StopCovid illustre le renoncement du gouvernement à notre souveraineté numérique

Madame la garde des sceaux, madame, monsieur les secrétaires d’État, la chronique de cette application, c’est l’histoire du renoncement de votre gouvernement à notre souveraineté numérique. Je prendrai trois exemples.

Tout d’abord, je rappelle que la plateforme des données de santé est hébergée par Microsoft.

Ensuite, les données collectées par l’application que vous nous proposez ne seront pas toutes conservées sur des serveurs installés en France – c’est ce que nous dit la CNIL. Isolés en Europe, vous avez échoué à imposer vos choix technologiques à Apple et à Google, et vous subissez ce qu’ils vous imposent.

Enfin, et c’est le point le plus important, pour être efficace, l’application devra être ouverte en permanence pour recevoir des informations du flux Bluetooth. Cette perméabilité continuelle est déconseillée par les constructeurs, car il s’agit d’une faille importante de sécurité des terminaux – nous le savons tous ici.

L’utilisation de cette application repose sur la confiance : quelles garanties pouvez-vous apporter aux utilisateurs en ce qui concerne la sécurité des données stockées sur les serveurs dont certains, je l’ai dit, ne sont pas en France ? Surtout, comment pouvez-vous les prémunir contre les risques de piratage résultant d’une utilisation permanente du Bluetooth ?

Mme Esther Benbassa. Très bien !

M. le président. La parole est à M. le secrétaire d’État.

M. Cédric O, secrétaire d’État auprès du ministre de l’économie et des finances et du ministre de l’action et des comptes publics, chargé du numérique. Monsieur le sénateur, vous évoquez la question des serveurs : cela me semble faire référence à un reproche que nous a fait La Quadrature du Net sur l’utilisation des captchas.

Je m’en excuse par avance, nous allons aborder un sujet un peu compliqué. Les captchas, ce sont ces systèmes de sécurité qui permettent de vérifier que vous êtes bien un être humain ; on les trouve sur certains sites, où l’on vous demande de reconnaître des feux rouges ou des voitures. Or, aussi étrange que cela puisse paraître, il n’existe pas de captcha français sur les portables.

Il s’agira d’ailleurs de l’un des acquis, certes collatéral, mais essentiel, de cette opération : Orange a développé un captcha français pour portable. Un tel captcha est très compliqué à développer, si bien que nous ne l’aurons ni aujourd’hui ni le 2 juin, mais dans deux semaines.

À la suite à l’avis rendu par la CNIL – en fait, cela fait un mois que nous étudions le sujet –, nous avons travaillé avec l’Anssi pour « encapsuler » – pardonnez-moi d’utiliser cet anglicisme, mais je ne connais pas de meilleur terme – les captchas dans une webview – encore une fois, je suis désolé du caractère ésotérique de ma réponse, mais le sujet est technique –, afin d’éviter toute fuite de données problématique. Avec l’Anssi, nous avons pris en charge cette question, qui, à dire vrai, m’a donné beaucoup de souci, et avons trouvé une solution.

Concernant les garanties apportées en termes de sécurité informatique, comme je l’ai dit, nous prenons toutes les mesures possibles : nous avons par exemple autorisé des « hackers éthiques » à attaquer nos serveurs. Ils vont trouver des failles, car l’on en trouve toujours. C’est la meilleure manière d’obtenir le maximum de garanties.

Il est impossible d’affirmer qu’il n’y a aucune faille : il y en a même dans les plus importants fichiers informatiques, y compris ceux des agences de renseignement. Ce serait un peu présomptueux de ma part de vous dire le contraire s’agissant du fichier StopCovid.

Dernier point, l’application n’a pas besoin d’être ouverte en permanence. Effectivement, le Bluetooth doit être activé, mais, je le dis au passage, la plupart des Français gardent aujourd’hui leur Bluetooth allumé, ce qui accroît effectivement les risques d’attaque. Toutefois, je ne pense pas que ceux qui, dans cet hémicycle, gardent constamment leur Bluetooth ouvert aient été attaqués. Là encore, il s’agit d’une question de proportionnalité : si c’est utile, cela en vaut la peine.

M. le président. La parole est à M. Pierre Ouzoulias, pour la réplique.

M. Pierre Ouzoulias. Monsieur le secrétaire d’État, la confiance n’y est pas. Pour répondre au sondage de notre collègue Jérôme Durain, je n’installerai pas l’application ! (Sourires.) Vous ne m’avez absolument pas convaincu.

Je vous ai posé une question très précise, à laquelle vous n’avez pas du tout répondu, puisque vous m’avez parlé des captchas. Je vous ai demandé si toutes les données utilisées par l’application seraient stockées sur des serveurs français.

M. Cédric O, secrétaire d’État. Oui !

M. Pierre Ouzoulias. Vous ne m’avez pas répondu : je n’ai pas confiance.