Cette fois, c’est clair. Ce ne seront pas des entreprises privées qui développeront le certificat covid. Mais bien la Confédération. La décision annoncée vendredi par l’Office fédéral de la santé publique a le mérite de clarifier les rôles. Mais le plus dur est à venir pour Berne. Car les autorités ont deux responsabilités gigantesques à assumer.

La première, la plus triviale, est tout simplement la réussite technique de ce projet. Sur ce point, les expériences passées n’incitent pas à l’optimisme. Ces dernières années, la Confédération a subi une série de revers désolants, entre dépassements de délais, surcoûts et perte de maîtrise de certains projets. Ces échecs ont été le plus souvent indolores pour les citoyens. Mais avec le certificat covid, présent dans nos téléphones, la moindre erreur aura des conséquences importantes et immédiatement visibles.

Loin de nous l’idée de dire qu’une solution privée, comme celle d’ELCA et Sicpa, aurait été préférable. Leur système, conçu par des entreprises à la réputation sérieuse, semblait abouti et techniquement solide. Mais il peut aussi être légitime, pour l’Etat, d’assumer lui également le rôle de prestataire de cette solution jugée si importante. A la Confédération de prouver qu’elle a les moyens de ses ambitions.

La deuxième responsabilité est plus importante encore. C’est celle de justifier l’existence même de ce certificat. Là, ce sera au politique d’agir. Pourquoi lancer si tard ce certificat, alors que plus d’un million de personnes sont totalement vaccinées? Quelle est la justification d’un système que beaucoup craignent discriminatoire? Est-ce vraiment le prix à payer pour lever toutes les restrictions? Le seront-elles vraiment au moment où ce système sera lancé? A quelles prestations donnera droit ce certificat, et à quelles conditions exactement? L’Etat assumera-t-il le fait qu’une fraction, même infime, de la population ne pourra peut-être pas accéder à ce certificat?

Ces questions sont vertigineuses et appellent des réponses rapides et limpides de la part du Conseil fédéral, et pas de la part de l’administration. Bien sûr, la technologie aura un rôle à jouer. Mais gare à la tentation du «solutionnisme» technologique: sans finalité précise, sans justification claire venant du politique, le certificat covid ne servira à rien. Prudence, donc, avec un outil numérique dont nous savons si peu.

Loin de nous l’idée de dire qu’une solution privée aurait été préférable

La surprise a été totale. Vendredi, juste avant midi, la décision est tombée. Le certificat covid sera conçu par l’Office fédéral de l’informatique et de la télécommunication (OFIT). Ce document, qui pourrait être au coeur de la vie de millions de Suisses ces prochains mois, sera donc élaboré par l’administration publique. Et pas par les entreprises ELCA et Sicpa. Et pourtant, ces derniers jours, de nombreux experts, tout comme l’auteur de ces lignes, estimaient que la solution privée était clairement favorite. C’était faux, apparemment pour une question d’accès au code source du système. Au final, la Confédération prend totalement la main sur le certificat covid.

La communication autour de cette annonce majeure a été réduite au strict minimum: pas d’intervention du Conseil fédéral, pas de conférence de presse de la part de l’Office fédéral de la santé publique (OFSP), juste un communiqué de sa part. «L’OFIT assume la mise en oeuvre technique», écrit l’OFSP, précisant que «la Fédération des médecins suisses (FMH) et la Société suisse des pharmaciens (PharmaSuisse) sont impliquées dans le projet». L’objectif est clair: «D’ici à fin juin 2021, toutes les personnes vaccinées, guéries ou ayant reçu récemment un résultat de test négatif pourront, si elles le souhaitent, obtenir un certificat covid infalsifiable.»

La question du code

Pas un mot, dans ce communiqué, sur ELCA et Sicpa. Et pourtant, le 22 avril dernier, l’OFSP présentait en profondeur la solution de ces deux sociétés lausannoises, finaliste face à celle de l’OFIT (qui, elle, n’était alors pas du tout détaillée). Entre-temps, dimanche passé, la FMH et PharmaSuisse affirmaient que même s’ils n’avaient pas été retenus pour cette «finale», ils allaient tout de même développer leur solution.

Dans son communiqué de vendredi, l’OFSP écrivait que le code source de la solution de l’OFIT sera rendu public – «ce critère était déterminant pour la sélection», selon l’office. Contacté au sujet de ce critère, l’OFSP ne veut pas entrer dans les détails: «La solution de l’OFIT couvre mieux les exigences du certificat covid d’un point de vue technique et économique. L’OFIT fournira des informations détaillées sur la solution au niveau technique à l’un des prochains points de presse», se contente de dire l’OFSP.

Aucune garantie

ELCA et Sicpa n’étaient pas certains de vouloir rendre public le code source de leur système. Lorsque c’est le cas, tout un chacun peut lire et analyser ce code, pour y détecter d’éventuelles failles. Est-ce si important? «Dans le contexte du certificat covid, cela a du sens de le mettre en open source, car il n’y a pas de propriété intellectuelle ni de savoirfaire à cacher et l’application n’a pas un but commercial, explique Steven Meyer, directeur de la société de cybersécurité ZenData, à Genève. Il poursuit: «C’est donc important d’avoir le code en open source pour que tout le monde l’audite. Encore faut-il trouver un moyen de motiver les gens à le faire… Et il n’y a jamais de garantie. Nous trouvons tous les jours des failles et des vulnérabilités dans des produits open source, mais aussi closed source. L’avantage de l’open source est que la responsabilité de ne pas avoir trouvé la faille est en quelque sorte partagée», détaille Steven Meyer.

Contacté vendredi, l’OFIT n’a voulu donner aucun détail technique. Le 23 avril, sa porte-parole déclarait au Temps que son office développait «une solution sur sa propre infrastructure, comprenant un service de génération de certificats covid et une application de vérification, ainsi que le développement d’une solution pour les détenteurs de certificats». L’OFIT expliquait que ces certificats seront générés de manière décentralisée, et qu’aucune donnée ne sera stockée de manière centrale. Pour l’heure, on ne sait rien d’autre, l’OFIT devant communiquer ces prochains jours. L’OFSP promet que «l’OFIT réalisera le certificat d’ici à fin juin. Et la solution sera compatible avec celle de l’Union européenne.» Le certificat sera disponible sur son téléphone, mais aussi sur papier.

Pas d’appel d’offres

Au total, 52 projets ont été soumis à l’OFSP. Mais il n’y a pas eu d’appel d’offres. «Les délais serrés ont été le facteur décisif. Si le «certificat covid» doit être prêt pour l’été, un appel d’offres prend trop de temps», nous avait affirmé l’OFSP le 23 avril. L’absence d’appel d’offres a-t-elle au final désavantagé ELCA et Sicpa? Impossible à dire.

«Cela a du sens de le mettre en open source, car il n’y a pas de propriété intellectuelle ni de savoir-faire à cacher et l’application n’a pas un but commercial»

STEVEN MEYER, DIRECTEUR DE LA SOCIÉTÉ DE CYBERSÉCURITÉ ZENDATA

Une chose est certaine, ces deux entreprises, qui ont travaillé depuis plus d’un an sur ce dossier, sont déçues. Vendredi, dans un communiqué commun, les deux firmes «félicitaient la Confédération pour avoir pris une décision rapide». «Sur la base de notre expérience longue de plus d’un an sur ce sujet, nous restons prêts à aider activement la Confédération et l’OFIT dans cette quête permanente de sécurité accrue et de protection de la sphère privée», écrivaient-elles.

Il est tout de même possible qu’ELCA, qui envisageait rapidement des tests grandeur nature pour sa solution, participe à ce projet, à la marge. La société travaille déjà avec plusieurs prestataires de santé et affirme que plusieurs composants sont prêts, comme l’application pour les citoyens et les formulaires pour les émetteurs.

«Ne plus perdre de temps»

«Je ne parlerai pas de victoire, a dit de son côté Martine Ruggli-Ducrot, présidente de PharmaSuisse. Notre but est simplement de lancer très rapidement une solution utilisable par tous, pour ne plus perdre de temps. Nous sommes en discussion avec la Confédération pour rendre notre système – tout bientôt fonctionnel – compatible avec l’infrastructure du futur certificat.» Selon la responsable, la question de l’interopérabilité avec le système européen est encore en discussion: «Nous ne savons pas encore si nous lancerons notre certificat de manière indépendante en Suisse, quitte à le rendre ensuite rapidement compatible avec celui de l’Union européenne, ou si nous le lancerons conjointement. C’est aussi en discussion avec l’OFSP.» ■