Fil d'Ariane
En France, l'Assemblée nationale et le Sénat ont approuvé ce mercredi 27 mai le projet de loi sur StopCovid. La Commission nationale de l'informatique et des libertés (Cnil) avait donné son feu vert ce 26 mai à la mise en place de cette application de traçage de contacts pour smartphones voulue par le gouvernement pour lutter contre l'épidémie du coronavirus.
Les députés ont approuvé ce projet controversé à une confortable majorité, par 338 voix contre 215, et 21 abstentions. Au Sénat, 186 sénateurs ont voté pour, dont une majorité du groupe LR, 127 ont voté contre et 29 se sont abstenus.
Pour minimiser les risques d'une deuxième vague d'épidémie au nouveau coronavirus, plusieurs projets ont été mis en place via les smartphones. Le principe : développer une application permettant aux téléphones de communiquer entre eux, de manière anonyme, afin de permettre à toutes les personnes ayant croisé un cas positif, d’être alertées.
Dans son avis, la Commission nationale de l'informatique et des libertés (Cnil) estime que l'application respecte les différentes dispositions législatives relatives à la protection de la vie privée, et formule quelques dernières recommandations pour sa mise en place.
La Cnil - qui avait déjà donné un feu vert de principe le 24 avril - constate que les concepteurs de l'application ont érigé un certain nombre de garde-fous pour empêcher les dérives.
La Cnil souhaite par exemple "une information spécifique pour les mineurs et les parents des mineurs", et la confirmation dans le décret à venir sur l'application "d'un droit d'opposition et d'un droit à l'effacement des données pseudonymisées enregistrées".
L'application StopCovid permettra à un utilisateur de garder la trace des autres utilisateurs croisés pendant les deux dernières semaines (à moins d'1 mètre, pendant au moins 15 minutes).
Tracer les données d’un citoyen, via son smartphone pour lutter contre la propagation du nouveau coronavirus, pose plusieurs questions. Entre libertés individuelles et intérêt public, difficile de trouver le juste équilibre.
Ce terme vient du verbe anglais "to track", qu’on peut traduire par "chercher, traquer ou cibler". Cette pratique est à la base des stratégies commerciales, qui utilisent les données envoyées par nos smartphones (déplacements, préférences, marqueurs identitaires, etc) afin de cibler les besoin d’une clientèle et lui proposer des produits.
Dans le cas présent, le but n’est pas lucratif. L’objectif est de mieux tracer la circulation du nouveau coronavirus et les contacts entre les personnes infectées par le Covid-19 et les autres individus, afin d’endiguer sa propagation.
En France, par exemple, les autorités qui veulent mettre en place ce système s’appuieraient sur nos téléphones portables qui, via Bluetooth, offrent la possibilité de suivre nos contacts avec d’autres personnes, potentiellement porteuses du Covid-19.
Il est également possible d’aller plus loin, notamment via la géolocalisation, qui permettrait de tracer les déplacements, mais le gouvernement français n’a pas opté pour cette solution. Cet outil permettrait d’assouplir le confinement, décrété pour plus de la moitié de la population mondiale.
La France a pour projet de lancer son application StopCovid. Celle-ci serait, à la fois inspirée de la philosophie de la Corée du Sud (qui suit les porteurs du Covid-19 en temps réel, via une application) et conçue sur le modèle de TraceTogether, une application utilisée à Singapour qui fonctionne via Bluetooth.
Elle se baserait sur le volontariat et contrairement au cas coréen, à Chypre ou encore à la République tchèque, l’application ne devrait pas géolocaliser ses utilisateurs, conformément aux recommandations de l’Union Européenne, qui a déclaré : "Recueillir des données sur les déplacements d'un individu dans le cadre d'une application de traçage des contacts violerait le principe de la minimisation des données collectées et poserait des problèmes majeurs de sécurité et de respect de la vie privée".
L'application devrait retracer "l’historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure, ni transmettre aucune donnée", a expliqué Cédric O, secrétaire d'État au Numérique.
#StopCovid respectera toutes nos lois et nos valeurs en termes de libertés publiques et de protection de la vie privée. Aucune donnée ne sera accessible. Le seul bénéfice : vous informer si vous avez été potentiellement contaminé pour que vous puissiez vous faire tester. pic.twitter.com/G3tiDdynKu
— Cédric O (@cedric_o) April 18, 2020
Si vous utilisez une telle application, dès lors que vous êtes proche d'un autre téléphone pendant au moins 30 minutes, votre téléphone enregistre le numéro de l’autre. De cette façon, si vous devenez positif au Covid-19 dans les heures ou jours qui suivent, on peut retrouver la personne que vous avez côtoyée pour l’inciter à se faire tester, ou à se confiner.
L’application ne devrait donc pas savoir où vous êtes, mais qui vous avez fréquenté. Par ce biais, l’anonymat serait conservé… jusqu’à une éventuelle contamination.
Dès lors, se posent des questions liées à la garantie de conservation du secret médical, ou encore de contrôle du confinement.
Certains, tels que Le Défenseur des droits Jacques Toubon, qui a dit son inquiétude sur l'antenne de nos confrères d'Europe 1, le 26 avril, redoutent qu’avec une telle application, il soit possible de savoir ce que l’on fait, quotidiennement, en fonction de qui l’on fréquente.
Une crainte pour la protection des données personnelles, que le ministre de la Santé, Olivier Véran, a tenu à désamorcer en précisant que "personne n’aura accès à la liste des personnes contaminées" et qu'il sera "impossible de savoir qui a contaminé qui. Le code informatique sera public" et la Commission nationale de l'informatique et des libertés (Cnil) est "étroitement" associée aux travaux, a-t-il ajouté, dans un entretien accordé à nos confrère du journal Le Monde.
La Cnil avait d'ailleurs demandé, le 26 avril, "certaines garanties supplémentaires".
En France, plus de 10 millions de personnes sont affectées par la "fracture numérique". Si environ 70% des Français possèdent un smartphone, il ne faut pas négliger qu’il faudrait, selon une étude de l'université d'Oxford, que plus de 60% de la population télécharge l’application afin qu’elle soit efficace.
Or, si la France se base sur le volontariat, atteindra-t-elle un tel taux ? Selon un sondage réalisé par l'Ifop pour la Fondation Jean-Jaurès, seuls 46% des Français interrogés sont prêts à activer sur leur téléphone portable l'application StopCovid.
À Singapour, (dont s'inspire, en grande partie, la France) territoire ultra connecté par excellence, avec un fort taux d’équipement en smartphones et une population d’environ 6 millions d’habitants, le gouvernement ne revendique qu’un million de téléchargements de l’application.
On est très loin des 60% à 75% d'adhésion via un téléchargement. Des bugs et des interférences fragilisent également cette application. Le modèle singapourien couple par ailleurs l'application à un dépistage massif, ce que la France ne peut et ne compte pas faire.
Adrienne Brotons, membre de l’Observatoire de la transition énergétique et sociale de la Fondation, et Paul Christophle, spécialiste du numérique, vont même plus loin dans, un article, publié en commun sur le site de la fondation Jean-Jaurès. Selon eux, une telle application pourrait même avoir un effet contre-productif : "Ce n’est qu’à partir du jour où les personnes ont téléchargé et activé l’application que la liste de ceux ayant été en contact proche est enregistrée. On ne pourra pas remonter le temps, et il faut donc que l’adoption soit non seulement massive mais aussi très rapide, chaque jour qui passe réduisant son impact potentiel.
Si la taille critique n’était pas atteinte rapidement, cette application pourrait avoir des effets contraires à ceux attendus, en donnant à ses utilisateurs un faux sentiment de sécurité. L’absence de notification pourrait être perçue comme une disparition du risque sanitaire, quand elle ne serait que la manifestation d’une faible diffusion de cet outil dans la population".
L’Europe a mis en place un projet de recherche, nommé Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) qui regroupe désormais six pays, après le départ de la Suisse et de l'Allemagne.
Le PEPP-PT revendique son respect de la vie privée des citoyens, mais cela n’a pas empêché les deux partenaires suisses, École Polytechnique Fédérale de Lausanne et École Polytechnique Fédérale de Zurich (l'EPFL et l’EPFZ), de quitter le groupe, ce vendredi 17 avril. Ces deux piliers du projet ont décidé d'explorer une autre solution, qu’ils disent être davantage respectueuse de la vie privée.
Le professeur de l'EPFL, Marcel Salathé, écrivait sur Twitter: "Bien que je croie fortement dans les idées à la base du projet (...), je ne peux soutenir quelque chose dont j’ignore les tenants et aboutissants. Pour l’instant, PEPP-PT n’est pas assez ouvert et transparent."
I am personally disassociating from PEPP-PT. While I do believe strongly in the core ideas (international, privacy-preserving), I can't stand behind something I don't know what it stands for. Right now, PEPP-PT is not open enough, and it is not transparent enough. 1/3
— Marcel Salathé (@marcelsalathe) April 17, 2020
Un cas symptomatique des dissensions observées à l'intérieur même de l'Europe depuis le début de la pandémie. Les deux établissements suisses sont désormais en train de développer le système DP3T, qui promet un anonymat total. Ce dernier se distinguerait du PEPP-PT via son système décentralisé. Les informations resteraient dans les téléphones, alors qu’à l'inverse, avec un système centralisé, le risque de lever l'anonymat des personnes peut exister, tout comme le risque de pouvoir savoir, après coup, avec qui les personnes ont été en contact.
Dans ces débats, les deux géants Apple et Google occupent une position centrale. Ils détiennent le contrôle des deux systèmes d'exploitation de smartphones les plus utilisés : iOS (Apple) et Android (Google). Il est donc impossible de faire communiquer des smartphones appartenant à ces deux galaxies sans leur accord.
Apple et Google vont proposer rapidement le socle d'une application de traçage de contacts que les gouvernements pourront personnaliser à leur guise.
Dans le cas de leur technologie, les données ne devraient pas passer, même temporairement, par une base de données centrale et devraient rester stockées avant tout sur les smartphones des utilisateurs, comme le suggère le PDG de l’Inria (Institut national de recherche en sciences et technologies du numérique), Bruno Sportisse.
La France a, elle, décidé d'écarter les deux géants américains et leur réclame de pouvoir faire ses propres choix techniques et architecturaux.
Le problème est particulièrement sensible avec Apple qui protège, pour des raisons de sécurité, le fonctionnement du Bluetooth. Si la France ne parvenait pas à convaincre Apple, l'application StopCovid ne fonctionnerait que lorsqu'elle est ouverte et en premier plan - empêchant ainsi son utilisateur de recourir à son smartphone pour lire ses mails ou naviguer sur Internet - une impasse technique de taille.
Face à ces choix, l'Allemagne a décidé de faire volte-face, pour finalement annoncer, ce 26 avril, opter pour une application de traçage mobile décentralisée. Elle pourrait donc prochainement emboîter le pas du Royaume-Uni, qui a décidé de collaborer avec Apple et Google.
Si le système, les modalités et les technologies utilisées par les applications de traçage ou "contact tracing" posent encore de nombreuses questions, il est de plus en plus admis, notamment par l’Académie de médecine et le Conseil national du numérique, qu’un traçage serait "utile", afin de lever, progressivement, le confinement.
Mais les démocraties libérales européennes se heurtent à des problématiques et à un cadre légal qui les soumettent à des régles en termes de protection des données (notamment le règlement général sur la protection des données - RGPD).
Que va-t-il se passer, en France, quand une personne sera contaminée ? Sera-t-il possible de garantir la conservation de son anonymat à 100% ? Ne devra-t-on pas imposer son confinement, alors que la base de ce dispositif repose sur le volontariat et que des contrôles ne sont pas prévus ? À l’échelle européenne, les pays membres arriveront-ils à adopter un consensus sur un modèle d'applications, dont les effets ne pourront être positifs, que si elles sont adoptées par une majorité des citoyens ?