Fonctionnement, sécurité, efficacité... Tout ce qu'il faut savoir avant de scanner un QR code avec TousAntiCovid dans un restaurant
A partir du 9 juin, pour accéder à l'intérieur d'un restaurant, d'un bar ou d'une salle de sports, les clients devront communiquer leurs coordonnées ou utiliser l'application TousAntiCovid.
Boire un coup à l'abri des intempéries, c'est pour demain. A partir du mercredi 9 juin, de nombreux lieux fermés depuis des mois, comme les salles de sports ou les bars, pourront à nouveau accueillir du public en intérieur. Mais cette réouverture s'accompagne d'un protocole sanitaire supplémentaire : pour accéder à ces lieux clos, il sera nécessaire de s'inscrire dans un carnet permettant d'être contacté en cas de contamination.
Déjà expérimentée à l'automne dernier, cette mesure se modernise avec l'arrivée de l'été, puisque vous pourrez utiliser l'application TousAntiCovid pour scanner un QR code dans ces établissements. Attention : ce système est différent de celui du pass sanitaire, qui vise à attester d'une vaccination, d'un test de dépistage négatif ou d'un rétablissement du Covid-19 pour accéder à certains grands événements.
Comment fonctionneront ces carnets de rappel numériques ? Existe-t-il un risque pour vos données personnelles ? Seront-ils efficaces pour briser les chaînes de contamination ?
Comment fonctionnera le système ?
Même si les indicateurs de l'épidémie sont à la baisse, le Covid-19 circule toujours en France, et il se transmet plus facilement en intérieur qu'en plein air, a fortiori quand les gestes barrières sont difficiles à appliquer. C'est pourquoi le gouvernement veut pouvoir prévenir toutes les personnes qui ont fréquenté un établissement si un autre client qui s'y trouvait en même temps qu'eux a été testé positif, afin que ceux-ci puissent se faire dépister et s'isoler le cas échéant.
Si vous décidez d'utiliser la version numérique de ce dispositif, il vous faudra ouvrir l'application TousAntiCovid sur votre téléphone, cliquer sur le bouton "scanner un QR code lieu" dans la catégorie "cahier de rappel", puis prendre en photo le QR code que l'établissement aura mis à disposition des clients. Vous serez alors considéré comme étant présent durant deux heures dans l'établissement.
Si un autre client ayant lui aussi scanné le QR code de l'établissement durant cette tranche de deux heures se déclare plus tard positif au Covid-19 via l'application, vous recevrez une notification "alerte orange" vous invitant à vous faire dépister, et à limiter vos contacts en attendant le résultat. Il existe également une notification "alerte rouge", qui correspond à un scénario où trois personnes présentes dans l'établissement en même temps que vous ont été testées positives. Il convient dans cette situation de se faire tester au plus vite : le système considère qu'un malade "super-contaminant" a pu provoquer l'apparition d'un regroupement de cas. A l'inverse, vous pourrez vous aussi vous déclarer positif au Covid-19, et ainsi lancer indirectement l'alerte chez les autres clients des lieux que vous aurez fréquenté.
L'Etat pourra-t-il me localiser ?
Scanner les QR codes de vos troquets favoris avec une application gouvernementale peut légitimement vous faire craindre que le ministre de la Santé, Olivier Véran, soit informé de vos habitudes en matière d'apéritif. Ce n'est heureusement pas le cas. L'application TousAntiCovid, qu'il s'agisse de sa fonctionnalité principale de traçage des contacts ou des carnets de rappel, n'utilise pas la puce GPS présente dans votre téléphone. Si vous avez des connaissances en programmation, il vous est d'ailleurs possible de le vérifier, puisque le code de l'application est ouvert au public.
Du côté du carnet de rappel, des précautions ont été prises pour respecter la vie privée des utilisateurs. L'application affecte à votre téléphone un identifiant décorrélé de votre identité, tandis que pour créer un QR code unique, les professionnels doivent seulement indiquer leur type d'activité, et la capacité d'accueil de leur établissement. Ni nom, ni adresse postale ne sont collectés. L'historique des lieux visités est par ailleurs automatiquement supprimé de l'application après 14 jours.
Tout se passe en fait grâce à un jeu de correspondance d'identifiants. Lorsque vous scannez le QR code de votre salle de sport, le code du lieu, la date, et l'heure de visite sont enregistrés localement sur votre téléphone. Ces informations ne quittent votre appareil que lorsque vous utilisez l'application pour vous déclarer positif au virus, expliquait au Parisien le secrétaire d'Etat chargé du Numérique Cédric O.
"Quand vous vous déclarez malade, la liste des lieux enregistrée sur votre appareil est envoyée à un serveur, qui renvoie les informations sur tous les téléphones disposant de l'application. Chaque téléphone compare ensuite cette liste avec celle des lieux visités par son détenteur."
Cédric O, secrétaire d'Etat chargé du Numériquedans "Le Parisien"
Reste la possibilité d'être identifié par d'autres. "Si vous résidez dans une petite commune, que vous vous rendez très occasionnellement dans le restaurant du coin et qu'il n'accueille que peu d'habitués, vous pourrez assez facilement trouver qui a été contaminé", relève le chercheur indépendant en sécurité informatique Baptiste Robert, contacté par franceinfo. Pour limiter ces identifications humaines, les notifications d'alerte envoyées par TousAntiCovid afficheront une date d'exposition approximative dans une fourchette de 72 heures, rapporte Numerama.
Utiliser TousAntiCovid sera-t-il obligatoire ?
Non, mais la solution alternative n'est pas plus sûre, loin de là. Pour ne pas pénaliser les personnes qui ne sont pas équipées d'un smartphone, ou qui ne souhaitent pas utiliser TousAntiCovid, les restaurateurs et les gérants de bar ou de salle de sport seront tenus de proposer un carnet de rappel au format papier. Rappelant que ces cahiers constituaient un traitement de données personnelles, et qu'ils étaient à ce titre soumis à la réglementation, la Commission nationale informatique et libertés (Cnil) avait transmis aux professionnels quelques bonnes pratiques à suivre pour recueillir les coordonnées de leurs clients.
Celle-ci invitait ainsi les gérants à "mettre à disposition un formulaire individuel ou par tablée", et à conserver ces informations "dans un lieu sécurisé [comme une] armoire ou une pièce fermée à clef" avant de les détruire au bout de 14 jours. En pratique, ces carnets étaient souvent placés à l'entrée des établissements, exposant les coordonnées des clients au regard de tous, comme le notait à l'époque un journaliste du Monde.
Ravi de pouvoir récolter en un coup d'œil tous les noms, prénoms et 06 des clients qui mangeaient autour de moi au japonais ce midi pic.twitter.com/3S30MaP7Pk
— Michaël Szadkowski (@szadkowski_m) October 6, 2020
Contacté par franceinfo, la direction générale de la santé précise que les professionnels devront au moins proposer ces cahiers de rappels au format papier, et les accompagner autant que possible de QR codes à scanner. La prolifération à venir de cahiers mal stockés et affichant des numéros de téléphone au vu de tous ne surprend pas Baptiste Robert.
"On demande à des restaurateurs et des patrons de bar, qui ont déjà beaucoup de travail, de stocker et de s'occuper des données personnelles de leurs clients. Mais ça n'est pas leur métier ! Ils n'ont pas idée des contraintes légales, et on ne peut pas leur en vouloir !"
Baptiste Robert, chercheur en sécurité informatiqueà franceinfo
Ces QR codes seront-ils efficaces ?
Difficile à dire. Mis en place en décembre, un système similaire a en tout cas rencontré une adhésion certaine en Angleterre et au pays de Galles, puisque plus de 12 millions de QR codes ont été scannés lors de la dernière semaine de mai. En un peu plus de six mois, des alertes de possibles contaminations ont été envoyées dans 355 établissements, selon les chiffres communiqués par le système de santé britannique.
En France, la cohabitation des codes à flasher avec les cahiers de rappel rend l'efficacité globale du dispositif incertaine : si une personne habituée à utiliser les QR codes se déclare positive au virus sur l'application TousAntiCovid, comment les clients qui auront choisi le format papier pourront-ils être prévenus ? A l'inverse, existe-t-il un mécanisme pour alerter les utilisateurs de l'application lorsqu'un malade, qui a préféré le carnet de rappel physique, se déclare ? Contactés à ce sujet, la direction générale de la santé et le secrétariat d'Etat chargé du Numérique n'ont pas répondu à franceinfo.
"Le problème de ce mécanisme, c'est qu'il nécessite un travail collectif. Si tout le monde ne joue pas le jeu, ça ne marchera pas", soupire Baptiste Robert. En choisissant, pour des raisons tout à fait valables, de diviser les efforts des Français entre cahiers de contact physiques et numériques, les autorités sanitaires risquent toutefois de rendre précaire l'efficacité globale du dispositif.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.