Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

 

 

 

 

Le suivi numérique

Entre liberté et oppression (I)

Le suivi numérique ou "tracking" est une méthode permettant de localiser et suivre un personne (ou un objet) à distance. C'est un outil aux usages multiples qui tire profit des nouvelles technologies, en particulier d'Internet, de la couverture cellulaire des appareils mobiles (smartphone, tablette, GPS, bande de fitness connectée, etc), des connexions intelligentes entre objets (IoT) et du Big Data parmi d'autres technologies. On l'utilise via une application cliente installée sur un ordinateur ou un mobile de dernière génération dont les données sont mises à jour grâce à un serveur alimenté et contrôlé par différentes sources, une entreprise privée, un service étatique ou une organisation non gouvernementale selon la destination ou le type de données.

Nous allons prendre quelques exemples d'utilisation dans le cadre de l'épidémie au Covid-19 pour bien démontrer à quel point une application a priori inoffensive pour les citoyens et cherchant à les sécuriser peut, lorsqu'on la détourne de son usage, devenir très dangereuse pour la liberté des citoyens. Ceci dit, il ne faut pas crier haro sur ce type d'outil qui, moyennant certaines précautions, est très utile comme nous allons l'expliquer.

Covid-19 et Close contact détection en Chine

En Chine, la direction générale du Conseil des Affaires d’État, autrement dit le gouvernement de Beijing, Gov.cn, l'autorité administrative en chef de la République Populaire de Chine a mis en place un contrôle sanitaire de la population au moyen d'une application payante d'Alibaba nommée "Alipay" développée en collaboration avec Tencent, une société spécialisée dans les services Internet et la publicité en ligne.

Dans 200 métropoles et en particulier à Wuhan, Shanghai, Hangzhou et sur l'île de Hainan où le confinement fut levé en avril 2020, toute les personnes y compris les travailleurs migrants, les expatriés et les touristes doivent se soumettre à des contrôles et présenter aux inspecteurs de la santé comme à la police, leur smartphone sur lequel doit s'afficher un QR code vert comme le montre la vidéo ci-dessous (cf. aussi Reuters, East Day, SCMP).

Pour obtenir ce QR code, les habitants des villes concernées doivent d'abord remplir un formulaire en ligne en indiquant notamment leur numéro d'identification (ID number), s'ils ont voyagé ou non en dehors de la ville récemment et les éventuels symptômes de la maladie. En retour, ils reçoivent sur leur smartphone un QR code de couleur vert, jaune ou rouge comme on le voit ci-dessous qui leur permet de signaler leur état sanitaire Covid aux agents chargé du contrôle. Les habitants peuvent également scanner ce QR code pour obtenir une étiquette de couleur. Un QR code vert signifie que le résultat de votre test est négatif, vous pouvez passer les contrôles et parcourir la ville sans restrictions. Le jaune signifie une quarantaine de 7 jours et le rouge signifie une quarantaine de 14 jours.

Le système de QR code est intégré aux informations existantes sur la prévention des épidémies. Cette mesure sera en principe appliquée aussi longtemps que le virus risque de contaminer la population.

A voir : COVID-19 : une application chinoise

pour savoir si on a côtoyé des personnes contaminées, CGTN

Deux mois auparavant, le 8 février 2020, la Chine avait déjà lancé une autre application du même genre nommée "Close contact detection" (Détecteur de contacts rapprochés). Après s'être enregistré avec un numéro de portable, l'utilisateur encode son nom et son numéro d'identification pour vérifier s'il a été en contact étroit avec une personne contaminée. Chaque numéro de téléphone enregistré peut être utilisé pour demander trois numéros d'identification. Cette application utilise également un QR code et fait appel au Big Data. Si le système répond positivement il conseille à la personne de rester à la maison et de contacter les autorités sanitaires locales (cf. XinhuaNet).

L'application fut développée par le gouvernement chinois en collaboration avec la Commission Nationale de la Santé (NHC) et China Electronics Technology Group Corporations (CETC), une société d'État de haute technologie développant notamment des systèmes de sécurité.

Notons que l'utilisation du QR code est quasi généralisée en Chine où 93% des villes l'ont adopté comme moyen de paiment conjoitement avec l'application WeChat et à des fins de marketing (cf. Lost Plate, Dragon Trail). On peut le considérer comme la combinaison entre la carte de paiment à puce RFID et le "Like" de Facebook qui renvoit des informations aux webmarchands. Mais il peut faire beaucoup plus que cela.

Mais autre pays autre culture. Les Occidentaux défendent farouchement leurs libertés. Contrairement à ce que pensent les autorités chinoises, sudcoréennes er russes parmi d'autres, les parlementaires des pays démocratiques qui votent nos lois jugent à juste titre que les citoyens sont libres, ils sont a priori innocents, ils n'ont commis aucun délit et ne doivent pas être considérés comme des coupables potentiels ou des prisonniers. Concrètement, il est exclu qu'on suive un citoyen bénéficiant de tous ses droits civiques au moyen d'un bracelet ou de caméras, sauf dans le cadre d'un délit, et encore le contexte est encadré par la loi. De plus, nous ne sommes pas encore tous prêts à accepter ces mesures de surveillance qui menacent la vie privée ni à accepter un monde totalement basé sur le virtuel (télétravail, webcam, géolocalisation, paiment sans contact et autre réalité augmentée). Nous verrons plus bas que la Chine utilise ce QR code à bien d'autres fins moins louables.

Les applications de suivi numérique

Afin de mettre fin le plus rapidement possible à cette épidémie et au confinement, plusieurs gouvernements européens ont soulevé au mois de mars 2020 la question du suivi numérique des citoyens comme cela a été fait en Chine, à Singapour, à Taïwan et en Corée du Sud afin de s'assurer que les personnes contaminées restent confinées ou sont prises en charge.

En théorie et à l'exception de la Chine continentale sur laquelle nous reviendrons, le but est donc éthiquement acceptable et n'a rien à voir avec de l'espionnage à la "Big Brother" ou de la répression comme en Chine. Reste que la question des données récoltées est un sujet sensible car il pose un problème potentiel dans le cadre du traitement des données à caractère personnel et de la protection de la vie privée, le fameux RGPD tel que l'exige le Parlement Européen.

A lire : Traitement des données à caractère personnel et la protection de la vie privée, Europa

Toutes les applications de suivi numérique appliquées au Covid-19 sont basées sur le concept "search and contain", c'est-à-dire "rechercher et contenir". Leur but est d'aider le gouvernement à localiser les éventuels porteurs du virus ou leurs contacts (les personnes qui les cotoyées quelques instants ou fréquentées plus longtemps) afin de les isoler et les mettre par exemple en quarantaine durant deux semaines afin de casser la chaîne de contamination et arrêter l'épidémie. Indirectement, grâce à la localisation (GPS ou Bluetooth), ce type d'application permet de rassurer les personnes saines qui peuvent savoir si à proximité d'elles il y a un risque de contamination afin de l'éviter. Les actions qui se déroulent ensuite dépendent de la stratégie adoptée par chaque pays.

Stay Home Safe à Hong Kong

À Hong Kong, un bracelet électronique intelligent et une application pour smartphone ont été déployés le 3 février 2020 pour surveiller les personnes qui ont été mises en quarantaine à domicile pour empêcher la propagation du Covid-19. Le gouvernement a déclaré qu'il dispose de 500 bracelets électroniques et 1000 autres peuvent être produits en deux semaines si nécessaire.

Le bracelet électronique et l'appli pour smartphone utilisés à Hong Kong pour tracer les personnes placées en quarantaine. Document News.gov.hk.

La technologie est été développée à Hong Kong par le Centre de R&D MultiTech Logistique et Supply Chain (LSCM) spécialisé dans les services IT centrés autour de la connectivité.

Selon M.Lam, porte-parole du gouvernement, les bracelets utilisés conjointement avec des smartphones ont été donnés à des personnes qui revenaient de Wuhan au cours des 14 derniers jours et devaient en conséquence être mises en quarantaine à la maison. L'application se nomme "Stay Home Safe".

Selon Lam, la technologie intelligente est conçue pour envoyer une alerte si des personnes mises en quarantaine tentent de quitter leur domicile : "Si le smartphone est déconnecté, une alerte sera immédiatement envoyée au ministère de la Santé et de la Police pour suivi. Et si le bracelet est cassé, une alerte sera également immédiatement envoyée au ministère de la Santé et de la Police pour suivi. Donc, ils travaillent essentiellement en binôme." (cf. News.gov.hk). Nous verrons que la même règle est appliquée en Corée du Sud.

En fait beaucoup de pays y compris européens ont adopté le bracelet électronique, en particulier pour suivre les personnes condamnées à une peine de prison ferme mais disposant d'une mesure d'aménagement. C'est la raison pour laquelle, en Europe les sénateurs sont peu favorables à l'utilisation de cette méthode pour suivre des citoyens sans reproche.

Voyons à présent comment la Corée du Sud et Singapour, qui sont aujourd'hui des républiques à part entière, ont utilisé le suivi numérique pour pister le Covid-19 et ne pas imposer le confinement à leur population avec un excellent résultat. Nous verrons également les solutions utilisées en Israël et celles déjà mises en place ou envisagées en Europe.

Coronamap en Corée du Sud

En théorie, pour que le suivi numérique soit efficace, il faut d'abord que la population ait massivement été dépistée pour le Covid-19 afin qu'on puisse en temps quasiment réel savoir à tout moment qui est contaminé et où il se trouve.

En Corée du Sud, les autorités utilisent un système dénommé "Coronamap". Il a été développé conjointement par le Ministère des Sciences et des TIC, le Ministère des Terres, des Infrastructures et des Transports et le KCDC (Korea Centres for Disease Control and Prevention). Un logiciel présenté ci-dessous fournit en léger temps différé (moins d'une heure) aux enquêteurs de la santé "diverses données" sur les patients porteurs du Covid-19 afin de tracer leur itinéraire. Ces données sont extraites des images des caméras de surveillance (CCTV), des transactions par carte bancaire, de la géolocalisation des GSM et des contacts Bluetooth parmi d'autres flux alimentant la base de données.

L'application Coronamap accessible par Internet permet de localiser en temps différé (moins d'une heure) dans plusieurs villes de Corée du Sud dont Séoul, les personnes et les lieux contaminés, meur nombre, depuis quand ils sont contaminés, vers quel hôpital fut transféré le patient ainsi que les endroits ayant été déclarés sains. Situation extraite le 4 avril 2020 à 21h TU.

Le système est basé sur le programme "Smart city data hub programme" (programme de centre de données sur les villes intelligentes) actuellement en cours de développement par le gouvernement central et le gouvernement municipal de Daegu où fut découvert le premier foyer infectieux (cf. The Korea Herald).

En permanence, grâce à la géolocalisation et l'analyse d'un certain nombre de données à caractère privé (lieu de la transaction bancaire, nom, prénom, âge, statut viral, lieu de résidence, sexe, nationalité, état civil, contacts, etc) mais dont le nombre a fortement été réduit pour éviter de pouvoir identifier les personnes, les équipes coréennes de surveillance peuvent situer sur des écrans de contrôle au sein d'un QG ou à distance par Internet un habitant dans la ville, savoir s'il est sain ou porteur du virus, localiser les endroits contaminés (un point vert indique un lieu sain, un point rouge ou orange un lieu contaminé) et depuis combien de temps et, si nécessaire envoyer une équipe décontaminer l'endroit.

Ainsi, 24 heures sur 24 grâce à son ordinateur, son smartphone ou sa tablette et des cartes de la ville tenues à jour, chacun peut savoir à 100 m près quels sont les endroits contaminés à éviter et où il peut circuler sans risque.

Grâce à ce système, au 19 avril 2020 la Corée du Sud présentait un taux de létalité de 2.2% soit 234 décès pour 51.5 millions d'habitants. C'est presque aussi bien qu'au Luxembourg (2%) mais c'est 6 à 7 fois mieux qu'en Belgique et en France ! Mais cela ne l'a empêché de subir une deuxième vague épidémique.

Après de nombreuses améliorations, les autorités coréennes prétendent que le programme Coronamap a anonymisé les données et respecte donc la vie privée. Mais les développeurs reconnaissent eux-mêmes que toutes les données brutes, y compris celles à caractère privé, sont toujours disponibles dans la base de données mais n'ont pas toutes été exploitées dans le cadre de l'épidémie. On y reviendra.

A gauche, l'application Coronamap permet de retracer l'activité des personne anonymes contaminées (partie gauche) ou d'un lieu qui a été désinfecté (flagué en vert, partie droite). L'option  View  permet de localiser l'endroit sur la carte. A droite, aspect de l'application sur un smartphone. L'équipe de développement propose également une aide en ligne et accepte toute idée d'amélioration comme expliqué à droite sur Instagram : "En tant que citoyen coréen, j'ai commencé à la développer pour [apporter mon aide dans] cette situation, même un peu. Si vous avez des fonctionnalités ou des flux pour l'alimenter, veuillez nous contacter à hong.chilla@gmail.com ou laissez un commentaire. Et si cela vous a aidé, merci beaucoup de le partager. ~ Je vous remercie ! https://coronamap.live.

Plusieurs gouvernements étrangers, y compris européens et américains se sont intéressés à cette application. A l'heure du numérique, ce suivi de la population peut facilement être réalisé car pratiquement tout le monde possède un smartphone et dans une moindre proportion une tablette, un GPS, une smartwatch ou un bracelet de fitness connecté (cf. la wearable tech).

Les autorités européennes se sont donc inspirées du programme coréen afin d'afficher que le stict minimum nécessaire et uniquement des données anonymisées dans le cadre exclusif du suivi de l'épidémie comme l'exige toute bonne gestion éthique de la sécurité. Si ce cahier des charges est satisfait, ce genre de programme pourrait se généraliser en Europe. Toutefois nous verrons que nos parlementaires ne sont pas aussi enthousiastes que nos politiciens.

Rappelons que cela fait des années que des programmeurs ont développé des applications similaires qui permettent notamment de géolocaliser des taxis, des places de parking, les membres de sa famille, des points d'intérêts (commerces, cinéma, etc) ou même de se géolocaliser soi-même quand on fait du sport en portant un traceur GPS (cf. Garmin, Fitbit, etc). Si on dispose des données recueillies par la cellule de crise sur le Covid-19, il est facile de les adapter pour connaître la position d'une personne contaminée. CQFD.

Dans un second temps, afin de mieux suivre l'épidémie et les contacts, en Corée du Sud les hôpitaux ont demandé aux personnes testées pour le Covid-19 ou sous traitement de répondre avant leur admission aux questions envoyées sur leur smartphone, notamment si elles avaient de la fièvre ou de la toux. Après avoir soumis leurs réponses, chaque personne a reçu un QR code sur son mobile.

Selon le Dr Ki Mo-ran, professeur à la National Cancer Center Graduate School of Cancer Science and Policy, au départ, cela fut perçu comme un moyen efficace de traiter les cas en évitant la paperasserie. A présent, le gouvernement coréen envisage d'étendre l'utilisation des QR codes pour la recherche des contacts notamment. Cela permettrait de mieux suivre les visites des personnes en les scannant lors de rassemblements importants comme dans des restaurants, les églises et les boîtes de nuit, par exemple.

Actuellement, selon le Dr Ki, 30% des personnes sortant en boîte de nuit sont introuvables parce qu'il y a tellement de monde que chaque personne ne donne pas d'informations ou des données partielles qui ne peuvent pas être retracées. Avec les nouvelles règles "Les gens généreraient un QR code plutôt que d'écrire" leurs informations. Ce code serait scanné lors de leur entrée et l'information "serait transmise au gouvernement" qui, en cas d'épidémie, pourrait rechercher les contacts entre les malades et les personnes à proximité.

Le gouvernement teste cette idée d'une "liste de visiteurs numériques" pendant six mois (jusque fin 2020) dans les boîtes de nuit, les restaurants et les bars. Le gouvernement collectera les données mais les supprimerait après quatre semaines s'il est pas nécessaire de retracer l'épidémie.

Trace Together à Singapour

Singapour est une cité-État de 721.5 km2 (la moitié de Londres) située au sud de la Thailande et de la Malaise qui abrite 5.6 millions d'habitants qui vivent sur une île qui concilie avec succès la jungle urbaine aux infrastuctures futuristes et ce qu'il reste du peu de jungle équatoriale.

Le gouvernement a décidé d'utiliser l'application "Trace Together" depuis le 20 mars 2020 pour lutter contre la propagation du Covid-19. Vu sa taille et les risques encourus, la ville a choisi cette solution pour gérer l'épidémie sans confiner totalement les habitants qui vivent généralement dans de très petits appartements. Le but est de tracer toute la chaîne de contamination afin d'éliminer le virus sans impacter son économie.

L'application "Trace Together" utilisée à Singapour.

L'application "Trace Together" s'installe sur les smartphones avec l'accord préalable de l'utilisateur. Elle peut être connectée à un bracelet électronique que doivent porter tous les porteurs du virus et les étrangers arrivant sur le territoire qui sont d'office placés 14 jours en quarantaine. Pendant cette période, la personne peut recevoir jusqu'à trois appels téléphoniques quotidiens de la part d'un représentant du ministère de la Santé. Il s'agit d'appels vidéo à sens unique (elle ne voit pas votre interlocuteur) qui permet à l'agent de vérifier son environnement et de s'assurer qu'elle se trouve bien à son domicile.

La ville étant très numérisé, tout le monde a accès à Internet et les personnes en quarantaine ont même l'obligation de commander leurs courses en ligne.

En cas de violation des consignes de confinement, le contrevenant s'expose à une amende pénale et aura donc un casier judiciaire. Un habitant qui ne respecte pas la quarantaine se verra retiré son statut de résident permanent et interdit d'entrée sur le territoire de manière définitive. Il est passible d'une amende pouvant atteindre 10000 dollars soit ~6500 € et de 6 mois d'emprisonnement !

Une personne qui retire son bracelet et refuse d'être suivie pendant sa quarantaine sera verbalisée et risque une peine prison. Le port du masque étant obligatoire dans les lieux publics, celui qui n'en porte pas est passible d'une amende de 300$ soit 194 €.

Des agents parcourent également la ville pour s'assurer que les citoyens respectent la distanciation sociale et les règles du confinement.

Si un agent ou le système électronique détecte qu'une personne contaminée circule librement dans la ville, les autorités lancent une procédure de recherche des contacts pour identifier toutes les personnes ayant pu l'approcher afin de les mettre en quarantaine et empêcher la propagation du virus. Ce dispositif a été accentué au plus fort de la vague épidémique, passant initialement de 3 équipes à 20 équipes de recherche. Les officiers en charge appartiennent au ministère de la Santé, des forces de police de Singapour et depuis mars 2020 les forces armées de Singapour ont été appelées en renfort. Les équipes peuvent suivre jusqu'à 4000 contacts chaque jour et augmenteront leur effectif si nécessaire (cf. Straits Times).

Comme en Occident, les autorités rappellent plusieurs fois par jour à la population que chacun a un rôle à jouer pour réduire le risque de transmission du virus. Les messages diffusés dans les médias insistent sur l'hygiène personnelle, la responsabilité individuelle et le respect de la distanciation sociale. Ils rappellent aux personnes en quarantaine de rester chez elles, de bien se laver les mains après être sorti et de consulter un médecin dès les premiers symptômes suspects. Le ministère de la Santé porte également une attention particulière aux personnes âgées, leur rappelant de rester en sécurité et d'éviter les activités en groupe.

Le résultat de cette stratégie fut remarquable. Au 19 avril 2020, le taux de létalité à Singapour était de seulement 0.17% soit 11 décès pour 5.6 millions d'habitants. C'est 10 à 100 fois moins qu'en Occident !

A voir : Coronavirus: Rise in Covid-19 cases expected in Singapore, The Straits Times

A lire : J'ai été exposée au coronavirus à Singapour, The Huffington Post, 2020

Récit d'une prise en charge pendant la première vague

En parallèle, le gouvernement singapourien annonça début juin 2020 son intention de lancer un dispositif portable (cf. la wearable tech) de suivi des contacts qui n'est pas basé sur la géolocalisation.

L'appareil portatif qui pourrait-être transporté dans un sac à main ou porté au bout d'une lanière, a fait l'objet de critiques de la part de Singapouriens, dont certains ont exprimé leurs préoccupations concernant la protection de la vie privée. Une pétition en ligne intitulée "Singapore says 'No' to wearable devices for COVID-19 contact tracing" a reçu plus de 40750 signatures (10 juin 2020). La pétition souligne le risque potentiel que le système aide les autorités à "suivre les mouvements des citoyens 24h/24 et 7j/7". Cela se fera indépendamment du fait que la personne ait ou non un téléphone, que son téléphone soit éteint ou allumé ".

Répondant aux problèmes de confidentialité, Vivian Balakrishnan, qui est également le ministre en charge de l'initiative "Smart-City" a déclaré que l'appareil n'aurait pas de GPS ni de connexion Internet ou cellulaire. En tant que tel, il ne peut donc pas suivre l'emplacement ou le mouvement des individus : "Le dispositif de recherche des contacts ne suivra pas la localisation; les gens peuvent utiliser TraceTogether s'ils préfèrent".

S'il est efficace, le dispositif  pourrait être déployé dès la mi-juin (cf. The Straits Times).

Notons que Singapour n'est pas le seul état à tester un dispositif portable qui serait distribué à ses résidents. La Corée du Sud et Hong Kong se sont appuyés sur des dispositifs portables pour mieux faire respecter leurs mesures de quarantaine.

HaMagen et Track Virus en Israël

Israël a lancé en mars 2020 pas moins de deux application mobiles. La première est nommée "HaMagen" alias המגן (signifiant "Le Bouclier" en français). L'application recoupe les trajets de personnes infectées avec ceux des usagers de l'application. Le projet est parrainé par le ministère israélien de la Santé qui donne envoie en temps réel les données sur les personnes contaminées aux smartphones des utilisateurs de l'application. Selon le ministère : "L'application compare votre géolocalisation à celle des patients infectés. Lorsqu’il y a une correspondance entre les deux, vous recevez un lien du ministère de la Santé vous indiquant la marche à suivre", par exemple à propos du dépistage.

L'application "HaMagen" utilisée en Israël. Documents Nir Eli/Reuters et Jack Guez/AFP.

Comme en Corée du Sud, "HaMagen" permet aussi aux utilisateurs d'anticiper leur trajet pour éviter des lieux exposés au virus. Selon Reuters, au 1er avril l'application avait été téléchargée plus de 1.5 million de fois. Selon Reurters, les autorités tentent de vendre le concept à plus de 20 pays en Europe et en Amérique du Nord.

La deuxième application est nommée "Track Virus" présentée ci-dessous et disponible sur le Google Play Store. Comme "HaMagen", elle recueille des données collectées par le ministère israélien de la Santé.

L'application "Track Virus" utilisée en Israël. Document NoCamels.

Parmi les autres solutions, selon l'AFP, le ministère de la Défense a donné son appui aux recherches menées par la start-up Vocalis Health qui développe une application permettant aux professionnels de la santé de détecter, au seul son de la voix, si une personne est infectée. Selon Tal Wendrow, cofondateur de la start-up : "Nous travaillons jour et nuit pour développer l'appli". Dans un premier temps, en partenariat avec les autorités sanitaires, la société collecte les voix de personnes infectées à différents stades de la maladie et demande aussi sur une plate-forme en ligne à des personnes qui ont ou n'ont pas contracté le nouveau coronavirus de "donner leur voix". Une fois ces échantillons sonores collectés, le système identifie grâce à l'intelligence artificielle la "signature vocale" du virus pour permettre aux professionnels de la santé de déclencher une alerte en entendant simplement une personne au téléphone, voire de pouvoir suivre à distance la progression de ses symptômes (cf. The Times of Israel).

StopCovid en France

S'inspirant de la solution sudcoréenne, la France en collaboration avec Capgemini a développé l'application "StopCovid" qui s'installé dans les smartphones des résidents sur base volontaire. Si une personne contaminée se trouve dans leur voisinage immédiat, c'est-à-dire la distance de captage Bluetooth (10 à 100 m selon les normes), une alerte serait envoyé à l'utilisateur (cf. Reuters).

Mais il faut impérativement que cette application soit approuvée par la CNIL, c'est-à-dire la Commission Nationale Informatique et des Libertés dont le rôle est de protéger le consommateur contre tout usage abusif de données informatiques le concernant. L'État doit notamment garantir que l'application est à l'abri du piratage informatique. Les "données Covid" doivent également être anonymisées de façon à ce qu'on ne puisse pas identifier les individus ou croiser ces informations avec d'autres bases de données nominatives et que l'application devienne un moyen intrusif pour l'État de contrôler la population. Le président Macron ne veut surtout pas donner l'impression d'être liberticide, c'est en tout cas ce qu'il prétend.

L'application StopCovid est ses différents écrans testée le 27 mai 2020 à Paris. Documents AFP/Thomas Samson et Ministère de l'Economie et des Finances.

Parmi les députés, les avis sont partagés entre autoriser et interdire l'usage de ce genre d'application. Le fait de rendre son utilisation facultative est une bonne chose comme l'ont souligné des avocats. Toutefois, si on veut rendre cette application utile dans le cadre de l'urgence sanitaire, elle devrait être obligatoire.

Finalement, fin mai 2020, sur les 574 députés présents à l'Assemblée Nationale, 338 ont voté pour et 215 contre. Au Sénat, 186 sénateurs ont voté pour, 127 contre et 29 se sont abstenus. La députée Fabienne Colboc confirme que les données Covid "seront anonymisées, pseudonymisées et supprimées au bout de 14 jours".

Seul bémol, StopCovid est une application franco-française. Elle n'utilise pas la plate-forme standard recommandée par l'Union européenne qui est déjà utilisée par 18 pays de l'Union dont la Grande Bretagne, l'Irlande, l'Allemagne et la Belgique et qui est bien plus sécurisée que StopCovid. Une fois de plus, la France fait cavalier seul sans raison valable si ce n'est de marquer sa différence. Que gagne la France a être si égoïste ? En revanche, elle perd un peu plus la confiance des autres pays.

StopCovid est utilisé en France depuis le 2 juin 2020. Elle est disponible sur l'App Store et Google Play Store depuis le 30 mai 2020.

Mais mi-octobre 2020, il fallait se rendre à l'évidence, le public français a boudé l'application. Si les épidémiologistes espéraient idéalement qu'elle soit utilisé par 1 million de personnes, bien qu'elle fut téléchargée par 2.6 millions de personnes, c'est beaucoup moins qu'au Royaume-Uni et en Allemagne où les applications équivalentes furent respectivement téléchargées par 16 millions et 20 millions de personnes.

TousAntiCovid

Suite à ce désintérêt manifeste de la population, le président Macron proposa une nouvelle application de suivi appelée "TousAntiCovid" qui fit l'objet d'un nouvel appel d'offres. Selon le président Macron, il s'agira surtout d'une "application d’information", prévenant les utilisateurs de "la circulation du virus, des points pour se faire tester, etc." (cf. Le Monde).

L'application "TousAnticovid" fut lancée le 22 octobre 2020. Comme le précise le gouvernement, il s'agit d'une mise à jour de StopCovid, enrichie par l'accès à des informations factuelles et sanitaires sur l'épidémie. Elle permet à l'utilisateur d'être alerté ou d'alerter les autres en cas d'exposition à la Covid-19.

Son utlisation est fondée sur le volontariat et chaque utilisateur est libre de l'activer et la désactiver au gré des situations.

L'application fut téléchargée 10 millions de fois. Selon le gouvernement, "Plus l'application sera utilisée, plus vite les cas contacts seront alertés, plus nous aurons collectivement un impact sur le contrôle et l’évolution de l’épidémie".

Concrètement, "TousAntiCovid" permet à l'utilisateur testé positif au Covid-19 de prévenir immédiatement les personnes qu'il aurait pu contaminer durant sa période de contagiosité. En parallèle, l'application alerte les utilisateurs qui ont pu être en contact rapproché avec cette personne au cours des derniers jours. Le but est que ces personnes s'isolent immédiatement afin d'éviter de contaminer à leur tour de nouvelles personnes.

Reste un problème non résolu : qui va s'assurer que les personnes potentiellement contaminées le sont, autrement dit pourquoi ne pas leur imposer un dépistage ? Et qui va vérifier qu'elles respectent la quarantaine de 10 jours ? A ces deux questions, le gouvernement français n'a pas proposé de solution si ce n'est de dépister la population mais sans cibler ces personnes à risque et sans les tracer avec un bracelet électronique comme cela se fait à Hong Kong par exemple. Ceci dit, le même problème se pose ailleurs en Europe, ce qui peut expliquer la forte amplitude de la deuxième vague épidémique, une partie des contaminés ne respectant pas la quarantaine ni les gestes barrières.

Tracing en Belgique

La Belgique a souhaité mettre en place un programme de suivi appelé "Tracing" mais le concept n'a été que vaguement évoqué mi-avril 2020 par la Première ministre, Sophie Wilmès (MR) car le sujet reste sensible. S'il est accepté, le programme fonctionnerait comme l'application utilisée en Corée du Sud ou à Singapour mais sans la géolocalisation. Il permettra de tracer les contacts ayant approché une personne contaminée et d'avertir automatiquement les personnes saines afin de les isoler et ainsi enrayer la propagation du virus.

Les experts du gouvernement parlent bien de "Tracing" et non pas de "Tracking". En effet, le système n'est pas basé sur la géolocalisation par GPS mais sur la localisation des contacts sur base d'un appel volontaire des abonnés à l'application (du moins c'est l'idée initiale du projet).

Le ministre Philippe de Backer (Open Vld) en charge de ce dossier n'a pas encore décisé quel dispositif serait choisi ni la méthodologie appliquée : "La stratégie mise en place en Belgique sera basée sur une méthodologie utilisée depuis des années pour la tuberculose". Mais personne n'en sait plus actuellement (cf. L'Echo).

La maquette de l'application proposée en 2020 par Inforius au gouvernement belge.

Selon Alexandra Jaspar, directrice du Centre de connaissances de l'Autorité de protection des données (APD), les données de localisation seront basées sur la technologie Bluetooth dont le rayon d'action sera limité à quelques mètres autour des individus. Les données seront aussi mieux sécurisées grâce au Bluetooth. Selon Jaspar : "il permet un stockage décentralisé des données, dans les smartphones des individus, et évite d’avoir une base de données centralisée".

Plusieurs recommandations ont ainsi été émises de concert avec ses homologues européens. Le programme sera installé sur les smartphones sur base volontaire. Selon Jaspar, "on impose, par exemple, qu’il n'y ait pas de noms couplés au numéro du téléphone". Un pseudonyme sera donc émis pour identifier les individus entre eux.

L'Autorité de protection des données a toutefois rappelé au gouvernement les règles à respecter dans le cadre de la loi sur le RGPD (anonymisation des données, durée de conservation des données limitées dans le temps, protection contre le piratage, etc) et a fixé plusieurs garde-fous. Le premier est le respect des guidances émises par les différentes autorités européennes de protection des données (un système "jugé nécessaire, efficace et faisant l'objet d'une adoption massive"). Ensuite, il doit se faire sur base volontaire. L'accès aux données doit être limité, tout comme leur utilisation et leur traitement qui doivent reposer sur une base légale. C'est l'institut Sciensano qui assurera la gestion des données. Vu l'urgence et bien que les avis actuels sont encore pris sous le coup de l'émotion, il est impératif que ces principes légaux et éthiques soient respectés. Pour réaliser le traçage des contacts, une équipe de 2000 agents sera recrutée.

Reste à savoir qui recevra l'information selon laquelle vous êtes entré en contact avec une personne contaminée, et qui vous avertira ? Deux pistes sont explorées, une "piste amicale" et une "piste offensive". Selon Jaspar, soit un professionnel de la santé vous avertira via votre smartphone soit vous recevrez un message vous ordonnant de rester chez vous ou de vous rendre à l’hôpital afin d'y réaliser un test en urgence. Mais aucune décision n'est encore prise.

Ensuite, il y a le cas du médecin qui est en présence d'un patient probablement contaminé voire déjà infecté par le Covid-19. Après le test RT-PCR ou sérologique du cas suspect, les données seront stockées dans la base de données de Sciensano accessible à un call center. Le traçage pourra alors commencer. Dans la mesure du possible, sur base d'informations communiquées par le porteur du virus, un agent va établir la liste des personnes avec lesquelles il fut en contact au cours des 14 derniers jours. Celles-ci seront contactées et testées, et si nécessaire mises en quarantaine durant 14 jours. Il n'est pas question comme à Singapour de littéralement emprisonner les contaminés chez eux avec un bracelet électronique mais on compte sur leur sens des responsabilités.

Concernant l'application pour smartphone, en avril le gouvernement reçut les offres de plusieurs dizaines d'entreprises de développement et doit à présent choisir dans une shortlist l'entreprise qui remportera le contrat. À Gembloux, la société Inforius a déjà développé en interne une application de ce type pour smartphone. Elle est prête à mettre sa solution gratuitement à disposition des pouvoirs publics.

Ce projet pourrait coûter entre 9 et 15 millions d'euros.

Rebondissements

On apprenait le 28 avril 2020 que faute d'accord politique entre les régions et sous prétexte que cette technologie porte atteinte à la liberté individuelle, la Belgique a décidé de se priver d'une telle application qui peut sauver des vies... par manque de courage politique ! (cf. L'Echo).

En revanche, le gouvernement va tracer les personnes contaminées. Comme expliqué, les agents d'un centre d'appel vont les contacter pour retrouver tous leurs contacts et les accompagner en fonction de leur situation individuelle.

Le 26 mai 2020, on apprit que le projet belge de tracing n'est pas légal. Dans une note que des journalistes ont pu se procurer, l'Autorité de protection des données démonte le projet de loi sur la gestion des données issues du contact tracing qui devait être voté le 26 mai 2020 au Parlement. Il serait en infraction avec la législation européenne sur le RGPD sur de nombreux points en matière de sécurité, d'anonymisation et surtout sur la question de la centralisation non justifiée des données par l'institut Sciensano.

Selon Jaspar précitée, "Si la loi passe, à défaut de justification, elle est contraire au RGPD. À moins que les défenseurs de la loi sortent une justification de leur chapeau, elle sera illégale" (cf. 7sur7).

Finalement, le 17 juin 2020, conformément à ce que demandait le Conseil d’État, le gouvernement fédéral et les entités fédérées sont parvenus à un accord de coopération qui fixe le cadre légal concernant la protection des données, à la fois pour le tracing manuel et pour une éventuelle application. Cet accord fut signé en juillet et ouvrit la voie à une application de tracing numérique unique pour l'ensemble de la Belgique (cf. L'avenir).

Coronalert

L'application "Coronalert" pour smartphones.

Depuis le 29 septembre 2020 le gouvernement fédéral belge propose aux citoyens une application de traçage appelée "Coronalert" développée par le professeur Axel Legay de l'UCL. Grâce à cette application gratuite pour smartphones, sur base volontaire chacun peut signaler un nouveau cas de contamination et recevoir les dernières statistiques. La connexion s'établit par Bluetooth et donc uniquement à courte distance. Les personnes ne sont pas tracées, les données sont anonymisées et ne sont pas stockées par l'État (cf. RTBF; KUL). Bien que tout le monde ne soit pas rassuré par la soi-disant protection des données offerte par ce système, des milliers de personnes lui font confiance et l'ont déjà téléchargée.

Il faut que la personne ait activé l'application depuis au moins 15 minutes (et qu'elle soit suffisamment utilisée par la population et en dehors du domicile) pour qu'elle détecte un éventuel cas de contamination aux alentours.

24 heures après sa mise à disposition, "Coronalert" fut téléchargée par plus de 400000 personnes dont 61% depuis les smartphones sous OS Android et Google (cf. L'Echo).

Selon les chercheurs, dans un système de suivi global, si 15% de la population belge soit 1.72 million de personnes utilisent "Coronalert", on évitera des contaminations et on sauva des vies. Début janvier 2021, l'application avait déjà été téléchargée par plus de 2.3 millions de personnes soit environ 30% de la population visée par le projet. On en déduit que la population belge utilise l'outil et il a déjà prouvé son efficacé. Toutefois, son utilisation stagne.

Rappelons que cette appplication utilise une plate-forme déjà utilisée par 18 pays européens dont la Grande Bretagne, l'Irlande et l'Allemagne. Selon les pays, elle est utilisée par 20 à 30% des citoyens, soit nettement plus que l'application française et est également mieux sécurisée.

Corona Datenspende en Allemagne

L'Allemagne a également annoncé le 7 avril 2020 par le biais de l'Institut Robert Koch (RKI) qu'elle allait lancer une application de tracking appelée "Corona Datenspende" (Corona Data Donation) dans le cadre du suivi de l'épidémie au Covid-19. Elle sera installée sur base volontaire sur les smartwatches et autres bandes de fitness connectées. Le RKI compte sur la participation de 100000 personnes mais serait déjà content d'en avoir 10000 (cf. RFI).

Mi-otobre l'application avait été téléchargée par 20 millions de personnes, soit 24% de la population, un beau succès.

Quelle que soit le système utilisé, comme dans le cas du confinement, pour savoir quelles sont les personnes contaminées, il faut d'abord dépister la population puis tenir les "données Covid" à jour. Ce sera un autre défi. L'utilisation de ce type d'application en Europe ne se fera donc pas tout de suite.

Stopp Corona en Autriche

Fin mars 2020, l'Autriche a lancé l'application "Stopp Corona" sous l’égide de la Croix-Rouge. En une semaine elle fut téléchargée plus de 130000 fois. Les utilisateurs enregistrent sur base volontaire le téléphone du portable des personnes qu'ils ont récemment fréquentés. Ils peuvent ensuite recevoir une notification si l'un de ces contacts a contracté le Covid-19, son identité n'étant pas dévoilée (cf. Rote Kreuz).

A voir : How does the Stop Corona-App work?, Croix Rouge

Pour respecter la confidentialité des personnes, les concepteurs ne collectent pas les données individuelles et de géolocalisation. Les informations sont stockées dans le smartphone lié à l'application. Ce n'est que lorsqu'une personne signale une infection que son numéro de portable est enregistré. Il est conservé pendant 30 jours maximum, pour éviter toute utilisation abusive.

Le concepteur souligne qu'il ne connait que l'identifiant unique de l'utilisateur (UUID) et qu'il n'est pas connecté à d'autres bases de données : "Avec les informations fournies, il nous est impossible de savoir qui vous êtes". L'application respecte ainsi les règles de bonnes pratiques recommandées par les autorités européennes.

Au Luxembourg

Aucune application n'a été envisagée pour le moment. Mais compte tenu de la spécifité du pays, la confidentialité des données sera la priorité absolue du gouvernement. Les sociétés sont également intéressées par une telle application mais actuellement le gouvernement ne peut pas leur donner de garanties. En effet, fin avril, rien n'avait été proposé pour définir qui conservera les données, combien de temps, sous quelles conditions les alertes seront émises, etc. Le gouvernement souhaite trouver une solution au niveau européen car développer une application internationale qui ne s'appliquerait pas à la population du Luxembourg ou inversement serait limité aux seuls résidents n'aurait pas de sens sachant qu'il y a beaucoup de frontaliers et de personnes en transit sur le territoire grand-ducal. Le Luxembourg attend donc l'avis de l'Europe sur la gestion des données (cf. briefing vidéo du gouvernemant du 15 avril 2020).

En attendant, pour le suivi le premier Ministre luxembourgeois préconise d'utiliser les bonnes vieilles méthodes, l'appel téléphonique permettant en plus d'informer la personne et de garder le contact avec elle.

Vers une uniformisation européenne

Le 19 octobre 2020, la Commission européenne lança un service passerelle afin de connecter les outils de suivi jusque-là propres à chaque pays à travers l'Union européenne.

Des essais furent réalisés entre 6 pays (la République tchèque, le Danemark, l'Allemagne, l'Irlande, l'Italie et la Lettonie) et l'infrastructure fut opérationnelle en octobre 2020. Bien sûr, la France s'est elle-même exclue de ce processus.

Cette passerelle d'interopérabilité permet aux applications nationales Lokales, Corona Covid-19, Gesundheitsinspektion, Inspection Sanitaire et Tracing de fonctionner sans discontinuité même au-delà des frontières. Ainsi, les utilisateurs ne devront installer qu'une seule application et pourront toujours signaler un test Covid positif ou recevoir une alerte, même s'ils sont à l'étranger.

Les informations sont échangées dans un format pseudonymisé, elles sont cryptées, limitées au minimum requis et conservées uniquement le temps nécessaire pour assurer le traçage des infections. Il ne sera pas possible d'identifier des personnes physiques.

Avec cet outil, les pays qui n'ont pas d'application de suivi ou dont la population refuse de l'utiliser profiteront peut-être de l'opportunité pour prendre le train en marche. En effet, ce type d'application constitue un outil performant dans le cadre des efforts déployés par les gouvernements et les chercheurs pour endiguer la propagation du Covid-19. Les gouvernements et la population auraient tord de ne pas l'utiliser.

Aux Etats-Unis

Aux États-Unis, les problèmes de confidentialité et l'absence de politique nationale ont rendu l'approche plus lente qu'en Asie ou en Europe et les efforts sont fragmentaires.

Google et Apple sont partenaires pour développer des logiciels pour smartphones qui leur permettraient d'enregistrer en continu les informations d'autres appareils. Le MIT Media Lab a également construit une technologie de traçage des contacts. Trois États - l'Alabama, le Dakota du Nord et le Dakota du Sud - ont déclaré avoir déployé ou développer des applications de suivi numérique.

 L'application "Safe Paths" développée par le MIT Media Lab en 2020.

En attendant, comme à Singapour, les États, les comtés et les villes forment du personnel à l'approche traditionnelle et plus ardue de la recherche physique des contacts. Selon le Dr Gunther Eysenbach, rédacteur en chef du JMIR (Journal of Medical Internet Research), qui développe le "CanShake", "Une armée de traceurs de contact a été embauchée. La technologie peut rendre cela beaucoup plus efficace".

De manière générale, les idées d'applications de suivi ne manquent pas mais sachant que la population la plus pauvre est souvent la plus à risque et ne dispose pas de smartphone, le suivi numérique devient caduque.

A l'Université de Californie à San Francisco, l'épidémiologiste et biostatisticien George Rutherford dirige la formation de 10000 traceurs de contacts. La méthode traditionnelle de recherche des contacts prend du temps et demande beaucoup de travail. En effet, selon Rutherford, il faut environ 90 minutes pour chaque cas - 60 minutes pour interroger la personne qui est positive et 30 minutes pour appeler ou envoyer des SMS à ses contacts.

Comme on l'a déjà évoqué, quelle que soit la technologie, il existe des compromis entre les principales façons de partager, stocker et communiquer les informations : géolocalisation, Bluetooth et QR code.

Comme le souligne le MIT Media Lab dans son rapport "Apps Gone Rogue" de nombreuses versions internationales de la technologie de recherche et suivi des contacts par géolocalisation ou QR code "étendent la surveillance de masse, limitent les libertés individuelles et révèlent les détails les plus privés sur les individus".

Pour éviter ces abus, le MIT Media Lab a développé une application de suivi des contacts qui pourrait utiliser la technologie Bluetooth ou de géolocalisation d'une manière qui, selon ses développeurs, ne compromettrait pas les libertés individuelles.

L'application "Safe Paths" s'exécute en arrière-plan du smartphone avec la permission de son propriétaire, créant et stockant un historique des mouvements. Si une personne est testée positive, l'historique de cette personne est téléchargé dans une base de données. Après cela, les personnes qui utilisent le même service peuvent effectuer vérifier si au cours de leurs propres déplacements elles auraient croisé quelqu'un de positif. Ce suivi est totalement anonymisé. Ramesh Raskar du MIT Media Lab compare le principe à quelqu'un vérifiant la météo en ligne sans avoir à révéler son emplacement.

Selon Raskar, le projet est en cours de développement en collaboration avec le ministère de la Santé et des Services sociaux, de l'Université d'Harvard et de la clinique Mayo. Plusieurs pays et 15 villes et états ont exprimé leur intérêt pour ce projet mais leur identité n'a pas été dévoilée.

Les applications du Google Play Store

Les informaticiens Masooda Bashir et Tanusree Sharma de l'Université de l'Illinois à Urbana-Champaign ont évalué 50 applications liées au Covid-19 disponibles dans le Google Play Store et développées dans différents pays du monde dont 17 en Europe afin de vérifier si elles respectaient les lois américaines sur la protection de la vie privée. Le constat est édifiant : la plupart des applications accèdent aux données personnelles des utilisateurs et seule une poignée précise que les données seraient anonymisées, cryptées et sécurisées. Les résultats de leur enquête furent publiés dans la revue "Nature Medicine" le 16 mai 2020.

Distribution des applications liées au Covid-19 disponibles sur le Google Play Store. Document Bashir & Sharma (2020).

Sur les 50 applications évaluées par les chercheurs, 30 nécessitent l'autorisation des utilisateurs pour accéder aux données de leurs appareils mobiles tels que les contacts, les photos, les médias, les fichiers, les données de localisation, la caméra, l'ID de l'appareil, les informations d'appel, la connexion Wi-Fi, le microphone, l'accès au réseau, la configuration du service Google et la possibilité de modifier la connectivité réseau et les paramètres audio. Certaines applications indiquent qu'elles collecteront l'âge, l'adresse e-mail, le numéro de téléphone et le code postal des utilisateurs, la géolocalisation de l'appareil, les identifiants uniques, l'adresse IP mobile, le système d'exploitation et les types de navigateurs utilisés sur l'appareil !

Seules 16 applications dont seulement 8 européennes indiquent que ces données seront anonymisées, cryptées, sécurisées et signalées uniquement sous forme agrégée. Les auteurs ont annexé à l'article les détails des applications testées (cf. ce fichier converti en .xls, 136 KB).

Parmi les applications testées, 20 ont été publiées par des gouvernements, des ministères de la santé et d'autres sources officielles. Les chercheurs n'ont pas pu déterminer si les données collectées par ces applications sont protégées par des lois telles que la Health Insurance Portability and Accountability Act.

Rappelons que les États-Unis n'ont pas de règlement RGPD comme en Europe et ont reconnu que des mesures de surveillance de masse pourraient être nécessaires pour contenir la propagation du virus.

Selon les chercheurs, "Les prestataires de soins de santé doivent absolument utiliser tous les moyens disponibles pour sauver des vies et limiter la propagation du virus. Mais c'est aux autres, en particulier dans le domaine de la confidentialité et de la sécurité des informations, de poser les questions nécessaires pour protéger le droit à la vie privée".

Autrement dit, si vous souhaitez télécharger l'une de ces applications pour votre mobile sous Android mais si vous vivez en Europe ou si la protection de votre vie privée vous préoccupe, sachez que la plupart de ces applications ne respectent pas le RGPD. De plus, les données privées qu'ils récoltent peuvent potentiellement être utilisées à d'autres fins à votre insu.

Deuxième partie

Les limites de la technologie mobile

 Page 1 - 2 -


Back to:

HOME

Copyright & FAQ