Outil orwellien ou coup d’épée dans l’eau : quelle approche pour les applications de traçage de contacts ?
Cet article est à jour au 28 mai 2020.
La pandémie du coronavirus qui sévit actuellement aux quatre coins du monde a changé de manière significative les vies de tout un chacun. Bien que l’avenir demeure incertain, il n’en est pas moins que les événements ont déjà mené à une série de mesures restrictives de libertés, telles que le confinement auquel a été assujetti une large partie de la population mondiale durant le début de l’année 2020[1].
Pour contenir la propagation du SARS-CoV-2, les autorités cherchent à identifier, comme elles le font déjà pour d’autres virus, les chaînes de transmission au moyen de « traceurs ». Ceux-ci ont pour mission de retrouver les personnes ayant été en contact avec des individus infectés afin de les isoler et les faire tester. Ces techniques, bien qu’efficaces, nécessitent d’importants moyens humains face à une épidémie de large ampleur. Aux États-Unis, une étude estime ainsi qu’il faudrait approximativement 100.000 traceurs pour permettre de faire face à l’épidémie[2].
A Wuhan, où l’épidémie semble avoir commencé, les autorités chinoises ont rapidement mis en place un « Health Code » au travers de l’application mobile Alipay[3]. L’application affiche une couleur verte (peu de restrictions de mouvements), jaune (restrictions de mouvements plus importantes) ou rouge (quatorzaine à respecter). De nombreux endroits nécessitent la présentation d’un code QR de couleur verte pour pouvoir y accéder. La couleur affichée est dépendante de lieux visités par l’utilisateur, de la proximité avec des cas confirmés etc., sans lui en donner la raison précise.
Depuis, l’idée d’une telle application mobile a traversé les frontières chinoises de la même manière que le virus. Si les différents États ne prônent pas un suivi de la population aussi strict que celui imposé par Pékin, les projets se basant sur des mécanismes de suivi se multiplient. En France, le développement d’une application dénommée « StopCovid » est annoncée le 8 avril, alors qu’une telle idée avait précédemment été jugée « contraire à la culture française » par le Ministre de l’Intérieur[4]. Aux États-Unis, certains États ont également lancé leurs applications dites de « contact tracing » (traçage de contacts) au cours des dernières semaines.
Le but de ces applications : permettre de notifier plus rapidement des individus ayant été en contact avec des malades, afin de les isoler et de les soumettre à des tests. L’individu, tout autant que la population de manière générale doit donc y voir son intérêt. L’application permet en effet de notifier plus rapidement son utilisateur que ne peuvent le faire les traceurs humains qui doivent questionner l’individu infecté avant de prendre contact avec l’entourage. Les chaînes de transmissions peuvent être brisées de manière anticipée, limitant de nouvelles infections. L’avantage est d’autant plus important dans des situations où nous côtoyons des inconnus, comme dans les transports en commun, où il est bien difficile de retrouver ces cas contacts.
La situation d’urgence dans laquelle nous nous trouvons actuellement ne facilite pas les prises de décisions apaisées : il faut agir vite et bien. La décision de mettre en œuvre un traçage de la population à une telle échelle pour lutter contre un virus est inédite dans l’histoire. Si tout le monde tend à admettre qu’il ne s’agit pas d’une solution miracle mettant fin à l’épidémie, jamais une application mobile n’aura suscité de tels débats. D’un côté des chercheurs prônent les bienfaits attendus, de l’autre des voix s’élèvent pour dénoncer un outil vu comme inefficace et dangereux pour les libertés individuelles.
Le développement d’une telle application étant loin d’être une affaire franco-française, il est notable que les autorités françaises se retrouvent bien isolées dans leur approche au développement de cet outil inédit. Que ce soit outre-Atlantique, ou même auprès de ses voisins européens, la discussion a tournée dans un sens bien différent. Ceci n’empêche en aucun cas la montée de craintes face à ce qui est décrit comme une normalisation des outils de traçage et de surveillance au sein de pays se proclamant « la patrie des droits de l’Homme » ou « the land of the free ».
I. Des cadres juridiques européens et américains distincts
Une notion centrale qui émerge des questions autour de ces applications de contact tracing est celle de liberté individuelle et des données à caractère personnel. Si l’approche adoptée par les différents États par rapport à celles-ci diffère autant, c’est que les différents cadres juridiques de ces données ne permettent pas les mêmes réponses.
Les États de l’Union européenne utilisant des données personnelles dans leur réponse face à au COVID-19 devront se plier aux exigences du Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD », qui succède à la directive 95/46/CE. En France, la CNIL a ainsi rappelé les conditions à respecter par les employeurs au sujet de la collecte de données de leurs salariés dans le contexte du coronavirus[5].
Aux États-Unis, il existe une constellation de textes qui régulent les données à caractère personnel secteur par secteur, contrairement à l’Union Européenne qui a fait le choix d’un régime unique. Un des textes fondamentaux ici semble être le Health Insurance Portability and Accountability Act (HIPAA) de 1996. Le texte cherche à protéger les informations de santé des patients américains considérées, comme en Europe, comme étant des données sensibles. La protection n’est néanmoins pas absolue en ce qu’un patient ne peut s’opposer à la diffusion de ses données pour des raisons de santé publique ou pour contrer une menace sérieuse et imminente. Au vu de la progression actuelle du virus il peut être considéré que des informations de santé rentrent dans l’exception du cadre légal.
De manière plus précise et significativement plus notable, il semble qu’une application de traçage de contacts ne soit tout simplement pas soumise au HIPAA : le texte ne s’applique en effet que de manière exhaustive aux acteurs de la sante (« health care provider », « health plan » et « health care clearinghouse ») et à leurs « business associates » qui fournissent leur aide dans la fourniture de ces services de santé (un accord écrit doit alors être établi entre les deux acteurs). Il semble ainsi possible pour un acteur sans lien direct avec le milieu de la santé (Google & Apple – voir plus bas) de s’affranchir des exigences du HIPAA quand il met en place une application de contact tracing.
L’article 6.1 du RGPD autorise de manière semblable le traitement de données sans consentement de l’individu concerné lorsqu’il est nécessaire « à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique » (d) ou « à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement » (e). L’article 9, relatif aux données concernant la santé, reprend ces affirmations. Le considérant 46 indique de manière plus spécifique que ceci a vocation à s’appliquer au « suiv[i] des épidémies et leur propagation ». Le considérant 52 quant à lui met en avant la « prévention ou [l]e contrôle de maladies transmissibles et d'autres menaces graves pour la santé ». Ces exceptions ne s’appliquent néanmoins « que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique ». On peut dès lors légitimement en déduire qu’une application du type StopCovid ayant la capacité de récolter le consentement de son utilisateur, ait à obtenir ce consentement. On peut noter que ce consentement, au-delà du cadre juridique, permet également une plus grande confiance de ses utilisateurs en ce qui concerne le respect de la vie privée, favorisant son adoption.
II. Centralisé ou décentralisé : « une question de souveraineté technologique »
Si certains États ont mis de côté le développement d’une application de traçage de contacts (on peut citer la Belgique), d’autres ont officiellement annoncé leur mise en route avec des dates plus ou moins lointaines. Sans rentrer dans les détails, il est aisé d’affirmer qu’elle se distinguent en de nombreux aspects. La version chinoise, brièvement décrite ci-dessus, est largement considérée comme la plus invasive : elle utilise un large éventail de données pour que l’algorithme indique l’une des trois couleurs (notamment le GPS) et ces données seraient vraisemblabelment transmises aux autorités.
Certaines applications aux États-Unis, lancées au cours du mois d’avril reposent également sur des fonctionnalités de géolocalisation. Celles-ci mettraient en garde leurs utilisateurs vis-à-vis des lieux hautement fréquentés et en les encourageant à différer les déplacements dans lesdits lieux. Un utilisateur infecté pourrait également informer les personnes avec qui il aurait été en contact proche pendant une certaine durée. Ces applications qui enregistrent ainsi en continu les déplacements ne seraient pourtant pas en règle avec leurs propres « privacy policies »[6], en distribuant les données collectées à des publicitaires sans en informer les utilisateurs. Ceci pourrait être sujet à une enquête de la Federal Trade Commission (FTC), compétente pour se saisir des actes dits « deceptive », trompant le consommateur sur la finalité des données collectées.
En Europe, l’usage de la géolocalisation n’a pas été retenu, au profit de la technologie Bluetooth jugée bien moins intrusive. Deux téléphones à proximité pendant un certain laps de temps s’échangeraient ainsi leurs identifiants, permettant plus tard de vérifier si l’un d’eux a été associé à un signalement positif au Covid. Ceci ne clôt néanmoins pas le débat, puisque, au-delà du principe même de l’application qui ne fait en aucun cas l’unanimité, certains défendent une application dite « centralisée », tandis que d’autres prônent une version « décentralisée ». L’application française StopCovid, qui devrait être lancée dans les prochains jours à la suite du vote positif de l’Assemblée Nationale et du Sénat, sera basée sur un modèle centralisé via son protocole dénommé Robert (ROBust and privacy-presERving proximity Tracing)[7]. La principale différence consiste dans la localisation des données : les données de l’application française, non nominatives, seraient stockées sur des serveurs centraux et contrôlés par les autorités sanitaires. Les applications décentralisées voient au contraire leurs données stockées directement sur les smartphones des utilisateurs et circulant entre eux lorsque c’est nécessaire.
La France se trouve actuellement bien seule dans sa défense du protocole centralisé, M. Cédric O, secrétaire d’État au numérique, défendant la souveraineté sanitaire et technologique de la France. Même l’Allemagne avec qui elle avait entamé ses recherches initiales pour l’application a changé d’approche à la suite de l’annonce le 10 avril d’un partenariat inédit entre les géants Google et Apple. Ceux-ci ont mis en avant des solutions de traçage sur leur plateformes Android et iOs (qui dominent le marché) qui brident en effet les fonctionnalités du Bluetooth, rendant plus difficile le développement par des tiers d’applications reposant sur la technologie (pour des raisons de durée de vie de la batterie et de sécurité, la technologie facilitant en effet le hacking à distance d’un téléphone). À terme, le traçage serait même possible sans l’installation d’une application quelconque. Les deux sociétés prônent une approche décentralisée, jugée plus respectueuse de la vie privée : le gestionnaire du service ne serait ainsi pas en mesure de savoir à qui une notification de contact aurait été émise, le téléphone conservant les données en son sein.
A l’heure actuelle aucune application n’est proposée à l’échelle nationale aux États-Unis (ceci reflétant l’approche générale face à l’épidémie, les États fédérés étant en première ligne pour lutter contre le virus). Il semblerait que le gouvernement fédéral collabore avec Google et Apple, se reposant d’ici à la mise en place du traçage au sein des systèmes d’exploitation sur les efforts des différents États. Apple a d’ores et déjà mis en place un système de détection du virus au travers d’un questionnaire, en collaboration avec la Center for Disease Control and Prevention (CDC).
III. Les risques et lacunes des applications : des critiques communes
Au-delà des opposants au protocole centralisé, de nombreuses voix se sont élevées (notamment lors des débats à l’Assemblée ayant eu lieu le 27 mai, durant lesquels même des élus de la majorité ont exprimé leurs inquiétudes). Les reproches formulés tournent principalement autour du diptyque suivant : l’inefficacité et la dangerosité des applications.
Les mesures de traçage numérique ont cela de particuliers qu’elles sont, en Europe et aux États-Unis, facultatives. Pour être efficace, il faudrait que l’application soit adoptée par une large proportion de la population (les seuils diffèrent en fonction des études). Les applications de traçage numérique proposées dans certains pays n’ont à ce jour été adoptées que par une minorité de leur public (environ 1 à 2% selon les pays). Pourtant la CNIL rappelle dans son avis, positif, sur l’application StopCovid du 25 mai que si une application mobile est efficace dans la lutte contre le coronavirus, l'ingérence avec le droit à la protection des données personnelles sera plus facile à justifier, à la condition d’accompagner cette ingérence de mesures de protection. A défaut, sa proportionnalité sera difficile à démontrer. L’efficacité de l’application restant à démontrer, on peut comprendre la difficulté de juger des atteintes aux libertés individuelles, d’autant que la population la plus vulnérable (les personnes âgées) est celle qui dispose le moins de smartphones et d’accès aux outils numériques.
L’efficacité est également remise en cause en ce qui concerne l’utilisation du Bluetooth : la technologie n’est en effet pas prévue pour mesurer de manière précise les distances[8]. On pourrait donc assister à de nombreux faux-positifs (ceci n’étant pas d’une grande conséquence si les capacités de tests sont conséquentes) ou faux-négatifs. La technologie est de plus variable en fonction du modèle de téléphone et du système d’exploitation plus ou moins récent, certains modèles ayant des difficultés à opérer entre eux. Il faut également noter que Apple, et dans une moindre mesure Google, limitent l’utilisation du Bluetooth sur leurs appareils par des applications tierces. Les applications sur iOs déjà en circulation ne seraient ainsi opérationnelles que si elles sont au premier plan : un iPhone en veille n’échangerait donc avec aucun autre appareil, limitant de manière drastique l’effectivité du dispositif. Les négociations qu’avait engagé le gouvernement français avec Apple pour contourner les restrictions n’ayant pas abouties, il reste à déterminer de quelle manière l’application agira au moment de sa sortie sur l’Appstore.
Les applications de traçage numérique ont également été décrites comme étant « liberticides » par un certain nombre de députés, mettant en garde contre les risques de vols de données auprès du serveur central géré par les autorités de santé, de réutilisation par l’État ou par des sociétés privées pour des fins autres que celle du suivi de l’épidémie. Pour lutter contre les failles de sécurité, l’Inria a annoncé qu’elle faisait appel à des hackers « éthiques » afin de faire une chasse aux bugs avant le lancement prévu début juin. Bien que l’application soit facultative, nombre sont ceux qui craignent une pression sociale de l’installer, que celle-ci vienne de son entourage ou de ses supérieurs hiérarchiques qui avantagerait ceux qui accepteraient de l’utiliser. Malgré l’illégalité de ces pratiques, il n’est est pas moins que le risque est effectivement présent.
L’application développée en France ne demande aucune information personnelle à son utilisateur lors de son installation et attribue un pseudonyme aléatoire afin de pouvoir communiquer avec les autres appareils portables. La volonté de la France était ainsi de ne pas avoir à se reposer sur Google et Apple. Néanmoins, un « captcha » sera présent à l’installation de l’application, qui permet de déterminer si l’utilisateur est bien un être humain. Le captcha fourni par Google (dans l’attente du développement par une autre société) « est susceptible d’entraîner la collecte de données personnelles non prévues dans le décret, des transferts de données hors de l’Union européenne, ainsi que des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur », souligne la CNIL dans son avis. Nous sommes donc bien loin de la souveraineté numérique prônée par les développeurs : bien que le mécanisme se veut temporaire, il peut permettre à plusieurs millions d’individus de voir leurs données personnelles répandues à leur insu.
Des chercheurs ont également mis en lumière les limites dans l’usage pratique de l’application. On peut ainsi aisément imaginer la situation ou un employeur lors d’un entretien d’embauche utilise un portable avec l’application StopCovid allumé uniquement le temps de la discussion. Ainsi, si ce téléphone reçoit par la suite une notification de mise en garde, il sera très simple pour l’employeur de déterminer si un candidat a été testé positif. Si de nombreux scenarii peuvent être imaginés, cela démontre qu’il n’est pas impossible de détourner l’application de son but premier, pouvant conduire à une stigmatisation des victimes (à l’étranger des communautés homosexuelles se sont vues stigmatisées à la suite de la découverte du virus parmi leurs membres).
L’existence d’un large débat autour d’une application de traçage numérique, n’ayant en principe pas vocation à durer au-delà de l’épidémie, révèle l’importance grandissante de la technologie dans nos vies et des risques qui y sont liés. Tout comme nul n’avait prévu en novembre 2019 à quoi ressemblerait le mois de mars 2020, nul ne peut savoir ce qui se déroulera dans les mois et années à venir. Il est néanmoins possible d’imaginer que l’usage d’une telle application de traçage, bien que dans un contexte exceptionnel, ne repousse les limites des libertés individuelles et des garanties de vie privée qui ont déjà bien du mal à tenir face à l’émergence des nouvelles technologies. Si les applications développées en elles-mêmes ne sont sûrement pas de nature à mettre en péril les acquis numériques, le risque demeure d’une accoutumance de la population à une surveillance renforcée de la part des autorités et des géants du numérique. Actuellement, les garanties semblent suffisantes pour affirmer que le risque en installant une application parmi tant d’autres est minime. Ceci n’empêche en aucun cas de continuer à scruter les évolutions technologiques pour en révéler les manquements et faire avancer les droits et libertés de chacun, tout en garantissant le bienfait commun.
Notes
[1] https://www.lemonde.fr/planete/article/2020/03/30/coronavirus-quels-pays...
[2] https://www.centerforhealthsecurity.org/our-work/pubs_archive/pubs-pdfs/...
[3] https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillan...
[4] https://www.lefigaro.fr/flash-eco/coronavirus-le-tracage-numerique-n-est...
[5] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-l...
[6] https://www.washingtonpost.com/technology/2020/05/21/care19-dakota-priva...
[7] https://www.inria.fr/fr/publication-du-protocole-robert
[8] https://www.nextinpact.com/news/109007-contact-tracing-on-refait-point-s...