The UK Government recently announced that it was ceasing development of its current contact-tracing app; on the same day, the Canadian Government stated that it was developing one. All this in the same week that the Norwegian health authority had to delete all data gathered via its contact-tracing app and suspended further use due to a ruling by the Norwegian Data Protection Authority. And if these examples are not enough to demonstrate the utter confusion, the Australian app is reported to have a bug that stops iPhones from reporting possible close contacts.
Le gouvernement britannique a récemment annoncé qu'il arrêtait le développement de son application actuelle de traçage des contacts. Le jour même, le gouvernement canadien a déclaré qu'il en développait une. Tout cela dans la même semaine où l'autorité sanitaire norvégienne a dû supprimer toutes les données recueillies via son application de traçage et a suspendu son utilisation en raison d'une décision de l'autorité norvégienne de protection des données. Et si ces exemples ne suffisent pas à démontrer la confusion totale, l'application australienne aurait un bug qui empêche les iPhones de signaler d'éventuels contacts étroits.
Il est clair qu'il n'existe pas de solution unique ou rapide pour répondre aux besoins individuels des organismes de santé et des gouvernements du monde entier qui souhaitent utiliser ces technologies pour aider à réduire les taux d'infection par COVID-19.
Selon Wikipedia, plus de 30 pays ont, ou prévoient de lancer, des applications conçues pour tracer les contacts ou géolocaliser leurs utilisateurs, afin de limiter et de gérer la propagation de COVID-19. Le cycle de développement et la diffusion de ces solutions sensibles au temps sont en eux-mêmes sans précédent. Demandez aux membres de n'importe quelle équipe de développement d'applications s'ils pourraient développer une application et l'infrastructure nécessaire pour soutenir 100 millions d'utilisateurs ou plus en moins de trois mois et ils vous diront non - et ce après avoir arrêté de rire à la suggestion.
Bientôt dans un téléphone près de chez vous
Le concept du traçage consiste à informer les personnes qu'elles ont pu entrer en contact avec une autre personne qui a contracté ou présente des symptômes d'une maladie infectieuse, en l'occurrence le COVID-19. Le destinataire de la notification peut alors prendre des mesures de précaution, telles que l'auto-isolement. Cet outil s'est avéré efficace pour aider à éradiquer d'autres maladies comme la variole et a été utilisé pour contrôler d'autres maladies comme la tuberculose, la rougeole et le VIH. Une grande partie de la population mondiale étant désormais équipée d'un smartphone, la technologie devrait pouvoir jouer un rôle important. C'est pourquoi nous assistons à un essor du développement des applications de traçage des contacts.
La majorité des applications disponibles sont parrainées par les gouvernements et utilisent une variété de méthodes différentes pour remplir leur fonction, telles que Bluetooth ou GPS, centralisées ou décentralisées, et n’accordent pas suffisamment d’importance au respect de la vie privée de l'utilisateur.
Deux méthodes principales sont utilisées pour glaner la proximité physique des utilisateurs. La première est le système de positionnement global (GPS) : il utilise la radionavigation par satellite pour obtenir une approximation de la localisation de l'individu et de celle des autres utilisateurs de l'application. La deuxième solution, plus importante, utilise le Bluetooth et la puissance du signal pour identifier la proximité des autres utilisateurs de l'application, permettant aux appareils d'échanger des poignées de main plutôt que de suivre la localisation réelle. Certaines solutions utilisent à la fois le Bluetooth et le GPS et certaines utilisent même le suivi de localisation en réseau, mais ces méthodes posent d'importants problèmes de confidentialité en matière de suivi de localisation et se limitent heureusement à quelques développements seulement. La principale technologie utilisée par les applications de recherche de contacts COVID-19 est Bluetooth, car elle offre un niveau plus élevé de protection de la vie privée.
VOUS AIMEREZ ÉGALEMENT: Santé publique vs vie privée: Doit‑on vraiment choisir?
Il y a cependant un problème sous-jacent : la découverte Bluetooth n'est pas activée lorsqu'un téléphone est verrouillé et l'application qui la demande n'est pas primaire. Jusqu'à présent, il n'y avait aucune raison de l'activer. Les premières versions d'applications telles que BlueTrace, la solution du gouvernement de Singapour, reposaient sur le fait que les utilisateurs gardaient leur téléphone déverrouillé. L'application bêta du NHS britannique avait une solution unique à ce problème, du moins pour Android, mais il semblerait que les limites mises en place par Apple dans iOS aient rendu cette solution irréalisable et aient obligé les développeurs à travailler avec l'API officielle d'Apple et de Google pour les notifications d'exposition.
La solution commune de Google et d'Apple, l'API de notification d'exposition, préserve la vie privée et fournit une méthode d'utilisation de la technologie Bluetooth Low Energy et de la cryptographie pour fournir une infrastructure de traçage. L'utilisation de l'API est limitée aux autorités de santé publique et l'accès n'est accordé que lorsque des critères spécifiques concernant la vie privée, la sécurité et les données sont remplis. Toutefois, cette API n'est qu'une partie de la solution dont une application a besoin pour fournir les fonctionnalités requises. Si une application demande des informations personnelles, soit directement, soit par d'autres méthodes, elle pourrait rendre cette solution respectueuse de la vie privée douteuse. L'utilisateur potentiel d'une application de recherche de contacts utilisant cette solution pourrait avoir l'impression que l'application, grâce à la solution de Google et d'Apple, a été développée pour préserver la vie privée de l'individu; cela pourrait donner un faux sentiment de sécurité.
On spécule également sur le fait que l'utilisation de l'API de notification d'exposition et de Bluetooth pour la mesure de proximité et de distance dans iOS pourrait ne pas être exacte. Le gouvernement britannique y a fait allusion lorsqu'il a annoncé l'arrêt du développement de sa propre solution. Certains des problèmes potentiels sont détaillés dans un article publié par le MIT Technology Review : il affirme que si un téléphone se trouve dans votre poche en mode portrait plutôt qu'en mode paysage, cela peut à lui seul régler la puissance reçue et donner l'impression que quelqu'un est à l'autre bout de la pièce au lieu d'être à côté de vous. La recherche mentionne également la question des signaux traversant les corps - par exemple, si deux personnes se tiennent dos à dos, le signal peut sembler faible, et donc enregistrer une distance incorrecte. Le gouvernement britannique prétend avoir développé des algorithmes qui permettent d'atténuer certains de ces problèmes; espérons que les géants de la technologie chez Apple sont prêts à au moins explorer la solution potentielle que l'équipe du NHS prétend avoir.
La solution de Google et d'Apple rejoint huit autres cadres qui ont été créés depuis le début de la pandémie. Ces frameworks ont été créés en parallèle par un ensemble d'entreprises technologiques, d'organisations de protection de la vie privée, d'universités et de gouvernements. Si le monde adoptait un cadre unique, il y aurait bien sûr une normalisation, mais cela ajoute également un point d'échec unique si le cadre est compromis ou ne donne pas les résultats escomptés. Au fur et à mesure de l'évolution des cadres, les projets de développement d'applications ont changé de cap pour passer à la solution la plus appropriée à leurs besoins à ce moment-là. On continuera certainement à observer cela de plus en plus à mesure que la technologie de traçage arrivera à maturité.
Les termes « décentralisé » et « centralisé » sont fréquemment utilisés afin de visualiser l'emplacement où les données collectées par une application de recherche de contacts sont traitées et stockées. Ceci crée l'impression que la centralisation crée un plus grand risque pour la vie privée. Cela peut ne pas être vrai, car certains modèles utilisent une approche centralisée tout en offrant à l'utilisateur de l'application le niveau de protection de la vie privée souhaité. La question sous-jacente est de savoir si l'utilisation des données peut être mal utilisée et si l'identité de l'utilisateur est connue ou peut être facilement déterminée. Il existe plusieurs raisons de créer un système centralisé, pour la puissance de traitement et la recherche scientifique et la gestion de la santé, pour n'en citer que quelques-unes; elles n'entraînent pas nécessairement un manque de respect de la vie privée.
Au bon endroit au bon moment?
Lorsqu'une application de recherche de contacts entre en contact avec un autre appareil utilisant la même application, il y a une poignée de main et un échange de clés. Ces clés changent en général en permanence et sont générées à un moment précis et de façon unique pour l'appareil. Lorsque le dispositif A rencontre le dispositif B, ils partagent les clés en fonction d'une distance et d'un temps prédéterminés, par exemple dans un rayon de 2 mètres pendant 15 minutes. L'appareil conserve les clés ou les transmet à un serveur central; lorsque les utilisateurs confirment qu'ils sont susceptibles d'être infectés, toutes les clés qu'ils ont générées sont ajoutées à un système en nuage. Tous les autres dispositifs les collectent fréquemment pour vérifier s'il y a une correspondance avec les clés collectées, ou bien cette correspondance est traitée dans le nuage. En cas de concordance, les utilisateurs sont avertis qu'ils ont été en contact avec un autre appareil dont l’utilisateur se révèle maintenant être positif. Ils ignorent cependant quel appareil a entrainé la publication de cet avertissement.
Si l'utilisateur est identifiable et que toutes les données sont conservées et traitées de manière centralisée, il y a clairement un problème de confidentialité. En revanche, si l'utilisateur n'est pas identifiable et que le nuage central ne traite que les correspondances, cela pourrait être plus efficace que de demander au dispositif local de faire ce traitement, surtout si le dispositif final est limité en termes de ressources ... ce qui pourrait être le cas dans certaines régions du monde. Cette approche donne également au système centralisé la capacité d'identifier les faux positifs potentiels, lorsque certains utilisateurs malveillants disent être infectés, alors qu'en réalité ils ne le sont pas et tentent simplement de créer le chaos pour les utilisateurs, les entreprises et la société en général. L'utilisation d'algorithmes complexes pour identifier les faux positifs dans une approche décentralisée est moins réaliste en raison de la limitation des ressources.
Un avantage de la centralisation partielle est que la partie des données centralisées qui est traitée pourrait être utilisée pour informer les scientifiques sur la façon dont la population dans son ensemble se déplace et pour identifier rapidement les points chauds afin de permettre l'allocation des ressources médicales. Si, par exemple, un code postal est demandé au moment de l'installation, les scientifiques peuvent alors prévoir la propagation des maladies. Il est peu probable que cela permette d'identifier l'utilisateur, car un seul code postal est utilisé par des centaines ou des milliers de personnes. Cela réduit effectivement la possibilité d'identifier un individu, mais peut offrir un compromis acceptable en matière de respect de la vie privée.
Chaque pays a adopté soit son propre cadre, soit l'un des neuf cadres qui ont été élaborés, chacun offrant un équilibre différent entre efficacité et respect de la vie privée. L'utilisation des différents cadres peut poser des problèmes. Ainsi, la plupart des pays européens ont adopté l'API de notification d'exposition de Google et d'Apple, alors que la France n'a pas adopté de cadre et traite les données de manière centralisée. Lorsque les frontières s'ouvrent entre les pays, on n’assistera probablement à une synchronisation entre une application allemande et une application française.
Même les solutions qui prétendent être les plus sensibles à la protection de la vie privée sont susceptibles d'abus : prenons le scénario extrême où la vidéosurveillance est utilisée en conjonction avec la capture des signaux Bluetooth émis par les appareils et la capture des clés qui sont échangées. Associée à la technologie de reconnaissance faciale et à la localisation de l'appareil à un moment connu, elle pourrait permettre d'identifier l'utilisateur. Bien que cela puisse sembler extrême, cela démontre qu'aucun système n'offre de garantie en matière de respect de la vie privée.
Est-ce que ça peut fonctionner
Tant de problèmes et de questions, si peu de temps! Il n'existe pas de solution parfaite dans le délai imparti pour mettre une solution sur le marché. L'incertitude quant aux données qui pourraient être utiles à l'avenir, aux données que les utilisateurs pourraient être prêts à partager, les cadres technologiques émergents, les défis liés à la distance approximative et l'immense pression exercée pour que les applications soient fournies montrent les défis auxquels sont confrontés les développeurs et les gouvernements pour mettre sur le marché une solution qui fonctionnera efficacement et sera acceptable du point de vue de la protection de la vie privée. Comme cela n'a jamais été fait auparavant, nous devons nous attendre à voir les erreurs commises et les projets changer de direction. Nous parviendrons à trouver les solutions optimales par essai et erreur.
Il y a des facteurs clés qu'un développeur d'application et un gouvernement demandant le développement d'une application doivent prendre en compte. Les protocoles qui ont été développés dans le respect de la vie privée ne sont valables que si les développeurs sont prêts à ne collecter et transmettre qu'un minimum de données. Ne vous cachez pas derrière un cadre respectueux de la vie privée et ne déclarez pas la sensibilisation à la vie privée alors qu'en réalité vous collectez d'autres données d'identification et les stockez de manière centralisée. S'il y a des éléments de centralisation, indiquez clairement les raisons de la collecte et l'utilisation qui en est faite, et publiez les limites de la durée de conservation des données et des personnes qui y ont accès. L'utilisation de données ne permettant pas l’identification individuelle, par exemple le code postal, pour répartir adéquatement les ressources médicales peut être plus acceptable pour bien des gens. Mais même dans ce cas, il est important de statuer clairement que. puisque ces données sont sensibles au temps, elles seront supprimées lorsqu'elles deviendront obsolètes.
Dans l'intérêt de la confiance du public : à mon avis, tous les gouvernements, quelle que soit leur approche de la question, devraient légiférer sur l'utilisation acceptable des données et créer des critères sur le moment où une application atteindra sa fin de vie et sera retirée des appareils. Aucune nouvelle infection, aucune application, aucune donnée.
Est-ce que je lancerais une application de traçage? Oui, à condition que l'utilisation soit anonyme et que les données ne soient utilisées que pour empêcher la propagation de cette maladie spécifique et continuer à faire des ravages. Si des informations de localisation généralisées telles que les codes postaux peuvent aider la science à vaincre cette maladie et à mettre les ressources médicales au bon endroit et au bon moment, mon désir de confidentialité absolue est alors contrebalancé par ma volonté de jouer mon rôle.