Les technologies de « contact tracing »
Devant ces initiatives dispersées, plus ou moins gravement intrusives, le CEPD invite l’UE à procéder au développement d’une application commune aux états-membres, sécurisée et conforme au RGPD (notamment en termes de privacy by design). Un groupe de 130 chercheurs de huit pays européens entend donc lancer une plate-forme baptisée PEPP-PT (« Pan-European Privacy Preserving Proximity Tracing ») qui permettra de concevoir des applications ayant recours à ce fameux « contact tracing ».
La logique de ces applications, en résumé, consiste à pouvoir identifier les gens avec lesquels une personne contaminée (déterminée par un test si un test a pu être pratiqué), ou suspectée de contamination (parce que la personne se déclare d’elle-même infectée), a pu être en contact.
Concrètement, lorsque le possesseur d’une telle application est diagnostiqué positif à la covid-19, les personnes qu’il a côtoyés doivent être averties immédiatement et les autorités sanitaires les inviteront à se mettre en quarantaine. Les personnes ainsi alertées ne sont pas censées savoir à quel porteur elles ont été exposées ou qui les a potentiellement contaminé ni à quel endroit, mais simplement apprendre qu’elles ont été exposées. Le but de cette démarche est de pouvoir sortir du confinement, en ne plaçant en quarantaine que les individus potentiellement porteurs.
Indépendamment de leur pertinence, réelle ou supposée, dans la lutte contre la propagation du virus, ces technologies permettent donc potentiellement la collecte de données personnelles de santé et de données comportementales, de manière certes indirecte mais tout aussi réelle, sur des millions d’individus, et à destination d’autorités qui n’ont rien de spécifiquement médicales.
La plate-forme PEPP-PT d’initiative européenne (reposant sur un protocole « DP-3T » pour « Decentralized Privacy-Preserving Proximity Tracing ») utilisera la technologie Bluetooth des téléphones mobiles « de façon anonyme » et sur la base du volontariat, et donc du consentement individuel des personnes (ce qui par construction en relativise l’efficacité comme on le verra infra, mais qui mise sur la responsabilité individuelle).
L’application est censée stocker « via un chiffrement renforcé » l’historique des connexions entre smartphones (les smartphones se détectant entre eux dès qu’ils sont suffisamment longtemps à proximité l’un de l’autre). Cet historique des contacts entre terminaux (et donc entre leurs propriétaires) doit être stockée sur le terminal lui-même, et non sur un serveur centralisé (à l’instar des applications de contrôle d’accès biométrique qui conservent les gabarits en local), et cette conservation sera limitée à une durée de deux semaines. Seules les autorités sanitaires locales, considérées comme des « tiers de confiance », seront censées pouvoir accéder aux données (ce qui invalide la notion de stockage en local), afin de pouvoir contacter les personnes concernées et leur recommander de se placer en isolement.
La version française de ces applications, « StopCovid », doit elle aussi reposer sur la technologie Bluetooth, dont on explique qu’elle « ne géolocalisera pas les personnes » mais retracera uniquement « l’historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure, ni transmettre aucune donnée » selon le secrétaire d’état au numérique.
Ses promoteurs expliquent que cette application répondra à trois finalités :
- L’observation des pratiques collectives de mobilité et de confinement (finalité qui pourtant pourrait se satisfaire des données agrégées non personnelles transmises par les opérateurs de communication électroniques français) ;
- L’identification des sujets contact en retraçant le parcours récent des personnes testées positives (ce qui permet de constituer un profil individuel) ;
- Le contrôle des confinements individuels (ce qui là aussi a trait à un comportement individuel).
Comme on le verra plus loin, il va falloir choisir. L’application ne pourra pas permettre de répondre à ces trois finalités en même temps.
L’historique des terminaux croisés par l’appareil est certes moins intrusif que la géolocalisation, certes, mais contient néanmoins un très grand nombre d’informations sur la personne concernée, à l’instar des métadonnées associées aux courriers électroniques.
De plus, les données sont censées être anonymisées, et l’application ne permettra pas l’accès à la liste des personnes contaminées – affirmation problématique puisque dès lors qu’une liste existe, il est nécessairement possible d’y accéder, la vraie question étant de déterminer qui est habilité à le faire.
Enfin, l’installation de l’application serait faite sur la base du volontariat – ce qui permettrait ainsi de fonder le traitement sur la base légale du consentement des personnes, s’il est réellement éclairé.
La crise est telle que même des organes habituellement très opposés à toute forme de suivi systématique des populations à grandes échelles, et très sensibles aux risques d’avènement d’un « big brother », comme le Chaos Computer Club, se sont penchés sur les conditions qui permettraient de déployer de tels traitements. Et il est certain qu’un tel déploiement ne doit être permis qu’en respectant des conditions drastiques, techniques et légales.