L’avancée implacable du coronavirus COVID-19 a obligé les gouvernements du monde à prendre des mesures exceptionnelles visant à arrêter la propagation de la maladie, et aux citoyens à respecter des mesures d’urgence coercitives. L’une de ces mesures a été la création des applications de suivi des contacts (contact tracing). L’objectif de ce genre d’applications est d’alerter l’utilisateur en cas de exposition au Sars-CoV-2 après avoir été en contact avec une personne porteuse du virus.
Les initiatives des pays asiatiques
Les pays asiatiques sont à l’avant-garde de la mise en œuvre des applications avec le système contact tracing. Le 11 février 2020, la Corée du sud a lancé l’application coronamaps qui transforme les informations et données du ministère de la santé en cartes qui soient compréhensibles pour les citoyens. Egalement le 20 mars 2020, a été mise en œuvre l’application Self-quarantine safety protection qui peut stocker des données personnelles telles que l’adresse de l’utilisateur, son âge et sexe, son numéro de téléphone et son adresse e-mail, et qui utilise la géolocalisation pour surveiller l’accomplissement de la quarantaine de la part des personnes diagnostiquées positives. Cela permet également de punir les violations de l’isolement. Cette application est devenue obligatoire le 01 avril 2020. Un autre exemple est Virus patient travel log qui utilise la technologie GPS pour reconstituer le parcours d’une personne en utilisant la fonctionnalité « suivi d’appel » (call tracking), l’enregistrement des transactions par carte bancaire et les caméras de surveillance dans le but de faire savoir aux utilisateurs s’ils ont croisé un porteur du virus dont le nom n’est pas public. Ce ne sont que quelques exemples, les applications contre la COVID-19 ayant proliféré partout sur la planète.
StopCovid, l’initiative française
La première initiative française est venue du secteur privé. Lancée le 19 mars 2020 l’application CoronApp a été développé en seulement 72 heures par l’agence ITSS. Cette start-up fabrique des applications pour des grands groupes tels que L’Oréal et Orange avec son équipe de cinq personnes, mais pour cet ambitieux projet, l’équipe a été renforcé de cinq autres développeurs. Christophe Mollet, fondateur de l’agence ITSS encourageait l’usage de cette application avec l’argument qu’« accepter d’être géolocalisé(e) est un acte citoyen ». Néanmoins le déploiement de cette application a rencontré plusieurs obstacles, comme la difficulté d’accès aux services de géolocalisation de Google et Apple, ou les téléchargements insuffisants pour que cette application ait un sens.
Le secrétaire d’État chargé du numérique a demandé à la Commission nationale de l’informatique et des libertés (CNIL), son avis sur l’application de suivi de contacts StopCovid pour sa postérieure mise en œuvre. Les membres du collège de la CNIL ont exprimé leur avis le 24 avril et 25 mai 2020. Même si la CNIL reconnaissait que le concept de protection des données était respecté la Commission a averti le secrétaire d’État chargé du numérique sur le risque de transformer l’application en outil de surveillance ou de modifier son caractère volontaire en obligatoire. Ces risques pouvaient être ceux liés à l’enregistrement des contacts d’une personne même de façon temporaire. La Commission a estimé qu’il était possible de mettre en oeuvre l’application à condition que le Règlement général sur la protection des données (RGPD) soit respecté, et qu’elle soit inscrite dans une stratégie sanitaire globale. La CNIL a également souligné que l’application devrait être disponible dans les magasins des applications largement utilisés (Appstore, Playstore, etc.), car son succès dépendait d’une utilisation généralisée. La CNIL a recommandé l’implémentation des modalités d’effacement des données personnelles et a déconseillé le recours de géolocalisation.
Aussi, le 02 juin 2020, le Ministère de solidarités et de la santé a proposé l’application StopCovid qui n’utilise pas la géolocalisation mais la technologie Bluetooth pour évaluer la proximité entre deux terminaux. Cependant les objections de la CNIL portaient sur l’utilisation du système de « reCaptcha » de Google, la nécessité de l’analyse d’impact de l’application et plusieurs manquements à la RGPD. Finalement une dernière version a été approuvée par la Commission qui a clôturé la mise en demeure fin juin 2020.
ZOOM
Malgré ce contrôle scrupuleux pour garantir la protection des données personnelles des citoyens, StopCovid n’a été téléchargé que par 2.5 millions de personnes environ et a envoyé seulement 72 notifications : un échec cuisant !
Le 22 octobre 2020 l’application TousAntiCovid a été auditée et approuvée par la CNIL. Il s’agit d’une mise à jour de StopCovid qui est fondée sur le protocole ROBERT (Robust and Privacy-Preserving Proximity Tracing) ; ce protocole fournit une sorte d’architecture pour la construction des applications mobiles de suivi de contacts. Comme StopCovid, TousAntiCovid est une application de suivi de contacts qui utilise la signal Bluetooth pour faire un traçage des contacts. Cette nouvelle version prend en compte les contacts d’un mètre de distance pendant au moins 15 minutes. Des crypto-identifiants temporaires sont produits et envoyés à un serveur central du Ministère des solidarités et de la santé et sont gardés pendant 14 jours (période équivalente à l’apparition des premiers symptômes en général). Ces archives permettent à l’utilisateur d’être alerté en cas d’exposition à la COVID-19. Lorsqu’une personne est testée positif au Sars-CoV-2, elle a donc la possibilité d’alerter ses contacts et s’isoler immédiatement et ce, afin de briser la chaîne d’infection. Chaque smartphone qui a téléchargé cette application vérifie avec le serveur central du Ministère si les crypto-identifiants correspondent aux identifiants contact. Néanmoins les utilisateurs de TousAntiCovid se plaignent de la consommation de la batterie et qualifient l’application de énergivore.
Les applications européennes
Parallèlement plusieurs pays appartenant à l’Union Européenne ont développé leurs propres applications. Pour lutter conjointement contre la propagation du coronavirus, le 19 octobre 2020 la Commission Européenne a mis en service une passerelle garantissant l’interopérabilité des applications de suivi de contacts de ses Etats membres au-delà des frontières. Corona-Warn-App (Allemagne), Covid Tracker (Irlande), et Immuni (Italie), Radar Covid (Espagne), eRouška (République tchèque) SmitteStop (Danemark) et Apturi COVID (Lettonie) ont été compatibles entre elles. Un serveur européen reçoit les données envoyées par chacune des applications, ces informations sont croisées et les informations plus complètes qui en résultent, sont renvoyées aux applications. De cette manière les utilisateurs n’ont plus besoin d’installer plusieurs applications lors d’un voyage par exemple, leurs contacts continuent d’être suivis et reçoivent des alertes.
La France, qui a souhaité montrer son indépendance vis-à-vis des géants du numérique, et ainsi éviter toute monétisation des données, n’a pu bénéficier de l’utilisation de cette passerelle européenne. Le protocole ROBERT sur lequel TousAntiCovid est fondée, empêche toute communication avec des autres applications, car les autres applications européennes (sauf celle du Royaume-Uni qui utilise ROBERT aussi) utilisent les outils d’Apple et Google.
Rester attentif
Sous l’apparence d’une authentique préoccupation des dirigeants du monde pour protéger la population, toutes ces initiatives peuvent paraître louables. Mais c’est précisément à ce moment, au milieu de la confusion déclenchée par la pandémie, que tous les citoyens doivent être plus attentifs aux mesures imposées par les gouvernements. Human Rights Watch a souligné que ces applications de traçage « présentent graves risques pour les droits humains » dans un document intitulé Mobile Location Data and Covid-19. Deborah Brown, chercheure sur les droits relatifs au numérique affirme que « contenir la pandémie et revenir à une société ouverte sont bien sûr des objectifs essentiels, mais nous pouvons y parvenir sans cette surveillance invasive ». Human Rights Watch rappelle que nous pouvons constater tout au long de l’histoire qu’une fois qu’un gouvernement prend des mesures d’urgence et applique une forme de surveillance, cette surveillance finit par dépasser toutes les limites sans atteindre ses objectifs, et se prolonge au-delà de la période accordée au départ. L’objectif primaire de sauvegarder notre vie, d’arrêter le contagion, semble justifier le besoin de nos données personnelles en situation de mobilité pour le déploiement de cette surveillance qui permettra, selon les dirigeants, de nous alerter et nous protéger. Et on accepte d’être surveillé. Et de cette manière on initie le chemin sans retour du contrôle absolu.
Des solutions alternatives
Pourtant, certaines institutions ont créé des solutions alternatives plus transparents et protectrices. C’est le cas du projet DP-3T (Decentralized Privacy-Preserving Proximity Tracing) lancé par des chercheurs de l’Ecole Polytechnique Fédérale de Lausanne (Suisse) et de la Haute Ecole de sciences techniques et naturelles, ETH Zurich. Il s’agit d’une application de traçage des contacts qui préserve la vie privée. Si un utilisateur est testé positif COVID-19, une chaîne de caractères aléatoire est envoyé aux utilisateurs pour voir s’ils trouvent l’une de ses séquences uniques. Si un des utilisateurs trouve une correspondance et que la durée de contact avec le patient implique un risque d’infection, une alerte de l’application lui permettra de se faire tester et de s’isoler. Les séries de caractères sont stockées sur les téléphones pour une période maximale de 14 jours. Cette application utilise Bluetooth, ne peut pas être utilisée que pour le traçage de proximité entre appareils et les données telles que la localisation, l’identité ou les activités des utilisateurs restent privées. Dès que l’application est désinstallée toutes les données de signal stockées sont supprimées.
En attendant que les solutions aux événements presque catastrophiques comme la pandémie soient plus concertées que imposées, qu’une démocratie numérique soit instaurée, on peut se poser quelques questions avant de permettre qu’un dispositif envahisse notre intimité : Faut-il choisir entre la protection de la vie privée et les libertés individuelles et la protection à la santé ? Sommes-nous sûrs que les données personnelles ne seront pas exploitées à des fins malhonnêtes ?