shotshop.com
Concernant la collecte de données dans le contexte de la pandémie de Covid-19, il n'y a probablement aucun autre sujet qui ait fait l'objet de discussions aussi controversées que la possibilité de recourir à une application de suivi des contacts. Il existe toutefois plusieurs méthodes pour collecter des données dans le cadre de la lutte contre la pandémie de Covid-19. Et celles-ci sont aussi variées que les objectifs qu'elles se proposent d'atteindre.
Elles peuvent avoir pour mission de briser les chaînes d'infection de façon efficace, rapide et automatique ou de comprendre les mécanismes de propagation du virus. Le principe se fonde en tout cas sur des données devant être fournies par une part de la population aussi large que possible – ce qui donne lieu depuis des semaines et des mois à des discussions animées.
Certains évoquent le succès de Singapour, la cité-État d'Asie du Sud-Est qui a maîtrisé sa première vague de Covid-19 avec étonnamment peu de dégâts, en procédant à une vaste collecte de données. D'autres craignent une érosion des valeurs européennes et des normes relatives à la protection des données. La discussion porte principalement sur l'approche adoptée pour procéder au suivi automatisé des contacts. Ce qui semble certain, c'est qu'une plate-forme commune pour l'UE serait nécessaire pour mettre en place une recherche automatisée des contacts efficace et atteindre un niveau d'acceptation suffisamment élevée de la population. Fin juillet, la Commission européenne a chargé les deux sociétés allemandes SAP et T-Systems de développer une telle plate-forme afin que les différentes applications européennes puissent communiquer entre elles. Mais les collecteurs de données privés, notamment les géants du numérique Google et Facebook, souhaitent, eux aussi, participer à la lutte contre le virus. Les données qu'ils peuvent fournir à cette fin sont révélées chaque jour, sciemment ou inconsciemment, par des millions d'utilisateurs. En acceptant les conditions d'utilisation, les utilisateurs ont donné leur consentement à un tel usage. Les instituts scientifiques qui souhaitent en savoir plus sur le virus et sa propagation à l'aide du don de données s'appuient aussi sur ce principe.
Dans cette vérification des faits, nous brossons un tableau général de la situation actuelle en matière de traçage et de don de données, et nous abordons aussi spécifiquement les préoccupations liées à la protection des données. Même si le sujet des applications de suivi des contacts n'est pas à l'ordre du jour au Luxembourg, du moins pour l'instant, le traçage des personnes contaminées en soi et les différents types de dons de données automatisés (par exemple via des applications de fitness ou des services tels que Facebook et Google) demeurent d'actualité pour tout le monde.
Infobox
Depuis de nombreuses années, on utilise le traçage des contacts des malades afin de maîtriser les épidémies. Les experts des autorités sanitaires y ont recours pour retracer les chaînes d'infection afin de ralentir, voire d'enrayer la propagation d'une maladie infectieuse. Pour ce faire, ils identifient les individus avec qui une personne infectée a été en contact, c'est-à-dire les gens qu'elle peut avoir contaminés. Une fois que les contacts ont été retracés, ceux-ci peuvent également se faire tester et, le cas échéant, recevoir des soins médicaux ou se mettre en quarantaine. C'est avant tout lorsqu'une personne contaminée – comme c'est le cas avec la Covid-19 – propage l'agent pathogène avant même l'apparition des premiers symptômes qu'une recherche rapide et approfondie des contacts peut réduire le nombre de nouvelles infections. Lors de l'apparition d'un cas de tuberculose, on effectue depuis longtemps une enquête de l'entourage pour identifier les contacts des malades, et cette pratique est également utilisée pour d'autres maladies infectieuses.
Comment fonctionne le suivi manuel des contacts ?
La Division de l'Inspection Sanitaire du Ministère de la Santé est responsable du traçage des contacts au Luxembourg. C'est elle qui reçoit tous les jours les résultats de tests des laboratoires médicaux. En cas de résultat positif, un médecin ou une infirmière contacte la personne concernée par téléphone, l'informe du résultat, s'enquiert de ses symptômes, lui explique l'évolution possible de la maladie et répond à toutes les questions relatives à l'infection et à la suite de la procédure. À cette occasion, une liste des personnes qui ont des contacts étroits avec le malade est également dressée. Il s'agit principalement des personnes faisant partie du même ménage, mais aussi de tous les individus avec qui la personne testée positive a passé plus de quinze minutes à moins de deux mètres de distance sans porter de masque de protection au cours des jours précédents.
L'équipe médicale remet ensuite la liste à l'une des trois équipes responsables du traçage qui travaillent au sein du même service. Chaque équipe compte entre quinze et vingt membres, qui appellent les personnes de contact et déterminent lors de l'échange si le contact était effectivement rapproché. Ce travail s'avère parfois plus compliqué si la personne testée positive préfère que son nom ne soit pas révélé - un souhait parfaitement légitime que les membres des équipes responsables du traçage respectent. Si les critères de contact étroit avéré sont remplis, la personne en question est placée en quarantaine. En outre, elle reçoit une ordonnance pour effectuer un test de dépistage au bout de cinq jours. Si ce test est négatif, la quarantaine est levée. S'il est positif, la personne est placée en quarantaine pendant dix jours supplémentaires (jusqu'à récemment, cette période de quarantaine était de quatorze jours).
Les données collectées par les équipes responsables du traçage des contacts sont stockées dans une application ACCESS spécialement développée à cette fin. L'accès à cette application est réservé au personnel de la Division de l'Inspection Sanitaire, qui est également dotée d'une équipe de surveillance des données, composée entre autres d'épidémiologistes. Ces derniers procèdent à une analyse scientifique des données pseudonymisées au préalable et préparent des rapports quotidiens. Les données des personnes de contact qui ont été testées négatives sont supprimées peu de temps après. Les données des personnes testées positives sont stockées conformément aux obligations légales de conservation, puis supprimées. Cette procédure est supervisée par une déléguée à la protection des données.
Pourquoi le suivi manuel des contacts dans le cadre de la Covid-19 peut-il atteindre ses limites dans certains pays ?
Le suivi manuel des contacts requiert beaucoup de temps et de personnel. En Allemagne, par exemple, le ministre fédéral de la Santé, Jens Spahn, a fait savoir que les autorités sanitaires devaient effectuer le traçage des contacts avec une équipe de cinq personnes pour 20 000 habitants. Si certaines régions comme la Sarre ou des villes comme Magdebourg atteignent déjà cet objectif, Munich ou Dresde, par exemple, doivent encore augmenter leurs effectifs. Afin de combler les écarts, des équipes mobiles doivent également être mobilisées. Or, les appels téléphoniques et l'établissement de listes dans le cadre du suivi manuel des contacts prennent du temps.
Au début de la pandémie, la Division de l'Inspection Sanitaire au Luxembourg estimait qu'avec les effectifs de l'époque, un traçage de haute qualité pouvait être assuré si le nombre quotidien de nouveaux cas recensés restait compris entre 60 et 80. Après un renforcement de l'équipe et le déploiement d'employés d'autres services et de bénévoles, le traçage peut actuellement être assuré pour 150 à 200 nouveaux cas d'infection par jour. À l'heure actuelle, 75 à 100 employés travaillent tous les jours de la semaine pour retracer les chaînes d'infection.
Afin d'automatiser ce suivi des contacts et d'alléger ainsi la charge de travail des autorités, la possibilité de recourir à des applications pour smartphone avait déjà été évoquée au début de la pandémie. Ces applications ont entre-temps déjà été introduites dans plusieurs pays. Le Luxembourg ne s'inscrit cependant pas (du moins pas pour l'instant) dans cette démarche.
Quelles expériences le Luxembourg a-t-il faites en matière de suivi manuel des contacts durant la pandémie ?
Le suivi manuel des contacts au Luxembourg s'est mieux déroulé que ce que les premières estimations prévoyaient. Une des raisons en était que les clusters étaient bien délimités et donc plus faciles à suivre. Un cluster d'infection, c'est un groupe de personnes qui ont été contaminées ensemble par un agent pathogène, par exemple lors d'un événement. Par ailleurs, les autorités compétentes ont également renforcé leurs capacités, d'une part en augmentant le personnel régulier et d'autre part en mobilisant le personnel d'autres services. Cette promotion de la mobilité interne est l'une des expériences positives que la Division de l'Inspection Sanitaire a faites dans le cadre de la pandémie et qu'elle entend poursuivre à l'avenir. La constitution d'une équipe qui s'occupe de la gestion de crise à long terme en est une autre.
Malgré les résultats plutôt positifs obtenus avec la recherche manuelle des contacts au Grand-Duché jusqu'à présent, des experts tels que la Commission nationale d'éthique (CNE) recommandent d'envisager le recours à une application. Car une recrudescence des cas d'infection par vagues récurrentes pourrait pousser le traçage manuel à ses limites. Il est important d'aborder le sujet des applications à un stade précoce pour qu'une solution soit déjà prête à être déployée lorsqu'une nouvelle vague, peut-être plus forte, se déclarera. Les préparatifs correspondants ont été effectués au Luxembourg. Mais les responsables politiques se sont prononcés (du moins pour le moment) contre une application luxembourgeoise de suivi des contacts. Lorsque l'on analyse le succès remporté par les applications de suivi des contacts qui ont été introduites dans les pays européens à ce jour, force est de constater que la plupart de ces initiatives n'ont pas eu le résultat escompté. Dans de nombreux cas, il y a un manque d'acceptation de la part de la population.
Comment fonctionne la recherche électronique des contacts ?
L'idée est que la recherche des contacts via une application pour smartphone, en complément de la recherche manuelle des contacts, contribue à identifier plus rapidement les chaînes d'infection, tout en réduisant la charge de travail des autorités sanitaires. Afin de mettre au point une telle technologie pour l'Europe, l'organisation à but non lucratif Pan-European Privacy-Preserving Proximity Tracing, ou PEPP-PT en abrégé, a été fondée. Elle compte plus de cent membres issus de huit pays européens. Après une controverse sur le stockage des données de traçage, quelques parties se sont retirées du projet afin de poursuivre le développement du protocole de traçage de proximité décentralisé préservant la vie privée (dp3t). Il existe également d'autres initiatives, telles que la coalition TCN. L'abréviation TCN signifie « Temporary Contact Numbers » (numéros de contact temporaires).
Aucun des concepts ci-dessus n'a recours à la collecte de données relatives à la position (GPS ou cellules radio). Ils s'appuient plutôt sur la norme Bluetooth, de préférence via la technologie Bluetooth Low Energy à faible consommation énergétique. Grâce à cette interface de communication, les appareils communiquent entre eux sur de courtes distances. Celle-ci est même intégrée dans les vieux téléphones portables. Lorsqu'un utilisateur télécharge l'application sur son téléphone – une opération qu'il doit effectuer volontairement – il envoie un code d'identification à tous les autres téléphones à portée à intervalles rapprochés. Ce code change régulièrement et ne contient aucune information permettant d'identifier l'émetteur ou sa position actuelle.
En même temps, le téléphone de l'utilisateur stocke tous les codes d'identification qu'il reçoit d'autres appareils situés à proximité. Si l'utilisateur de l'application est testé positif au virus du SRAS-CoV-2, il recevra un code clé avec le résultat du test. Il l'utilise ensuite pour transmettre les codes qui ont été collectés sur son téléphone.
À ce stade, deux concepts sont envisageables. Ce sont ces deux concepts qui ont donné lieu à la controverse que nous avons mentionnée ci-dessus : le stockage centralisé et l'approche décentralisée. Avec la première approche, privilégiée par l'organisation PEPP-PT, en cas de résultat positif, l'application envoie la liste des codes à un serveur central avec le consentement explicite de la personne infectée. Les téléphones de tous les autres utilisateurs de l'application recoupent régulièrement leur liste avec les données du serveur pour découvrir ainsi pratiquement en temps réel si leur propriétaire s'est trouvé à proximité d'une personne malade.
Avec l'approche décentralisée, il n'y a pas de serveur « omniscient ». Par conséquent, les codes sont uniquement stockés sur les téléphones portables. Après un résultat de test positif et l'approbation de l'utilisateur, l'identifiant est transmis à l'ensemble du réseau. Les applications de tous les autres utilisateurs peuvent alors automatiquement déterminer s'il y a eu un contact avec la personne malade. La France, par exemple, a opté pour l'approche centralisée, mais la Suisse ou l'Allemagne appliquent l'approche décentralisée. Alors que le gouvernement allemand favorisait l'approche centralisée, une controverse a éclaté au sein de la communauté des chercheurs.
Approche centralisée ou approche décentralisée : quels sont les avantages et les inconvénients ?
Les partisans de l'approche décentralisée voient un avantage majeur dans le fait qu'aucune donnée n'est stockée sur un serveur central. En effet, si une organisation, une autorité ou une entreprise connaît l'identité de personnes qui se rencontrent, il est possible, par exemple, d'élaborer des graphes sociaux à partir de ces données. Ce sont des relations interpersonnelles qui peuvent être retracées à partir de grands volumes de données. Les préoccupations ici concernent principalement la conservation de données, notamment par des gouvernements à tendance autoritaire, qui pourraient ainsi disposer d'un outil pour surveiller leurs citoyens.
Le fait que les données - même si elles ne sont pas centralisées entre les mains des gouvernements - soient stockées sur des serveurs de Google, le propriétaire d'Android, est considéré comme un point faible de l'approche décentralisée. En effet, il existe un réglage dans le système d'exploitation Android qui permet de collecter tous les contacts Bluetooth à proximité de l'appareil mobile et de les transmettre aux serveurs de Google. Selon les détracteurs de cette approche, cela permet à la société de collecter de grands volumes de données concernant les contacts qu'entretiennent les utilisateurs d'Android. Les inquiétudes dans ce contexte sont principalement liées au fait que Google est déjà en possession de données personnelles essentielles, telles que les noms et les numéros de téléphone de ses utilisateurs.
Les partisans de l'approche centralisée voient justement un avantage dans la disponibilité des données, car celles-ci pourraient être utilisées à des fins de recherche sur la pandémie, à condition d'obtenir le consentement exprès de l'utilisateur. Cependant, il existe aussi des opinions contraires. Ainsi, certains épidémiologistes sont d'avis que les graphes sociaux ne sont pas très utiles pour la recherche en l'absence d'informations supplémentaires sur les individus et les circonstances de leurs rencontres.
D'un point de vue technique, le trafic de données pourrait être considéré comme un inconvénient de l'approche décentralisée. En effet, étant donné que tous les appareils mobiles échangent constamment des données entre eux, ce volume augmente plus rapidement que lors de la communication avec un serveur central.
Le point faible de l'approche décentralisée et l'avantage de l'approche centralisée se situent au niveau de l'adaptation de l'application au fil du temps. En effet, afin de pouvoir émettre des avertissements à l'aide d'une application, certains critères tels que la distance par rapport à une personne contaminée et la durée du contact doivent être définis. Si les valeurs de référence changent en raison de découvertes scientifiques plus récentes, elles peuvent être rapidement adaptées avec une solution centralisée. En revanche, avec une solution décentralisée, où les calculs sont effectués exclusivement sur l'appareil mobile, les utilisateurs doivent d'abord mettre à jour leur application. Sinon, le risque est évalué différemment en fonction de la version du logiciel.
Il ne faut pas non plus sous-évaluer la perception que le public a de ces deux approches. Car le succès d'une application de suivi des contacts, dont l'installation et l'utilisation se font sur une base volontaire, dépend dans une large mesure de son acceptation par la population. Les détracteurs de l'approche centralisée font valoir que le niveau d'acceptation n'est pas suffisamment élevé pour cette approche, ce qui remet donc son succès en question.
Existe-t-il actuellement une application de suivi des contacts au Luxembourg ou la mise en place d'une telle application y est-elle prévue ?
Au Luxembourg, il n'existe pas à l'heure actuelle d'application de suivi des contacts – et il n'y en aura probablement pas à l'avenir. Les autorités compétentes ont toutefois examiné la possibilité d'utiliser ce type d'application. Il s'agissait notamment de déterminer si une telle application devait reposer sur une approche centralisée, comme en France, ou sur une approche décentralisée, comme c'est le cas en Allemagne avec l'application que le pays a lancée récemment. Le défi réside dans le fait que le trafic transfrontalier joue un rôle majeur au Luxembourg. L'application en question doit donc également fonctionner dans les pays voisins. L'approche centralisée de la France et l'approche décentralisée de l'Allemagne ne sont toutefois pas compatibles. Pour l'instant, on part du principe qu'aucune application de recherche des contacts ne sera introduite au Luxembourg. Quoi qu'il en soit, le déploiement d'une telle application prendrait du temps - pour la phase de développement et pour convaincre les gens de l'utiliser.
Quelles expériences l'Allemagne a-t-elle faites jusqu'à présent avec son application de suivi des contacts ?
La Corona-Warn-App est disponible en Allemagne depuis le 15 juin. Au départ, elle devait se fonder sur l'approche centralisée, mais après de vives discussions, elle a finalement été mise en œuvre de manière décentralisée. Deutsche Telekom et la société de développement de logiciels SAP ont été chargées du développement. La date de livraison a été reportée à plusieurs reprises. Lorsque l'on tient compte du soutien du monde scientifique, des coûts de près de 20 millions d'euros ont été engagés jusqu'à présent. Selon les estimations, 2,5 à 3,5 millions d'euros supplémentaires seront nécessaires chaque mois pour faire fonctionner l'application. Deux semaines et demie après son lancement, l'application a été téléchargée à 14,4 millions de reprises. Début septembre 2020, l'application avait été téléchargée sur environ 17,8 millions d'appareils mobiles. L'application est conçue pour 25 millions d'utilisateurs au total et un maximum de 10 000 avis de contamination par jour.
En raison de l'approche décentralisée sur laquelle l'application s'appuie, il n'est pas possible de dire combien d'avis de contamination ont déjà été envoyés. Étant donné que les utilisateurs déploraient dans un premier temps qu'ils pouvaient uniquement se procurer l'application dans l'App Store allemand, l'Institut Robert Koch l'a également rendu disponible dans les App Stores internationaux le 25 juin. À la fin du mois de juillet, on a appris que l'application n'avait pas envoyé correctement les avis ou n'en avait pas envoyé du tout pendant environ cinq semaines. L'erreur a été corrigée moyennant une mise à jour. Il a également été signalé que la procédure d'enregistrement des personnes testées positives ne fonctionnait pas correctement, du moins au mois d'août. Par conséquent, au lieu d'un avis anonyme, les employés avaient accès aux noms et numéros de téléphone des personnes concernées. La raison en était la connexion défaillante des laboratoires de tests au système de QR codes, qui, selon Deutsche Telekom, est en train d'être développée. D'autres médias mettent également en évidence les difficultés d'organisation, tout en soulignant que l'application a un niveau de sécurité très élevé à exceptionnel. Actuellement, certains responsables politiques prônent l'utilisation obligatoire de l'application.
Quelles expériences la France a-t-elle faites jusqu'à présent avec son application de suivi des contacts ?
L'application française de traçage des contacts StopCovid a été lancée au début du mois de juin et repose sur un système de stockage centralisé des données. Quatre jours après sa publication, elle a été téléchargée et activée par un million d'utilisateurs. Quatre semaines après son lancement, l'application avait été téléchargée à près de 1,8 million de reprises. Au total, pendant cette période, 14 alertes ont été envoyées aux utilisateurs de l'application pour les avertir qu'ils avaient peut-être été en contact avec une personne infectée. Le nombre d'utilisateurs était d'environ 2,3 millions au 19 août. A ce jour, l'application a signalé 72 contacts à risque potentiels, alors qu'au total, 1 169 QR codes ont été scannés à l'issue d'un test de dépistage positif. Les responsables attribuent le grand écart entre le nombre de cas d'infection et le nombre de cas contacts identifiés au manque d'adhésion. L'un des problèmes relevés concerne l'approche centralisée, qui rend l'application incompatible avec d'autres solutions européennes. Un autre point faible est que StopCovid n'utilise pas les interfaces que Google et Apple ont récemment mises à la disposition des applications de suivi des contacts pour leurs systèmes d'exploitation.
Quelles expériences la Suisse a-t-elle faites jusqu'à présent avec son application de suivi des contacts ?
À l'issue d'une phase pilote d'un mois, l'application SwissCovid a été mise à la disposition du public en téléchargement le 25 juin à minuit. Au bout de trois jours, elle comptait quelque 855 000 utilisateurs actifs. Fin août, ce chiffre était passé à 1,52 million d'utilisateurs. À l'instar de l'Allemagne, la Suisse a recours à une approche décentralisée de la gestion des données. Les deux pays ont aussi fait des expériences similaires pour ce qui est des problèmes liés aux codes en cas de résultat de test positif. Ainsi, il arrive que les personnes concernées doivent attendre plusieurs jours avant de recevoir le code permettant d'informer l'application d'un résultat de test positif.
De quelles autorisations les applications de suivi des contacts ont-elles besoin par rapport aux applications de médias sociaux ?
Par rapport aux applications de médias sociaux, les applications de suivi des contacts courantes nécessitent peu d'autorisations pour être installées sur un smartphone. À titre d'exemple, l'application SwissCovid nécessite un accès complet au réseau, l'autorisation d'afficher les connexions réseau, de se connecter à des appareils Bluetooth et de désactiver le mode veille, et elle demande d'être exécutée au démarrage du smartphone. La version allemande Corona-Warn-App nécessite par ailleurs une autorisation pour prendre des photos. L'accès à l'appareil photo est nécessaire pour scanner le QR code que le laboratoire de test transmet à l'utilisateur en cas de résultat positif. Il en va de même pour l'application française StopCovid. Sous le système d'exploitation Android, elle doit utiliser la position du téléphone via le GPS ou la cellule radio – mais uniquement afin d'activer la fonction Bluetooth. L'application ne stocke aucune donnée de position.
La liste des autorisations requises par les applications de médias sociaux courantes telles que Facebook ou WhatsApp, en revanche, peut s'avérer beaucoup plus longue – selon les services de l'application que l'utilisateur souhaite utiliser. Outre l'accès au microphone, à l'appareil photo et à la mémoire nécessaire à la communication, un utilisateur peut également autoriser aux applications de consulter le calendrier et le carnet d'adresses, d'enregistrer des conversations ou d'accéder à des interfaces telles que la communication en champ proche (NFC), la fonction Bluetooth ou le réseau WLAN.
Illustration : De quelles autorisations les applications de suivi des contacts ont-elles besoin par rapport aux applications de médias sociaux ? Remarque : Dans le cas de WhatsApp et de Facebook, tout dépend des services que l'utilisateur souhaite utiliser.
Vous pouvez télécharger l'illustration ici.
Quelle est l'envergure de la divulgation de données personnelles avec les applications de suivi des contacts par rapport à d'autres applications ?
Toute personne qui utilise Internet divulgue inévitablement des données personnelles à une panoplie de fournisseurs de services. D'une part, ces données sont nécessaires au bon fonctionnement des applications et des services. D'autre part, elles servent également à placer de la publicité de manière ciblée. L'exemple de Google illustre de quelles données il peut s'agir. Le développeur du système d'exploitation Android pour appareils mobiles et fournisseur de services tels que le moteur de recherche Google, le service de cartes et d'itinéraires Google Maps, le portail vidéo YouTube ou la plate-forme de médias sociaux Google+ connaît non seulement les données générales de ses utilisateurs (nom, numéro de téléphone et carte de crédit ou adresse électronique), mais aussi les données de l'historique des différentes applications, comme les requêtes de recherche, les lieux visités et les distances parcourues, les vidéos visionnées ou les préférences personnelles partagées sur les réseaux sociaux. Les activités sur le smartphone sont également stockées, par exemple les numéros de téléphone composés, la durée des appels ou le comportement des utilisateurs pour les différentes applications installées.
Pour les applications qui respectent la réglementation en matière de protection des données, l'utilisateur peut normalement déterminer quelles données il permet au fournisseur de collecter. Il est aussi souvent possible de supprimer les journaux d'historique.
Les bracelets connectés collectent également des données sensibles de leurs propriétaires et les envoient dans la plupart des cas à un serveur dans le cloud. En plus des données relatives à la position et aux déplacements, il s'agit de données relatives à la santé, telles que la fréquence cardiaque ou la pression artérielle mesurée. Dès 2019, il a été révélé que certains de ces appareils échangeaient des données avec le réseau social Facebook à l'insu des utilisateurs. Pour d'autres appareils, l'utilisateur peut autoriser le partage de l'ensemble des données collectées avec des tiers lors du processus d'installation.
Les applications de suivi des contacts envisagées ou déjà mises en œuvre en Europe adhèrent au principe de minimisation des données. Parfois, il faut saisir le numéro de téléphone (en Norvège et en Islande lors de l'enregistrement, en Autriche uniquement en cas d'infection) ou les premiers chiffres du code postal (Grande-Bretagne), parfois aucune saisie de données personnelles n'est nécessaire (France, Allemagne et Italie).
Quelles données Google met-il à disposition ?
La collection de données du géant de l'Internet Google qui est censée contribuer à maîtriser la pandémie de Covid-19 se dénomme « Community Mobility Reports ». L'idée est que les données anonymisées relatives à la position des propriétaires de smartphones permettent d'indiquer sur une carte le niveau de saturation du parc de la ville ou la longueur de la file d'attente à la boulangerie du coin. Cela devrait aider les autorités à contrôler les restrictions de sortie ou permettre aux transports locaux d'utiliser leurs capacités de façon plus ciblée, si bien que chaque individu peut décider plus consciemment s'il souhaite partir à un moment déterminé ou attendre un peu. Google a désormais publié les données pour 131 pays.
Pour faire partie de l'initiative de collecte de données de Google, l'utilisateur doit accepter expressément l'utilisation des données relatives à sa position. Pour ce faire, il faut activer l'historique des positions, qui, selon Google, est désactivé par défaut. En outre, le rapport des positions doit être activé pour l'appareil. Cependant, il a été signalé par le passé que Google savait exactement où se trouvait le propriétaire d'un smartphone, même si l'historique des positions était désactivé sur l'appareil.
Quelles données Facebook met-il à disposition ?
Le géant des moteurs de recherche Google n'est pas le seul à posséder un volume gigantesque d'informations sur l'utilisateur, c'est aussi le cas du réseau social Facebook. Il souhaite à présent utiliser ces données à bon escient. Le projet « Data for Good » de Facebook met à disposition des ensembles de données anonymisés de ses utilisateurs pour contribuer à la lutte contre la pandémie de Covid-19. Il est possible d'en déduire des modèles de déplacements, mais selon Facebook, ceux-ci ne permettent pas d'identifier les individus. Ils devraient toutefois permettre d'identifier les endroits où il y a beaucoup d'activité à un moment donné et de déterminer si les gens sont plus susceptibles de rester chez eux ou de sortir. Les cartes doivent être mises à jour quotidiennement. Pour ce faire, Facebook utilise les données que chaque utilisateur génère en permanence en utilisant l'application.
Comment les bracelets connectés peuvent-ils contribuer à combattre le virus ?
Les smartphones ne sont pas les seuls appareils capables de collecter des données pour lutter contre le virus. D'autres objets connectés intelligents s'y prêtent également. La société américaine de soins de santé Kinsa Health, par exemple, a récemment fait parler d'elle en publiant sur Internet les données de son thermomètre numérique intelligent sur une « carte météo de la santé ». Les appareils envoient les données au fabricant. Ce dernier vend généralement les données relatives à la température de ses clients – sous forme anonymisée et agrégée – à d'autres entreprises. Celles-ci peuvent alors adapter plus efficacement leurs campagnes publicitaires pour des pastilles contre la toux ou des désinfectants aux régions présentant les plus grands besoins. Ces données doivent à présent permettre de suivre la propagation du SRAS-CoV-2 et les épidémies locales de Covid-19.
Mais les chercheurs s'intéressent entre-temps aussi aux montres et aux bracelets intelligents. L'idée de départ est celle-ci : ces appareils surveillent toute une série de données vitales de leurs utilisateurs, telles que le rythme cardiaque, la fréquence respiratoire ou encore la température corporelle – et des millions d'utilisateurs mettent à disposition ces données chaque jour en utilisant ces applications. Ces données changent en cas d'infection. Des études épidémiologiques peuvent être menées sur la base d'informations personnelles relatives à l'âge, au sexe, à la taille et au poids, complétées par le lieu de résidence.
L'institut allemand Robert Koch a fait le même constat et a publié l'application « Corona-Datenspende ». Les participants autorisent les scientifiques à accéder aux données de leur bracelet connecté ou de leur montre intelligente. Les données sont pseudonymisées et évaluées. Ici aussi, une carte de la trajectoire du SRAS-CoV-2 et de la Covid-19 est établie. Les développeurs considèrent qu'il s'agit là d'une étape importante pour maîtriser la pandémie.
Les détracteurs, en revanche, sont pour le moins critiques à l'égard de l'application « Corona-Datenspende » pour ce qui a trait à la protection et la sécurité des données. Le Chaos Computer Club est sceptique, car le code du programme n'est pas accessible au public et a révélé certaines faiblesses lors de l'analyse. Ainsi, les données des « donneurs » stockées sur les smartphones ne seraient pas transférées, mais on accéderait directement aux données auprès des fournisseurs des applications de fitness. Ce n'est que par après que l'on procède à la pseudonymisation. Ce n'est pas l'idée en tant que telle qui est critiquée, mais sa mise en œuvre. Selon la Gesellschaft für Informatik, « l'application ne répond pas aux exigences essentielles en matière de protection des données et de sécurité informatique. »
Résumé
Au début de la pandémie, nous ignorions beaucoup de choses sur le virus. La réaction de la plupart des pays a été d'instaurer un confinement de la population. Les données sont essentielles pour mieux comprendre le virus et sa propagation et pour pouvoir prendre des mesures plus ciblées afin d'éviter un nouveau confinement. La recherche des contacts joue un rôle important pour enrayer la propagation du virus. Des données sont également collectées lors de la recherche manuelle des contacts. Alors que la collecte de données n'est pratiquement pas remise en cause dans le cadre de la recherche manuelle des contacts, il en va autrement des systèmes d'aide numériques, où la problématique de la protection des données préoccupe de nombreux citoyens. Avons-nous besoin d'applications de suivi des contacts ou d'autres systèmes d'aide numériques en plus de la recherche manuelle des contacts ?
Bien que la discussion sur les applications de suivi des contacts ou les dons de données est souvent très polarisée, il convient de trouver le juste milieu. Les systèmes automatisés ne sont pas la panacée pour lutter contre la Covid-19, mais il n'y a aucune raison de les diaboliser hâtivement s'ils sont compatibles avec la législation européenne sur la protection des données personnelles. (Ou cette loi ne va-t-elle pas suffisamment loin ? Elle devrait en soi refléter les valeurs de l'Union européenne.)
Les applications de suivi des contacts peuvent venir en aide à la recherche manuelle de contacts, à condition qu'un nombre suffisant de personnes les utilisent. Mais pour cela, les gens doivent avoir confiance en ces systèmes et leurs préoccupations doivent être entendues et prises en compte. La situation varie d'un pays à l'autre. Dans l'ensemble, on constate qu'il existe un certain scepticisme dans de nombreux pays européens. Les discussions en partie passionnées montrent que le sujet de la protection des données reste très actuel. Il est intéressant de noter que de nombreuses personnes fournissent, sciemment ou inconsciemment, toute une série de données aux applications (telles que WhatsApp, Google Maps, Facebook, les applications de fitness, etc.), mais qu'elles considèrent que dans le cas des applications de suivi des contacts, il s'agit d'une intrusion trop importante dans leur vie privée. Il serait intéressant d'en connaître les raisons.
Force est de constater que le traçage des contacts (c'est-à-dire l'identification et l'isolement des contacts des personnes contaminées), sous quelque forme que ce soit, est l'un des moyens les plus efficaces de lutter contre les pandémies. La communauté scientifique a clairement identifié l'intérêt de la recherche des contacts. Cependant, des questions se situant à la croisée entre la science, la technologie et la société se posent lors de la mise en œuvre. Avec cet article, nous espérons contribuer à alimenter un débat reposant sur des faits.
Auteur : Kai Dürfeld (scienceRELATIONS), Jean-Paul Bertemes (FNR)
Rédaction : Michèle Weber (FNR)
Illustration : 101 Studios