#StopCovid : une efficacité incertaine pour des risques réels

Les données les plus sécurisées sont celles qui n’existent pas

Paula Forteza, députée spécialiste du numérique

Baptiste Robert, chercheur en sécurité informatique

Introduction

“Si vous me demandez si un système de suivi des contacts Bluetooth déployé ou en cours de développement, partout dans le monde, est prêt à remplacer le suivi manuel des contacts, je répondrai sans réserve que la réponse est non.”

Jason Bay, Chef de produit de l’application TraceTogether de Singapour

Le débat public se passionne ces derniers jours autour de l’utilisation d’une application gouvernementale qui permettrait d’outiller une stratégie de sortie du confinement.

Cette application, dite de “suivi de contact” (contrat-tracing), a été présentée publiquement par les ministres Olivier Véran et Cédric O mercredi 8 avril et détaillée devant la commission des lois par le secrétaire d’Etat au numérique jeudi 9 avril. Plusieurs avis se sont fait entendre dans le débat public depuis.

Le 12 avril, un sondage de l’Ifop et de la Fondation Jean Jaurès a révélé que l’opinion publique française reste très partagée: 45% déclarent ne pas souhaiter installer et utiliser une telle application, contre 46% déclarant l’inverse et 9% ne se prononçant pas. Ces chiffres diffèrent fortement d’une précédente étude réalisée fin mars qui démontrait que 79% étaient prêts à utiliser une telle technologie.

Cette évolution dans l’opinion à quelques semaines d’écart, prouve bien que seul le temps du débat publique, mesuré et rationnel, peut permettre à chacun de se forger un avis sur des sujets aussi techniques que celui-ci. Les décisions concernant le déploiement de technologies à risque ne doivent pas être prises de façon unilatérale et dans l’urgence.

Nos expériences respectives nous font converger vers un jugement défavorable quant à l’utilisation d’une telle technologie en temps de crise. Ce choix est fondé sur des considérations techniques et éthiques.

I. Une efficacité relative

Avant de se prononcer sur une technologie, suivons les conseils de ceux qui les connaissent le mieux : le “Chaos Computer Club” est depuis 1981, l’acteur de la société civile le plus influent en Europe concernant l’étude des effets des technologies sur la société et les individus. Considérant le “contact tracing” comme une technologie à risque (risk technology), ils en conditionnent strictement le déploiement à son efficacité :

“S’il s’avère que le «suivi des contacts» via l’application n’est pas utile ou ne remplit pas pleinement le but, l’expérience doit être terminée.

L’application qui est envisagée par le gouvernement se fonde sur le “suivi de contact” via la technologie bluetooth. Le bluetooth émet des ondes autour de nous. A la différence du GPS, elle ne géolocalise pas. Le bluetooth permet de diffuser un identifiant que les autre utilisateurs d’une telle application peuvent recevoir. Pour cela, il faut que l’utilisateur qui réceptionne le message se trouve à proximité. Avec le bluetooth, on peut donc savoir que deux utilisateurs sont à proximité, sans nécessairement savoir où ils se trouvent.

La stratégie du “suivi de contact” consiste ensuite à faire remonter la chaîne des interactions précédentes, sur une période de temps donnée, pour permettre d’identifier les personnes ayant été au contact de quelqu’un qui aura été atteint par le Covid 19. Pour toutes les épidémies, les médecins, épaulés par des enquêteurs, utilisent manuellement cette stratégie en questionnant les personnes contaminées pour isoler leurs entourages et remonter la trace du “patient 0”.

Deux questions conditionnent l’utilité de cette application pour justifier son déploiement: 1) son degré d’adoption et d’usage par la population; 2) la précision de la technologie bluetooth.

Pour que l’application soit efficace, il faut que son usage soit massif. Son fonctionnement se base sur ce qu’on appelle les effets réseaux et de masse critique. Rand Hindi, entrepreneur et spécialiste dans les nouvelles technologies, démontre ceci de façon limpide, en décrivant en détail le dispositif. La logique de son raisonnement l’amène à demander de rendre son installation obligatoire.

Cependant, notre droit en l’état — la directive RGPD et le règlement e-Privacy — interdit l’obligation d’usage et ne fonde son existence que sur la base du consentement, c’est à dire le volontariat. Cet arsenal législatif reflète nos valeurs françaises et européennes, et nous ne saurions nous y soustraire.

Il s’agit bien, en effet, du choix retenu par le gouvernement. Dans ce scénario, selon une étude de chercheurs de l’université d’Oxford, le nombre d’utilisateurs devrait se situer à au moins 60% de la population pour que la technologie soit efficace.

Plusieurs limites peuvent être soulevées. La première est celle de la fracture numérique. 77% des français sont équipés d’un smartphone en 2019. Ce chiffre tombe à 44% chez les plus de 70 ans, population que nous savons la plus vulnérable face à cette crise sanitaire. A ceci s’ajoutent les inégalités territoriales face à l’accès à internet et les difficultés d’usage dans certaines catégories de la population. En basant notre stratégie de sortie de confinement sur une application mobile, nous serions donc en train d’ajouter une inégalité de traitement au sein de la population française.

A titre d’exemple, Singapour, pays pionnier dans l’utilisation de cette technologie pour lutter contre le Covid, seulement 19% de la population a choisi de télécharger l’application. Malgré une campagne publique d’encouragement de la part des autorités, le faible nombre d’utilisateurs a rendu cette technologie insuffisante. Singapour n’a pas pu échapper à la mise en place du confinement.

En France, nous avons aussi récemment connu le développement d’une application gouvernementale qui n’a pas fonctionné par manque d’utilisateurs. L’application SAIP, pour permettre de prévenir en cas d’attaques terroristes, a été abandonnée deux ans après son lancement.

La distance est-elle un indicateur de contagion fiable ? Cédric Villani, a travers les travaux de l’OPECST, exprime un doute :

“On notera également que la proximité avec des personnes malades n’est qu’un déterminant très approximatif de la probabilité d’avoir été infecté, étant donné que le port du masque et l’adoption des gestes barrière peuvent prévenir une infection, malgré une proximité avec un cas avéré.”

De même, on peut imaginer que deux personnes sont distantes de 3 mètres séparées par un mur, comme des voisins, et pourtant n’entrent pas en contact parce qu’ils ne se croisent jamais. Quid des soignants, des caissières, des policiers, des taxis… qui tout en se protégeant, sont en contact permanents avec des flux de population : n’induirions-nous pas en erreur une grande partie des utilisateurs ?

Par ailleurs, la technologie bluetooth n’a pas été conçue pour évaluer des distances. La définition des contacts proches au sens épidémiologique est loin de correspondre à ce que cette technologie peut mesurer. Des chercheurs du think tank ACLU ont démontré qu’aucune des technologies existantes ne permettaient d’avoir une précision suffisante :

Aucune des sources de données [données de localisation, GPS, bluetooth, code QR…] n’est suffisamment précise pour identifier un contact étroit avec une fiabilité suffisante. Aucun n’est fiable avec précision à moins de 2 mètres”.

La précision du bluetooth dépend, par ailleurs, du type de téléphone. Les distances d’avertissement sont liées à la qualité des puce BLEs. Elles fonctionnent sur des iPhones ou des flagships Android mais pas sur la plupart des téléphones Android. La précision du signal dépend aussi de l’environnement. Un téléphone dans une poche ou dans un sac n’a pas la même capacité de transmission qu’un téléphone conservé à la main.

Des “faux-positifs” et “faux-négatifs” peuvent donc se multiplier. Des cas extrêmes sont déjà connus, comme en Israël où des personnes sont placées en quarantaine par erreur. En période de crise, où l’anxiété prime et où ce qui se joue est la santé des personnes, voulons-nous vraiment envoyer des signaux trompeurs à la population ?

II. Des risques individuels réels

L’efficacité de cette application n’étant pas avérée, nous pourrions arguer qu’il y aurait néanmoins un intérêt à tester ou expérimenter le dispositif. Ceci serait le cas si aucun risque individuel ou collectif n’était à prendre. Concernant le droit des personnes, deux présupposés doivent être garantis, tels qu’ils sont définis par la loi: 1) l’anonymisation et le contrôle du stockage des données ; 2) le consentement libre et éclairé.

Nous pouvons distinguer trois niveaux de respect de la vie privée (privacy): (1) celle vis à vis de nos contacts; (2) celle vis à vis des autorités; (3) celle vis à vis des acteurs mal intentionnés.

Selon des chercheurs de l’université de Cornell, la solution proposée à Singapour permettrait, de garantir le premier cas de figure. Néanmoins, le dispositif exige encore a ce stade l’accès à certaines données par les autorités :

De toute évidence, en l’absence d’un système peer-to-peer entièrement décentralisé, tout partage d’informations entre les téléphones avec l’application installée devra être assuré par certains serveurs de coordination. Sans aucune mesure de protection (basée par exemple sur la cryptographie), les serveurs de coordination reçoivent une quantité démesurée de connaissances.

Ceci peut soulever des questionnements légitimes vis-à-vis de la gouvernance de ses serveurs de coordination : qui fait tourner le serveur où les identifiants sont divulgués?, qui surveille que tout est fait correctement ? qui est en charge de la supervision d’un tel système ? Comme recommandé à nouveau par le CCC, le stockage des données d’un tel dispositif doit être décentralisé par nature.

Ce débat s’est invité notamment au sein de l’initiative européenne PEPP-PT (Pan European Privacy Preserving Proximity Tracing), chargée de créer un standard Européen. Ce projet basé initialement sur les travaux de DP-3T (decentralized privacy-preserving proximity tracing), un groupement de sept institutions européennes cherchant à concevoir un système décentralisé, a été fortement critiqué et abandonné par les développeurs de DP-3T par manque de transparence et la volonté de privilégier un protocole centralisé.

Dans tous les cas, et tout particulièrement dans des systèmes centralisés, nous sommes toujours exposés à des potentielles brèches de données, et nous savons que l’anonymisation des données n’est jamais garantie à 100%. De nos jours, de par la quantité de croisements possibles, la réidentification est toujours un risque à prendre en compte. C’est d’ailleurs l’un des principaux problèmes de l’initiative paneuropéenne DP-3T. Un chercheur italien a montré qu’il était possible d’identifier des malades dans leur conception du système actuel.

Les hackers ont l’habitude de dire que les données les plus sécurisées sont celles qui n’existent pas. La minimisation des données est bel et bien un principe acté par le RGPD. Ne créons des données sensibles que si leur utilité est avérée et décidée démocratiquement.

La CNIL a rappelé les principes fixés par le RGPD concernant le consentement :

“Il faut bien s’entendre sur les mots : pour constituer un « consentement » valide au sens du RGPD, le « volontariat » doit en respecter toute les conditions, à savoir être éclairé (informé), spécifique à la finalité, univoque et libre — c’est-à-dire que le refus de consentir ne doit pas exposer la personne à des conséquences négatives.”

L’interprétation de ce texte ne peut pas se faire d’un point de vue strictement juridique. La définition d’un consentement “libre et éclairé” est contextuelle, sociale et appelle à des réflexions éthiques.

C’est ce que rappelle le Comité consultatif national d’éthique dans son avis rendu publique mardi 7 avril :

Cependant, ce choix individuel peut être orienté, voire influencé, de diverses manières, par exemple à travers les techniques de persuasion (« nudging ») ou de manipulation, la pression sociale, l’imitation des actions des proches, etc. En pareille hypothèse, le défaut de consentement libre et éclairé, la possibilité de son instrumentalisation ainsi que la portée du consentement sur les proches et autres contacts de la personne concernée, ou encore l’attribution de la responsabilité à la personne plutôt qu’à la collectivité, sont d’importants sujets de préoccupation éthique.

Aussi, nous devrions éviter de faire porter à nos concitoyens un dilemme moral : serions non fautifs si nous ne téléchargeons pas cette application? La pression sociale ou le sentiment de culpabilité pourrait faire naître un consentement induit, indirectement contraint.

La pression des entourages, qu’ils soient familiaux, amicaux ou de voisinage, peuvent aussi déboucher dans des logiques de stigmatisation et de harcèlement. Nous avons vu quelques cas absolument effrayants de personnes recevant des lettres anonymes parce qu’elles étaient en contact avec des malades : cette technologie pourrait en accentuer les répliques.

III. Des risques sociétaux possibles

Si les risques individuels à court-terme peuvent être aisément discernables, les risques sociétaux à moyen et long terme sont moins évidents. Ils doivent cependant être sérieusement considérés. Ceux-ci peuvent être de deux ordres: 1) l’éventualité d’un “effet cliquet”; 2) un poids des géants du numérique renforcé.

La technologie n’est jamais totalement bonne ou totalement mauvaise. Ce sont ses usages qui lui confèrent une coloration morale. Ne cédons pas au réflexe technophobe qui voit dans toute utilisation de la technologie par l’État la justification de la prophétie orwellienne. Mais préservons nous du penchant techno-béat qui verrait dans une technologie la “solution” à tous nos maux. Comme l’écrivait Jacques Ellul:

Ce n’est pas la technique qui nous asservit, mais le sacré transféré à la technique”.

Chaque crise appelle une réponse législative. Ainsi, en 2001 ou en 2015, nous avons adapté notre arsenal législatif pour y introduire des dispositions qui restreignent nos libertés publiques. Au transitoire a succédé le permanent. Sans préjuger de la façon dont l’application serait finalement dessinée et utilisée, elle conduirait néanmoins à créer un changement de paradigmatique majeur : l’utilisation de données individuelles de santé à grande échelle et la numérisation de nos interactions sociales impulsée par la puissance publique.

L’Etat, de par sa légitimité, serait en train de rendre socialement acceptable, en temps de crise et dans l’urgence, une technologie dont nous n’imaginons encore pas les usages potentiels à l’avenir. Certains d’entre eux, s’ils suivent la logique de ce que nous avons vu se développer autour des techniques de ciblage et de profilage basées sur les données personnelles, pourront être sans aucun doute, dangereux et mener à des actes de discrimination.

L’argument selon lequel nous serions obligés de développer des solutions nationales pour ne pas laisser nos populations face à la seule alternative américaine est, dans ce cas, fallacieux. Ce sont bien ici les Etats, et a fortiori certains Etats européens, qui ont rendu possible ces développements, en légitimant l’adoption de ces technologies en temps de crise. Les annonces des géants du numériques ont suivi et ont été, en effet, assez tardives.

Google et Apple ont déclaré construire un projet commun d’interfaces de programmation (API) entre Androïd et iOS pour permettre l’interopérabilité des applications gouvernementales. Dans un second temps, ils ont convenu de travailler de concert pour une application plus large de traçage fondée sur le bluetooth.

A l’heure où l’hégémonie de ces géants du numérique effraie et que certains vont jusqu’à conseiller leur démantèlement, des projets conjoints d’une ampleur sans précédent voient le jour. Des études du point de vue du droit de la concurrence doivent être menées. La question de la neutralité des terminaux, notamment des systèmes d’exploitation, doit être mise a l’agenda de toute urgence.

Une potentielle collaboration entre les géants du numérique et les Etats sur ce genre d’application ouvre aussi une question sans réponse : quand est-ce que le point de vue de l’utilisateur est exprimé, respecté, défendu ?

Le rapport de force entre les ‘Big Tech” et les utilisateurs est déjà suffisamment déséquilibré. Les convergences de ces entreprises entre elles et de ces entreprises avec les Etats font craindre un approfondissement de cette brèche. Le législateur et le régulateur peuvent être la cheville ouvrière d’une nouvelle gouvernance du numérique pour redistribuer le pouvoir vers la société civile et les utilisateurs, comme nous l’expliquions avec Sébastien Soriano, président de l’ARCEP le 28 février dernier.

Cela impliquerait dans ce cas une gouvernance ouverte et partagée d’un tel projet sous le modèle des “communs numériques”. Une pétition dans ce sens a d’ailleurs été lancée. Un commun a trois caractéristiques: une ressource en accès partagé ; une communauté qui bénéficie de droits particuliers sur cette ressource ; un mode de gouvernance de cette ressource qui permet que chaque usager n’outrepasse pas ses droits de prélèvement sur cette ressource. La mutualisation des ressources numériques couplée avec un mode de gouvernance qui évite l’appropriation et les comportements prédateurs seront au coeur de la construction d’un nouveau rapport sociétal au numérique.

IV. Recommendations

Beaucoup peut être fait par le numérique pour lutter contre cette crise: la tech peut aider à sauver des vies. Mais le débat sur l’adoption des technologies à risque doit, lui, être tranché démocratiquement.

Des usages vertueux du numérique en temps de crise émergent tous les jours. Ce sont ces usages là qu’il nous faut soutenir et encourager. Le numérique a d’ores et déjà permis de :

  • Poursuivre notre quotidien en confinement : télétravail (grâce à des plateformes comme Jitsi, respectueuses des données privées), éducation en ligne, divertissement, cartographies ;
  • Favoriser les solidarités et l’entre-aide (grâce à des plateformes comme “En première ligne”, la réserve civique ou “Solidarité français de l’étranger”) ;
  • S’organiser collectivement sur les réseaux sociaux (comme avec le hashtag #onapplaudit qui a permis d’organiser des preuves de reconnaissance quotidienne de la population au personnel soignant) ;
  • Soigner : télémédecine, projets issus de la société civile (comme MUR réseaux de fabrication de respirateurs à partir des imprimantes 3D), apps gouvernementales (Taiwan parvient à équiper sa population de masques grâce à un site actualisé en temps réel qui indique les lieux où ils sont en surplus et ceux où il y a pénurie) ;
  • Communiquer des informations objectives (comme grâce à un bot Whatsapp en Argentine qui permet de lutter contre les Fake News en apportant des réponses vérifiées ou un projet en France qui propose d’ “api-fier” les recommandations officielles pour une reprise plus simple par les applications, médias en ligne ou moteurs de recherche) ;
  • Utiliser des données ouvertes pour modéliser l’évolution et les effets de la crise (Le site data.gouv.fr référence une grande quantité de réutilisations) ;
  • Évaluer de façon globale l’impact des mesures de confinement et anticiper les futures vagues (grâce notamment à la transmission de données anonymisées et suffisamment agrégées par les opérateurs télécom ou les grandes plateformes aux régulateurs).

Des usages de ce type se développent partout dans le monde et sont cartographiés notamment par le Partenariat pour un Gouvernement Ouvert.

Lundi 13 avril, lors de son allocution, le Président de la République a déclaré que le Parlement serait saisi sur la question de l’application StopCovid19. Le format retenu est à ce jour celui d’un débat sans vote. Il devrait cependant revenir au Parlement de trancher démocratiquement de l’adoption d’une telle technologie.

Le développement de l’innovation et des nouvelles technologies est toujours plus rapide, le cadre légal peinant à s’adapter au bon rythme. Des technologies aujourd’hui légales, peuvent néanmoins présenter des risques éthiques et sociétaux importants. Le RGPD, notamment, ne couvre pas l’exhaustivité des problématiques éthiques et sociétales liées au numérique.

Nos institutions doivent donc se doter de mécanismes de contrôle et de contre-pouvoirs permettant de contempler ce cas de figure, qui sera de plus en plus fréquent (cf : débats sur la reconnaissance faciale). Ainsi, des circonstances exceptionnelles peuvent justifier de faire appel dans l’urgence à des technologies non éprouvées, sans pour autant faire l’économie de la conduite d’un débat transparent et effectif.

Il semble donc nécessaire que toute application technologique développée par l’État et présentant un risque éthique et sociétal ne puisse être mise en oeuvre sans que le Parlement ne soit saisi pour un débat suivi d’un vote sur la question. C’est le sens de plusieurs Propositions de Résolution émanant de différents groupes politiques en cours de dépôt à l’Assemblée Nationale.

Nous devons, pouvoirs publics, régulateurs, élus et citoyens construire ensemble un cadre institutionnel pérenne pour traiter ces sujets, y compris en période exceptionnelle. Nous appelons, de nos voeux un texte de loi concernant l’éthique du numérique. La mise en place d’une Convention Citoyenne du Numérique sur le modèle de la Convention Citoyenne pour le Climat pourrait permettre d’associer les citoyens à la définition de cadre.

Conclusion

Au regard de l’incertitude technique, des différents enjeux éthiques et politiques soulevés, nous ne sommes pas favorables, en l’état, au déploiement de l’application #StopCovid. Beaucoup peut être fait pour lutter contre la crise que nous traversons grâce au numérique. Mais ne plaçons pas au centre de notre stratégie de déconfinement un dispositif dont l’efficacité reste à prouver et est contesté de façon quasi-unanime par les communautés techniques, une technologie qui plus est “à risque” tant sur le plan individuel que sociétal, et dont, vu les circonstances, l’adoption ne pourra suivre un débat public exhaustif et apaisé.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store