Vous êtes dans : Accueil > Tribunes libres >

StopCovid : cas d’école de la gestion de projet défaillante

Cédric Cartau, MARDI 05 MAI 2020 Soyez le premier à réagirSoyez le premier à réagir

Rarement une application ou un logiciel développé par la puissance publique aura connu autant de turbulences : même Parcoursup et APB n’en avaient pas pris autant dans la figure, c’est dire. Revenons-en aux fondamentaux de la gestion de projet pour une analyse objective, étant entendu qu’il ne s’agit pas de porter un jugement sur l’efficacité médicale (ce qui fait intervenir de multiples paramètres et sujet sur lequel je n’ai aucune compétence, donc aucun avis pertinent), mais sur le processus général.

Un projet repose fondamentalement sur quatre paramètres : le périmètre, le coût, le délai et le niveau de qualité, lesquels fonctionnent comme des vases communicants : si je veux la totale (périmètre) pour demain (délai) et pour pas cher (coût), ce sera pourri. Si je veux le top (qualité) pour demain (délai) et avec une tripotée de fonctionnalités (périmètre), ça me coûtera un bras (coût). En d’autres termes, une fois que trois des quatre paramètres sont fixés, le quatrième joue le rôle de variable d’ajustement. C’est comme la pesanteur : c’est une loi de la physique contre laquelle on ne peut rien.

Sur l’aspect coût, pas grand-chose à dire : aucune information n’a filtré sur le montant total de l’opération, mais quand on voit la rapidité avec laquelle Orange a annoncé l’avancée de ses propres développements, ou qu’Apple et Google ont annoncé une entente surprise[1], nul doute que des moyens ont été affectés et, manifestement, dans la santé, il est plus facile de débloquer des fonds pour certains sujets que pour d’autres.

Sur l’aspect délai, on est dans le grand classique de la date contrainte : le 11 mai. C’est donc entre le périmètre et la qualité que tout va se jouer. Et là, le moins que l’on puisse dire, c’est que les débats ne sont clairement pas clos.

Sur la protection de la vie privée (que l’on peut classer soit dans le périmètre, soit dans la qualité), on a rarement vu autant de levées de boucliers. Le 25 avril, le journal Le Monde ouvrait le bal en critiquant le volet confidentialité de l’application et en évoquant des difficultés techniques non prévues (Bluetooth inopérant si l’appli n’est pas en cours de fonctionnement) : visiblement, il y a un dysfonctionnement dans les spécifications techniques (que l’on attribue en général au volet « Périmètre »). Le même jour, La Quadrature du Net[2] reproduisait avec l’accord de ses auteurs la tribune au vitriol parue dans Le Monde : « StopCovid est un projet désastreux piloté par des apprentis sorciers. » Ensuite Libération, dans son numéro du 27 avril, en remettait une couche. Dans son avis rendu le 26 avril, la Cnil semblait approuver l’appli du bout des lèvres et demandait des garanties supplémentaires. Le 26 avril toujours, une tribune[3] signée par des dizaines de spécialistes et d’experts (universitaires, chercheurs, etc.) en crypto alertait encore sur le fait qu’aucune garantie digne de ce nom concernant l’anonymat ne pouvait être apportée, tant on sait les possibilités de corrélations entre des sources de données a priori anonymes mais qui, une fois croisées, dévoilent rapidement l’identité des personnes. À ce sujet, je vous renvoie à l’un de mes précédents articles[4] sur une publication de Luc Rocher, dans laquelle il démontre qu’avec six traits de caractères non identifiants (individuellement anonymes), obtenus par exemple en croisant des sources de données, il est possible d’identifier plus de 95 % des individus d’une base. Et pour finir, n’en rajoutez plus, un avis de la CNDCH[5] publié le 28 avril ne disait pas autre chose.

Sur l’efficacité de l’appli par contre, étonnamment, on lit peu de choses. Certes, dans le numéro du 26 avril de L’Opinion, Aymeril Hoang affirmait que « les épidémiologistes sont clairs : l’intérêt sanitaire d’un tel dispositif est prouvé quel que soit le niveau d’installation », mais sans citer ses sources (et vérification faite sur son profil LinkedIn, il n’est pas épidémiologiste). J’ai un peu de mal à y croire : qu’un seul citoyen l’installe sur son smartphone ne sert à rien, un peu comme si vous êtes le seul au monde à avoir un fax ; il y a donc forcément un seuil. Le site Refletsdit tout autre chose[6] en affirmant qu’au-dessous du seuil de 70 % d’installation (ce qui sous-entend que les malades le signalent) le dispositif est inefficace. Ce blog cite également plusieurs cas d’usage qui rendent StopCovid totalement inutile, entre autres le fait que chez les personnes âgées le taux d’équipement en smartphones est inférieur à celui de la moyenne de la population. Or ce sont justement des populations à risque. L’efficacité d’un tel dispositif repose sur plusieurs paramètres (taux d’installation, taux de bon remplissage des données – il faut qu’une personne se signale infectée sur l’appli –, etc.), mais surtout sur des modèles mathématiques empruntant entre autres à la théorie des graphes (voir à ce sujet l’excellente vidéo[7] de la chaîne 3Blue1Brown sur la simulation d’une épidémie). Nul doute qu’en deçà d’un certain seuil, l’appli ne vaut pas tripette, et je trouve très étrange que les débats portent essentiellement sur le volet confidentialité et pas sur le volet efficacité.

Autrement dit et pour en revenir à l’analyse projet, le périmètre et le niveau de qualité ne sont donc pas instruits. Quand deux volets sur quatre ne sont pas finalisés, quand autant de feux sont au rouge, les bonnes pratiques de gestion de projet recommandent généralement de surseoir au déploiement, le risque d’échec étant très élevé. En toute logique, on devrait donc s’arrêter là. Mais il y a un dernier aspect : le volet politique. Tous les spécialistes SI vous le confirmeront : l’informatique n’a jamais réglé et ne réglera jamais les problèmes d’organisation. En d’autres termes, si vous voulez informatiser un processus totalement désorganisé, vous ne réglerez pas la confusion ambiante par un logiciel : on réorganise d’abord, on informatise après. Mais cette assertion peut aussi se lire à l’envers : si vous êtes incapable d’organiser un processus, lancez un projet d’informatisation. Au mieux (très improbable), vous obtiendrez quelques résultats positifs, au pire vous pourrez toujours mettre sur le dos de la DSI l’échec du processus. Et, dans tous les cas, l’attention aura été détournée des problèmes organisationnels. C’est un grand classique.


[1]   https://www.01net.com/actualites/comment-apple-et-google-se-sont-entendus-pour-creer-leur-solution-de-contact-tracing-1904247.html 

[2]   https://www.laquadrature.net/2020/04/25/stopcovid-est-un-projet-desastreux-pilote-par-des-apprentis-sorciers/ 

[3]   https://attention-stopcovid.fr 

[4]   https://www.dsih.fr/article/3568/vous-prendrez-bien-un-peu-de-donnees-personnelles.html 

[5]   https://www.cncdh.fr/sites/default/files/avis_2020_-_3_-_200424_avis_suivi_numerique_des_personnes.pdf 

[6]   https://reflets.info/articles/stopcovid-une-application-qui-masque-tres-bien-les-vrais-debats 

[7]   https://www.youtube.com/watch?v=gxAaO2rsdIs&list=WL&index=12&t=70s 

logiciel, périmètre, confidentialité