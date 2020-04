Cet article est publié en collaboration avec Binaire.

On trouve profusion d’articles sur l’utilisation du contact tracing pour combattre le virus. Le sujet passionne : les informaticiens qui aimeraient participer plus à la lutte contre le virus, les médecins souvent sceptiques, les défenseurs des libertés qui ne veulent pas que ce soit l’occasion de rogner sur la protection de la vie privée. Certains mélangent tout, géolocalisation et Bluetooth, avoir attrapé un jour le virus et être contagieux, etc. Et puis, l’utilité n’est encore pas très claire.

L’idée est simple. À partir d’applications sur les téléphones mobiles, on peut savoir que deux personnes ont peut-être été en contact et si l’une développe le virus, on peut prévenir l’autre qu’elle a été peut-être contaminée. Il y a deux grandes techniques possibles : la géolocalisation qui est intrusive et « flique » en permanence son utilisateur, et le Bluetooth discuté en France en ce moment.

Bluetooth est une norme de communication qui utilise des ondes radio pour échanger des données entre un téléphone (intelligent) et un ordinateur, ses écouteurs, ou un autre téléphone… Le Bluetooth fonctionne sans géolocalisation.

On peut être a priori réticent mais les choix du gouvernement comme évoqués par Cédric O iraient dans le bon sens pour protéger la confidentialité des données personnelles.

Comment marche une telle application ?

Il y a de nombreuses possibilités techniques plus ou moins intrusives. En voici une.

Quand deux téléphones sont proches physiquement (quelques mètres ?) pendant un certain temps (par exemple, cinq minutes ou plus), ils utilisent leur connexion Bluetooth pour se dire « coucou » ; chacun envoie à l’autre un nombre aléatoire utilisé juste pour cette rencontre (ou pour un laps de temps très court). Si une personne se découvre le virus, elle le déclare volontairement dans l’application et son téléphone transmet alors à un site centralisateur les nombres aléatoires qu’elle a utilisés avec les dates associées. Chaque téléphone consulte régulièrement la base de données de ces nombres et s’il trouve dans un des nombres un de ceux qu’il a reçus d’un téléphone au cours d’un de ces « coucous », il prévient son utilisateur qu’il a peut-être été contaminé. Il suffira ensuite de suivre les recommandations des autorités de santé, comme se faire tester et se confiner chez soi.

Des pays ont déjà utilisé des applications pour contrôler la propagation du virus notamment Singapour, Taïwan et la Corée du Sud. La France, l’Allemagne, des centres de recherche, des entreprises… travaillent aussi là-dessus. Pour la France et un consortium de chercheurs piloté par Inria, une application StopCovid est considérée en lien avec l’Europe et le projet Peppt-PT dont une App est déjà testée en Allemagne. Dans le cadre de cette collaboration, Inria et Fraunhofer AISEC ont publié le protocole ROBERT, pour robust and privacy-preserving proximity tracing. Google et Apple préparent les briques de bases communes qui permettraient à ces App de fonctionner aussi bien sur Android que sur iOS. L’aide des entreprises est importante, mais il reste préférable que l’application elle-même soit développée par des scientifiques, en toute transparence.

Des difficultés techniques

Le Bluetooth apprécie mal les distances surtout si le téléphone est dans une poche ou un sac ; on cherche à améliorer cela. Une autre difficulté, s’il y a trop de personnes contaminantes en circulation, on risque assez vite d’être inondés de notifications et tous être considérés potentiellement comme contaminés. Ça ne marche plus.

Et puis, cette technique n’est utile que si une proportion importante de la population joue le jeu, on parle de 60 %. Il faut déjà exclure une petite, mais non négligeable, partie de cette population qui n’a pas de téléphone intelligent ou qui aurait des difficultés à se servir d’une App même simple. (Des solutions sont à l’étude pour inclure également ces personnes.) Et parmi les connectés, qui aura assez confiance dans l’application pour l’installer, pour se déclarer infecté ?

La protection de la vie privée

On est en plein dans le domaine de la CNIL. Marie-Laure Denis, sa Présidente, a pris des positions claires, ainsi que le Comité national pilote d’éthique du numérique.

On semble se diriger en France vers de bons choix :

l’utilisation du Bluetooth

la décision d’installer l’appli est laissée totalement à l’utilisateur, sans atteinte aux libertés

le code de l’application est open-source, comme cela des spécialistes pourront vérifier qu’il n’y a pas de trou de sécurité

l’utilisation est limitée dans le temps.

Est-ce que cela pourrait présenter des risques pour la protection de la vie privée ? Plus ou moins selon les Apps utilisées. L’équipe Privatics d’Inria, par exemple, travaille sur le sujet, comme d’autres équipes scientifiques.

Dernier point : qui sera en charge de la centralisation des données ? Pour l’instant, en France, Inria pilote le projet. Mais, qui sera l’opérateur à l’heure de l’exploitation ? Qui aura accès aux données ? Si les nombres aléatoires anonymes protègent quelque peu les utilisateurs, on n’est jamais à l’abri d’analyses de données qui permettraient de désanonymiser. Les choix des contenus des messages échangés entre les téléphones conduisent à des solutions plus ou moins sûres.

Les difficultés médicales

Une question pour les épidémiologistes sera de choisir les paramètres de l’appli suivant leurs connaissances du virus et de sa propagation (combien de temps faut-il être proche pour contaminer ? Comment définir proche ? Une autre : que faire si l’App détecte qu’on a peut-être été contaminé ?

Est-ce que qu’une telle App serait utile ? Les avis sont partagés. Par exemple, une page très claire (en anglais) explique qu’avec le Covid-19, il faut environ trois jours avant de devenir contagieux, et deux de plus environ avant de savoir qu’on est infecté. Si on a été contaminé par quelqu’un qui utilise l’App, on est prévenu et on peut se mettre en quarantaine avant d’avoir contaminé quelqu’un. Donc avec une telle application, on casse la chaîne de contamination.

Des médecins contestent ces chiffres. Évidemment, tout dépend du virus dont on ignore encore beaucoup de choses, même si les connaissances progressent rapidement. C’est aux épidémiologistes, aux médecins, suivant la situation sanitaire, d’évaluer l’utilité ou pas d’une telle app. C’est à l’État de décider. Ce qui semble certain, c’est qu’elle ne sera pas un remède miracle pour enrayer l’épidémie, mais qu’elle pourrait peut-être permettre de casser certaines chaînes de contamination, être un des outils au service des médecins.

Des craintes à long terme

On peut s’interroger sur le fait qu’il y ait tant de débats sur une utilisation de données médicales totalement anonymisées alors que les Google, Apple et les FAI utilisent depuis longtemps de telles données sur nous, par exemple avec la géolocalisation pour détecter des ralentissements de circulation. Il ne faudrait pas que cela nous encourage à livrer au gouvernement ces données. Cela devrait plutôt nous interroger sur le fait que des entreprises les possèdent… À poser la vraie question : à quoi servent-elles ?

Pour ce qui est de leur utilisation en période de crise sanitaire, on peut craindre que cela habitue les gens à ce genre d’outils. C’est aujourd’hui une urgence sanitaire, une utilisation d’exception. Mais on a vu par le passé des lois d’exception devenir des lois de toujours. C’est en cela que finalement ces techniques même réalisées correctement posent question, et qu’il faut être tout particulièrement vigilant.