La police de Mayence, en Allemagne, vient de reconnaître avoir eu accès illégalement aux données personnelles collectées par Luca-App, une application similaire à TousAntiCovid. Un scandale qui a relancé le débat sur les dangers de ces applications de géolocalisation censées aider à casser rapidement les chaînes de contamination au Covid-19 et qui regorgent de données personnelles sensibles.

Tout a commencé par un accident mortel à Mayence, en Rhénanie-Palatinat, le 29 novembre 2021. Près de deux mois plus tard, ce tragique fait divers s'est transformé en scandale national en Allemagne. En cause : le recours abusif par la police à des données personnelles et la sécurité de l'une des deux applications allemandes de traçage du Covid-19, similaire au TousAntiCovid français.

"J'ai reçu un coup de fil de la police criminelle peu après Noël. L'officier m'a dit qu'il voulait m'interroger et qu'il avait eu mes données personnelles, y compris mon numéro de portable, grâce à l'application Luca-App", a raconté Olivier Matter, un habitant de Mayence, à la chaîne Südwestrundfunk (SWR) qui a été la première à révéler l'affaire, le 7 janvier.

Illégal à 100 %

Le 29 novembre, il avait passé une partie de la soirée dans un bar de la vieille ville de Mayence. C'est là qu'une personne a fait une chute mortelle en tombant du premier étage de l'établissement. Après cet accident, la police a demandé et obtenu les données personnelles des clients présents ce soir-là et qui avaient l'application Luca-App sur leur smartphone. Elle a ainsi pu contacter 21 personnes pour déterminer les circonstances exactes du drame, a précisé le bureau du procureur de Mayence à SWR.

Luca-App permet de géolocaliser les utilisateurs de l'application dans les bars, restaurants, salles de concert et autres magasins. Des données qui sont ensuite utilisées par les autorités sanitaires des 13 Länders où cette application est déployée afin de remonter la chaîne des contaminations lors de la découverte d'un foyer d'infection au Covid-19.

Mais il n'est dit nulle part que la police peut fouiller dans ces données pour ses enquêtes. En réalité, la loi sanitaire limite même le recours à ces informations à la seule recherche de cas contact pour lutter contre la propagation du Covid-19.

Les révélations de la SWR ont rapidement suscité une avalanche de réactions outrées de l'autre côté du Rhin. D'abord contre les forces de l'ordre de Mayence, accusées d'avoir fait peu de cas de la vie privée des citoyens dans une affaire qui, de plus, avait toutes les apparences d'un tragique mais simple accident.

Dans un pays qui, comme le rappelle la Deutsche Welle, est historiquement l'un des plus protecteurs en Europe du droit à la vie privée, de tels écarts de la police sont très mal perçus. D'autant plus que l'excuse avancée par le parquet de Mayence est loin d'être jugée satisfaisante. Les forces de l'ordre "ont mal interprété le fondement légal de leur action au regard de la loi", a affirmé le bureau du procureur.

Les juristes et experts en sécurité informatiques ont été prompts à souligner que la loi avait pourtant été clairement rédigée pour éviter ce genre d'abus. "Il n'a jamais fait aucun doute que l'accès à ces données privées était strictement illégal pour la police", affirme Bianca Kastl, experte en sécurité informatique, qui avait averti sur les dangers de l'application Luca-App dès juin 2021, contactée par France 24.

Pour Dieter Kugelmann, responsable de la protection des données privées pour le Land de Rhénanie-Palatinat, le problème n'est pas seulement que la police a outrepassé ses droits dans cette affaire. C'est aussi que "cela envoie le pire signal possible à un moment où les citoyens ont besoin d'avoir confiance dans la manière dont les autorités gèrent les données personnelles pendant cette crise sanitaire", a-t-il affirmé.

Il a d'ailleurs demandé, lundi 10 janvier, une enquête pour déterminer si la police n'avait pas déjà pris des libertés avec les données personnelles collectées via Luca-App à d'autres occasions. Le parquet a assuré que, pour l'instant, il n'avait trouvé "aucune autre erreur". Mais les autorités de Mayence ont précisé que l'enquête n'était pas encore close.

Appel à effacer l'application

En attendant les conclusions, plusieurs politiciens locaux ont exhorté les Allemands à effacer l'application Luca-App. C'est le cas de Daniel Karrais, le "Monsieur économie numérique" des libéraux du FDP dans le Land de Rhénanie-Palatinat, et de son collègue écologiste Alexander Salomon. Pour eux, cette affaire souligne surtout que cette application serait plus dangereuse pour la vie privée qu'elle n'est utile pour lutter contre la propagation du virus.

Des critiques qui ne sont pas nouvelles. "En mars 2021, une lettre ouverte avait été publiée par des défenseurs de la vie privée sur Internet, alertant sur les limites de cette application. Un mois plus tard, plusieurs experts en cryptographie avaient prédit qu'il y aurait des fuites de données sensibles", rappelle Bianca Kastl. Elle avait, elle-même, déconseillé aux autorités sanitaires du district du Lac de Constance - dans le Land du Bade-Wurtemberg - d'utiliser Luca-App pour traquer les cas contacts après avoir découvert des failles techniques dans l'application.

Luca-App, développée par la start-up berlinoise Culture4Life, a surtout été critiquée parce que les données collectées - noms, adresses, numéros de téléphone - sont stockées sur ses propres serveurs. Elles sont certes cryptées, mais il suffit que les autorités sanitaires d'un Land et le propriétaire de l'établissement - bar, musée, théâtre, etc. - concerné par des cas de Covid-19 utilisent leur clé de déchiffrement pour donner l'accès en clair aux données sur les clients du lieu. "Ce qui signifie que les utilisateurs de l'appli ne sont même pas consultés quand on accède à leur information personnelle", précise Bianca Kastl.

Cela n'a pas empêché treize Länders de dépenser plus de 20 millions d'euros pour pouvoir utiliser Luca-App - en plus de l'application publique Corona-warn - dans la lutte contre la propagation du virus. Plus de 40 millions d'Allemands l'ont téléchargée, rappelle la chaîne de télévision ZDF. Les contrats qui lient ces régions à Culture4Life arrivent tous à échéance fin mars.

Des applis devenus inutiles ?

L'affaire de Mayence risque de jouer en défaveur d'une prolongation de ces accords. Les responsables de Culture4Life en sont conscients. Ils ont assuré n'avoir pas été informés de "l'erreur" de la police et ont déploré cette attitude.

Mais pour Bianca Kastl, cet accès illégal à des données personnelles n'est que le dernier clou dans le cercueil de Luca-App. Ce service n'aurait pas seulement des défauts techniques, "il est devenu inutile", assure-t-elle.

La faute à Omicron. "Une telle application ne sert que si les autorités sanitaires jouent le jeu pour rapidement tracer les cas contacts. Mais avec la vitesse de propagation du variant Omicron, elles n'ont tout simplement pas le temps de suivre chaque cas", explique-t-elle. En d'autres termes, cette immense banque de données sensibles ne sert plus vraiment à lutter contre l'épidémie, mais elle reste susceptible d'être exploitée illégalement.

