Pour une troisième journée d’affilée, les experts se sont succédé en commission parlementaire vendredi pour exprimer d’importantes réserves sur les applications de notification de la COVID-19.

Le spécialiste en cybersécurité, Claude A. Sarazin, a lancé le bal en avertissant les députés des « vulnérabilités » de la technologie Bluetooth qui serait utilisée dans une éventuelle application québécoise.

Le gouvernement Legault envisage de déployer dès septembre une application qui permettrait à l’utilisateur l’ayant téléchargée d’être informé d’une exposition éventuelle avec une personne contaminée à la COVID-19.

Elle serait gratuite et téléchargeable sur une base volontaire, et fonctionnerait sans stockage des données ni géolocalisation, a-t-on assuré.

 

En juillet, le gouvernement fédéral de Justin Trudeau lançait « Alerte-COVID » qui reprend ces grands principes et qui est pour l’instant seulement utilisée en Ontario.

Selon M. Sarazin, la concentration d’une grande quantité de données — aussi insignifiantes puissent-elles paraître — est sûre d’attirer les cybercriminels.

L’usage de la technologie Bluetooth à longueur de journée constitue une « porte d’entrée pour des attaques sur les systèmes informatiques des gens » et des entreprises pour lesquelles ils travaillent, a-t-il déclaré.

Il y a toujours un risque d’identification de la personne, a-t-il renchéri, en rappelant que le vol de données est « excessivement payant » pour les criminels et très nocif « à long terme » pour les victimes.

« Est-ce que vous diriez que le risque d’attaque ou de piratage d’applications qui fonctionnent par Bluetooth est réel […] et significatif ? » lui a demandé le co-porte-parole de Québec solidaire, Gabriel Nadeau-Dubois.

« Absolument », a répondu M. Sarazin.

En somme, l’expert recommande au gouvernement Legault de ne pas déployer une application de notification de la COVID-19 et d’investir plutôt en santé publique, tel que l’a fait la Colombie-Britannique.

Le premier ministre de la Colombie-Britannique, John Horgan, a récemment annoncé le recrutement de 500 professionnels de la santé pour retrouver les personnes qui ont été exposées au coronavirus dans la province.

 

Le gouvernement Legault demande un « chèque en blanc »

Au moment où l’efficacité d’une telle application reste à démontrer, le gouvernement Legault demande à la population un « acte de foi », estime Stéphane Roche, professeur en sciences géomatiques à l’Université Laval.

Il a expliqué être « très sceptique » quant à la qualité de la notification qui serait envoyée à l’utilisateur. Selon lui, personne ne peut garantir qu’elle sera pertinente.

« Peut-être que c’est une notification qui va vous effrayer pour rien. […] Est-ce qu’on est prêt à vivre ça pour le peu que ça apporte, l’énergie que ça prend, les moyens que ça demande ? »

« Peut-être que dans certains cas, ça va fonctionner, mais c’est un peu demander à la population de signer un chèque en blanc, c’est un acte de foi qu’on lui demande. L’efficience n’a jamais été prouvée », a-t-il insisté.

M. Roche croit par ailleurs que le gouvernement fédéral a « sorti ça de son chapeau ». « Imaginez la personne qui est derrière la caisse chez IGA. Elle va être notifiée combien de fois cette personne-là ? » a-t-il illustré.

À l’instar de la Commission des droits de la personne et de la Commission d’accès à l’information, il craint qu’employeurs, propriétaires d’immeubles et commerçants ne commencent à l’exiger pour transiger avec eux.

« Ma crainte c’est, “si vous n’avez pas l’appli, pas de services pour vous” », a-t-il résumé.

À la députée de la Coalition avenir Québec (CAQ) Joëlle Boutin, qui suggère de retirer l’application si elle s’avère inutile, Céline Castets-Renard, de l’Université d’Ottawa, répond que ce n’est pas si simple.

« Je ne suis pas d’accord, a-t-elle dit. Ça peut entraîner une banalisation […] : “Bon, c’est pas grave, on abandonne un peu sa vie privée” et cet écueil me paraît dangereux. »