moins en moins, des terminaux utilisant des OS plus anciens sont toujours en circulation.

Les codes QR sont censés être mis en évidence des établissements accueillant du public, à l’entrée, sur les tables, au comptoir ou à tout autre endroit accessible et pertinent. Le scan se fait sans délai et il n’est pas nécessaire d’avoir de connexion Internet dans l’instant pour que cela marche, est-il précisé. En tout et pour tout, le scan ne doit prendre que quelques secondes.

TousAntiCovid est-il obligatoire pour scanner le QR Code ?

Oui. L’application de traçage des contacts — qui est aussi un hub d’actualité sur le covid-19, un gestionnaire d’attestation de sortie et de déplacement, un carnet de certificat médical, un tableau de bord de suivi statistique de la pandémie et d la vaccination, un guide des gestes barrières, un centre de conseils, etc. — sera un point de passage obligé pour le code QR.

En effet, il est expliqué qu’au moment de scanner le code QR, deux scénarios peuvent alors se produire : si la personne n’a pas installé l’application TousAntiCovid sur son smartphone, elle sera redirigée vers le lien de téléchargement de l’application. Dans le cas contraire, elle sera automatiquement enregistrée pour être prévenue plus tard si jamais il s’avère qu’elle a été en contact avec une personne malade.

De facto, même si en principe l’usage de TousAntiCovid se fait sur une base volontaire, et qu’il ne doit y avoir aucun désagrément si l’on choisit de s’en passer, l’appel du retour à la vie d’avant et la commodité d’emploi pousseront vraisemblablement celles et ceux qui n’avaient pas encore sauté le pas à s’y mettre — cela, même si le traçage des contacts doit aussi pouvoir sur papier, via des cahiers de rappel.

Les statistiques figurant dans l’application TousAntiCovid avancent qu’il y a eu près de 16,4 millions d’enregistrements nets depuis le 2 juin 2020. Un enregistrement net désigne une personne qui a téléchargé et activé l’application. Cela ne dit rien sur son utilisation réelle au quotidien. Par ailleurs, le nom de TousAntiCovid va visiblement évoluer en TousAntiCovid Signal. Autrefois, elle s’appelait StopCovid.

Quand est-ce que je reçois une alerte ?

Le signalement par TousAntiCovid Signal imitera ce qui se fait déjà avec TousAntiCovid, via la liaison Bluetooth des smartphones. « Si quelqu’un se déclare positif dans l’application, détaille la FAQ gouvernementale, les personnes qui étaient dans l’établissement au même moment seront notifiées ». Tout l’enjeu, donc, est que la personne malade partage son état via l’application, sinon ça ne marchera pas.

À l’image de tous les préalables nécessaires pour que le traçage des contacts fonctionne, il faudra satisfaire quelques conditions également pour que les informations dans le cadre du dispositif QR code soient bien relayées. Outre le taux d’adoption des smartphones, qui n’est « que » de 77 %, il y a l’inscription de son statut de malade dans l’application, et que le test qui a déterminé son état se soit avéré fiable.

En l’état actuel des choses, le fonctionnement de l’alerte n’est pas décrit en détail par le gouvernement. Néanmoins, selon les informations de RTL, il est question d’un système à deux niveaux d’alerte. Si une seule personne se déclare positive pour un établissement donné, toutes les personnes qui l’ont aussi fréquenté à la même période seront informées et invitées à se faire tester.

Si par contre ce nombre passe à trois, la situation est jugée plus périlleuse car elle peut suggérer une situation de foyer épidémique et de circulation active du virus dans le lieu en cause — il est à noter que les gestes barrières s’appliquent toujours, mais certains, comme le masque, sont inopérants, par exemple au restaurant. Les autres personnes doivent alors se faire tester et s’isoler, car elles deviennent des contacts à risque.

Qu’en est-il des données personnelles ?

Le code QR, explique le gouvernement, n’intègre qu’un identifiant spécifique au lieu, qui doit permettre de relier toutes les personnes l’ayant fréquenté en cas d’alerte covid. Le code QR « ne permet de retrouver ni le nom ni l’adresse du lieu », est-il ajouté. De toute évidence, le traçage des contacts fonctionne en regardant quelles sont les personnes (via leurs identifiants TousAntiCovid) ayant l’identifiant du lieu.

Le code QR lui-même n’enregistre rien. Logique : ce n’est après tout que des traces d’encre sur une feuille de papier, qui représentent une sorte de carré en noir et blanc stylisé. C’est dans l’application TousAntiCovid Signal que cela se passe, avec l’identifiant du lieu qui est enregistré. Selon RTL, une certaine imprécision est laissée au niveau de l’horodatage pour limiter les risques.

« On ne saura ni le lieu, ni le jour, juste une fourchette à deux ou trois jours près », a ainsi indiqué à nos confrères le cabinet de Cédric O, le secrétaire d’État chargé de la Transition numérique et des Communications électroniques. Tout doit se faire par une sorte de jeu de correspondance d’identifiants. « Aucune donnée nominative n’est collectée », rappelle à ce sujet la FAQ.

Selon le gouvernement, cette approche est plus protectrice des données personnelles par rapport à l’utilisation d’un carnet de contact dans lequel les personnes sont invitées à laisser leurs cordonnées (nom, prénom, numéro de téléphone). En octobre, il avait été constaté que certains de ces cahiers étaient laissés sans surveillance, exposant de fait les données inscrites à des regards indiscrets.

L’évolution de TousAntiCovid fait suite à un décret sur le sujet, paru en début d’année. Dans celui-ci est instaurée la possibilité de placer des codes QR à l’entrée de certains lieux clos. À ce sujet, la Commission nationale de l’informatique et des libertés s’était exprimée, mais sans avoir toutes les cartes en main pour juger. Elle ne s’y était pas opposée. Elle n’avait pas non balayé l’idée de le rendre obligatoire dans certains cas.

Dans le projet de décret, il était indiqué que « les informations relatives à la fréquentation d’un lieu clos […] sont stockées par un serveur dédié en vue d’informer l’utilisateur qu’il a été en contact avec une personne diagnostiquée ou dépistée positive au virus du covid-19 et ayant fréquenté le même lieu durant la même plage horaire ».

Les personnes ne sauront pas par qui elles ont été en potentiellement en contact covid. Ni où, d’ailleurs. En revanche, il y aura sans doute une limite au système : la présence dans un lieu est enregistrée pour une plage horaire de deux heures. Que se passe-t-il si l’on reste plus longtemps ? En théorie, les personnes devront avoir la présence d’esprit de rescanner le code QR. En pratique ? Vous devinez certainement déjà la réponse.

