B. LE FONCTIONNEMENT ENVISAGÉ POUR LA FUTURE APPLICATION : PLUSIEURS GARANTIES INTÉGRÉES DÈS LA CONCEPTION
En France, c'est à l'Institut national de recherche en sciences et technologies du numérique (Inria) que le secrétariat d'État chargé du numérique a confié la coordination opérationnelle des efforts de recherche visant à développer une application de suivi des contacts respectueuse du droit européen et des libertés individuelles.
Elle s'inscrit dans le cadre du « Pan European Privacy Proximity Tracing » (PEPP-PT), projet européen de recherche rassemblant plus de 130 scientifiques de haut niveau en provenance de huit pays, dont la France, l'Allemagne et la Suisse, « dont le but principal est de permettre le développement de solutions de suivi de contacts respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d'une réponse plus globale à la pandémie ».
Cet outil permettrait de suivre et d'enregistrer les interactions entre téléphones mobiles ( « contact tracing » ) grâce à la technologie Bluetooth intégrée aux téléphones pour les échanges de données entre terminaux à proximité.
Plusieurs garanties ont été d'emblée imposées au développement du projet :
- la base volontaire du recours à l'application , toute obligation étant écartée ;
- le respect du cadre juridique actuel (national et européen) protégeant la vie privée des individus ;
- la transparence des protocoles et l'auditabilité de l'application (diffusion du code source) ;
- le respect du principe de souveraineté numérique, les autorités publiques devant rester maîtresses des choix de santé pour guider la réponse à l'épidémie (choix de certains paramètres, remontée d'information épidémiologique) ;
- le caractère temporaire des données collectées comme de l'application elle-même (durée de vie correspondant à la durée de gestion de l'épidémie de Covid-19).
Interrogé par les co-rapporteurs, le PDG de l'Inria a insisté sur les circonstances exceptionnelles de développement de l'application « StopCovid », l'urgence expliquant le peu de communication entourant les premiers temps du projet (la liste des parties prenantes privées du consortium n'a ainsi été rendue publique que le 27 avril 69 ( * ) ), et les importantes incertitudes qui persistent encore sur certains choix et paramètres (distance et durée prises en compte pour qualifier la pertinence d'un contact, localisation des serveurs et désignation du responsable du traitement des données).
Concrètement, l'application mémoriserait sous forme pseudonymisée l'ensemble des contacts avec d'autres appareils également équipés de celle-ci et passés à proximité sur une période donnée. Il serait alors ensuite possible de retracer rétrospectivement les contacts d'un individu atteint par la maladie pour les prévenir du risque de contamination encouru.
Le fonctionnement envisagé par le protocole
ROBERT
Les équipes de l'Inria ont publié le 18 avril 2020 le protocole ROBERT (pour ROBust and privacy-presERving proximity Tracing) qui représente l'état de leurs réflexions sur l'architecture technique d'une future application « StopCovid » de suivi des contacts. Soumis à l'évaluation et à la critique de la communauté scientifique, il n'est donc pas encore finalisé à cette date. Selon ce protocole, le mécanisme envisagé pour retracer et alerter les contacts d'un utilisateur de l'application serait le suivant : - Une personne télécharge volontairement l'application sur son équipement mobile (smartphone ou tablette, et pour les appareils sous systèmes d'exploitation Android - développé par Google - ou iOS - par Apple). - Le détenteur du smartphone, en laissant le bluethooth activé lors de ses activités et déplacements quotidiens, enregistre un historique des contacts établis avec les autres smartphones qui sont également équipés de l'application et qui se sont trouvés à une distance et pendant une durée significatives (selon des paramètres à fixer) ; ces contacts sont établis sous forme de pseudonymes par la génération puis l'échange de crypto-identifiants temporaires entre smartphones : les données nominatives ou de numéro de téléphone ne sont pas échangées, et l'application n'a pas recours à la géolocalisation. - Si la personne est diagnostiquée positive, elle reçoit d'un professionnel de santé un code permettant de certifier son état et de le signaler dans l'application. Son historique de contacts est alors envoyé sur un serveur de confiance (celui d'une autorité de santé, par exemple), sans que soit divulgué d'élément permettant de l'identifier elle-même. Aucun lien n'est fait entre le téléphone de la personne malade et son historique de contacts. Chacun de ces contacts remontés au serveur est ainsi une personne à risque. - Chaque smartphone ayant téléchargé l'application vérifie auprès du serveur central, à intervalles réguliers (selon des paramètres à fixer) s'il fait partie des contacts signalés à risque. Il n'y a pas de notification spontanée, directe et à toute heure par le serveur central, mais interrogation par l'application. - La notification se fait sur la base d'une évaluation du risque (dont le calcul doit être défini avec les épidémiologistes) en utilisant l'information de proximité, et selon des paramètres à fixer (nombre de notifications maximal, plage horaire coïncidant avec l'ouverture de certains services). |
* 69 https://www.inria.fr/sites/default/files/2020-04/Communiqu%C3%A9%20de%20presse%20STOPCOVID_2.pdf