FYTT #STOPCOVID

#StopCovid 

Virus sous surveillance électronique

 

Nous restons dans l'urgence sanitaire.

Ne l’oublions pas.

Nous n’avons pas le luxe du temps qui passe.


Tracing, Tracking, Backtracking, Contact Tracing…. Des expressions utilisées à tort et à travers pour qualifier StopCovid: soeurs mais pas jumelles!

“Tracer” et “Traquer” emportent deux problématiques distinctes dans leur intention et le temps de leur intervention.

Tracer implique un suivi plus objectif, sans ciblage ou discrimination particulière, intervenant souvent a posteriori de l’instant T : c’est l’esprit de la méthode “Bluetooth” qui “retrace” un parcours.

Traquer infère une intention de nuire plus forte, avec un ciblage voulu d’une catégorie spécifique de personnes choisies sur des bases plus incriminantes, avec un suivi en temps réel: c’est la méthode de la “géolocalisation GPS RT” qui confine à la “chasse”, toute proportion gardée, de tel ou tel individu.

La méconnaissance – de bonne foi ou non – de la nature de l’application “StopCovid”, de son protocole technique, de son positionnement et de sa pertinence dans le cadre global de politique sanitaire mise en place par le gouvernement, autorise quelques observations élémentaires.

 

Le temps joue contre nous, à tous points de vue, dans la lutte contre la pandémie : il participe de la pandémie comme un ennemi contre lequel il faut lutter pour anticiper, ou à défaut, pour réagir.

Ce facteur “temps” doit être pris en considération à chaque étape, dans l’évaluation des réponses à apporter qu’elles soient d’ordre technologique, épidémiologique, biologique ou numérique.

L’Université d’Oxford, dans l’une de ses dernières  études de modélisation datée du 25 mai 2020, rappelle que le facteur “temps” est décisif dans la lutte contre la pandémie et que dans cette perspective, même si le volume de téléchargement d’une application de contact tracing (type StopCovid) pouvait s’avérérer relativement faible, son efficacité pour endiguer la propagation se révèlerait dès les premières installations!

La puissance du numérique réside justement dans sa capacité à aller très vite et à pouvoir notifier en un instant de raison un nombre conséquent de cas contact de quelque suspicion COVID. Pour obtenir le même résultat, en utilisant le facteur humain des “brigades sanitaires”, cela exigerait l’augmentation du nombre d’enquêteurs d’un facteur de 10 au bas mot.

Par ailleurs, l’avantage non négligeable de StopCovid- tel qu’encadré de toutes les garanties structurelles, légales et de sécurité technique –  c’est justement qu’il protège l’anonymat des cas contact et de la personne positive Covid… a contrario  et à la différence des opérations de dépistage et recherche de patients infectés/cas contact menées sur le terrain par les “brigades sanitaires” parties au système d’information Contact Covid/SIDEP.

De même, à ce propos, le projet de décret concernant Stop Covid ne prévoit pas le vote de quelque disposition autorisant expressément et limitativement telle exception au principe du secret professionnel médical, ou telle “dérogation” au droit à l’intimité de la vie privée...contrairement au Système d’Information SIDEP (articles 11 et s. de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire) qui prévoit expressément la collecte ou le partage de données à caractère personnel (identité, données de santé…) des cas contact à leur complète insu, et sans consentement préalable!

Aucune hypothèse ne doit être écartée: tout doit être, par principe, recevable si l’usage combiné de ces technologies en support de l’humain, peut maximiser le nombre de vies sauvées, éviter la banqueroute de notre économie et prévenir, par ailleurs, toute nouvelle phase de confinement dans un futur proche.

“StopCovid ou pas StopCovid ?” rappelle la problématique “Hydroxy chloroquine/ Azithromycine ou pas?”  “Port du masque obligatoire ou pas?” … La liste est longue et pourrait se poursuivre jusqu’à l’issue de la pandémie.

A l’image des controverses sans fin, depuis plusieurs mois maintenant, sur la pertinence, l’efficacité, ou l’innocuité  du traitement proposé par le Professeur Raoult, nous disposons d’ores et déjà d’un exemple à ne pas suivre.

Le gouvernement français, à défaut d’avoir su anticiper lors du démarrage de l’épidémie, doit se donner les moyens de rectifier la manœuvre, dans la phase de sortie, et les faire accepter “pour sauver des vies”, “quoi qu’il en coûte” !

Quoi qu’il en coûte….à l’Etat ….mais aussi à chacun de nous, dans les sacrifices de toute nature, comme celui de se priver volontairement dans l’intérêt général de l’une de nos libertés individuelles, à savoir,  de concéder temporairement à l’Etat notre droit au respect de la vie privée. Ces efforts, en conscience, seront notre contribution à l’effort de tous pour vaincre la pandémie.

Des actes plutôt que des claps !

Cette confiance originelle dans l’Etat de droit qui a abouti à une acceptation quasi générale du confinement, ne devrait pas être entamée par les attaques – trop souvent idéologiques et relevant du fantasme ou du postulat – opposées à cet outil qui participe, conjugué avec d’autres, de la lutte contre la pandémie.

D’autant que sa mise en place est strictement limitée dans le temps, contrôlée, et encadrée par toutes les garanties offertes par l’Etat de droit.  Si on se réclame de l’Etat de droit, on doit en accepter pleinement les règles de fonctionnement, à savoir, que l’on doit accepter de se soumettre à toutes les décisions prises après consultation de l’ensemble des organes de contrôle et de régulation mis en place au nom de l’Etat de droit, en l’espèce, notamment, aux avis du Comité Scientifique et de la CNIL, voire au vote du Parlement.

La légitimité ultime pour décider de la pertinence et de la conformité d’un tel dispositif au regard des la protection des données personnelles revient, notamment, en l’état positif du droit, à l’Autorité de Régulation et de Contrôle en charge de la protection des données à caractère personnel, à savoir la CNIL.

La CNIL – en la personne de sa Présidente – a été entendue en commission par le Sénat et l’Assemblée Nationale. Dans le prolongement, sur saisine de Cédric O, secrétaire d’Etat chargé du numérique d’une demande d’avis sur les conditions et modalités de l’éventuelle mise en œuvre du projet d’application,
la CNIL rendait, le 24 avril 2020, un premier avis favorable.

Si l’autorité de régulation relevait quelques limites conjoncturelles – telles que la part non négligeable des Français ne disposant pas d’un smartphone, les zones blanches, le sous équipement des personnes âgées, la compétence numérique i.e. la nécessité d’un paramétrage précis de l’application, le seuil minimal d’installations de cette application pour la rendre utile, etc… –  elle n’en concluait pas pour autant au défaut de conformité de l’application aux règles et principes visés par le RGPD,  la Convention n°108 du Conseil de l’Europe, et naturellement la loi Informatique et Libertés  et son décret d’application. 

La CNIL reconnaissait la pertinence d’un tel dispositif dès lors, notamment que la collecte et la conservation des données sont strictement limitées dans le temps (conservation des clés et des identifiants de l’application attachées au smartphone au plus tard six mois à compter de la fin de l’état d’urgence sanitaire; conservation  des historiques de proximité pendant quinze jours à compter de leur émission).

Saisie à nouveau pour avis par Olivier Véran, Ministre de la Santé, sur le projet de décret relatif à l’application elle-même, dans sa version définitive – après publication par l’INRIA le 12 mai 2020 du code source  – la CNIL confirmait sa précédente position sur l’avant-projet, à savoir, la conformité aux règles et principes relatifs à la protection des données à caractère personnel.

Dans son second avis suivant délibération n° 2020-056 du 25 mai 2020, l’Autorité de régulation “estime que l’application peut être légalement déployée dès lors qu’elle apparaît être un instrument complémentaire du dispositif d’enquêtes sanitaires manuelles et qu’elle permet des alertes plus rapides en cas de contact avec une personne contaminée, y compris pour des contacts inconnus“.

Rappelant queplusieurs des garanties complémentaires [qu’elle] avait demandées dans son avis du 24 avril 2020, [étaient] intégrées dans le projetet quele protocole ROBERT […] était [bien] conçu dans une logique de minimisation des donnés et de protection des données dès la conception”,

la CNIL prenait acte que:

  1. –   “le volontariat se matérialise dans toutes les composantes du dispositifce qui implique nécessairement “l’absence de toute conséquence juridique négative attachée au choix de ne pas recourir à l’application“. En d’autres termes, l’installation ou le défaut d’installation de StopCovid ne doit pas entraîner de discrimination, “négative” ou “positive“, particulièrement dans le cadre des relations employeur/salarié, ou assureur/assuré…

    –  la prise de contact entre l’utilisateur et le professionnel de santé serait recommandée mais demeurerait à la discrétion de l’utilisateur

    –   “
    l’utilisateur de l’application peut à tout moment demander la suppression de ses données de son ordiphone et de la base centrale du serveur au moyen d’une fonctionnalité mise à sa disposition dans l’application, avant la désinstallation (droit à l’effacement)

    –   l’utilisateur [peut] cesser, à tout moment, d’utiliser l’application en se désabonnant du serveur ou en désinstallant celle-ci du terminal (droit d’opposition). Ceci conduira à l’effacement des données tant en local, que sur le serveur central; les données potentiellement présentes sur le serveur central ne pouvant alors plus être rattachées à un utilisateur”

    –   “
    sont expressément exclues des finalités […] les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de toute autre recommandation sanitaire

    –   “le fournisseur de service « cloud computing » hébergeant l’infrastructure de l’application […] possède des centres de données localisés en France

    –   “les données à caractère personnel ne sont pas transférées hors de l’Union européenne” et “le traitement aura lieu exclusivement sur le territoire de l’Union

A cet avis de conformité de principe, la CNIL ajoutait quelques recommandations et correctifs à mettre en place dans la perspective du décret à venir, visant notamment à l’amélioration de l’information fournie aux utilisateurs (modalités d’effacement…), en ce, particulièrement à l’adresse des mineurs et de leurs parents.


Avant de craindre de voir atteint son droit à une vie privée,

il faut d’abord être en vie et disposer des moyens pour la nourrir.

Question de bon sens!


 

C’est le virus qui est placé sous surveillance électronique, pas les individus.

StopCovid participe objectivement de cette lutte pour la vie…des autres, sans devoir fouiller dans… la vie des autres.

 

 

Les craintes, réticences et autres critiques des “experts”, des “politiques” et autres “personnes concernées” jugeant l’application “liberticide” et “dangereuse” par son “atteinte insidieuse et inacceptable aux libertés individuelles, et notamment, au droit au respect de sa vie privée, sont-elles fondées? Techniquement, juridiquement, sinon politiquement?

 

Le président de l’INRIA, en charge du développement de l’application, interrogé sur les critiques émises par quelques uns de ses pairs, rappelait d’ailleurs un point d’évidence, immuable:  “la réalité est que des failles existent dans tous les systèmes“. En d’autres termes, comme en matière de sécurité matérielle (exemple de la porte blindée ou du coffre de banque censé être inviolable) , les systèmes informatiques, y compris les plus solides en termes de sécurité, sont l’objet de failles de sécurité, failles qui emportent pour chacun de nous, des notifications de la part des éditeurs de logiciel – Google, Apple, Microsoft, pour ne citer qu’eux – de mises à jour critiques de telle ou telle faille de sécurité dont ils ont eu connaissance, bien souvent, après des tentatives d’intrusions qui leur ont été remontées par des éditeurs de logiciels d’anti-virus ou d’anti-malware, comme Kaspersky, Norton, ou BitDefender.

 

La lecture de ces études critiques reposent sur des scenarii improbables ou sur des cas d’école. Quels que soient les protocoles ou les protections de cryptage mis en place, le risque zéro n’existe pas. Il faut simplement en avoir conscience, et rappeler que l’installation de l’application StopCovid n’est pas obligatoire et procède du consentement éclairé de la personne concernée, souhaitant participer, avec ses propres moyens, à la lutte contre la propagation du virus, pour sauver sa vie ou celles de son entourage professionnel et personnel, voire des “cas contact” dont il ignore l’identité et qu’il aura croisés dans l’espace public.

 

N’est-il dès lors pas outrancier, dans les conditions rappelées et en ce temps très spécifique d’urgence sanitaire, de qualifier “d’assignation à résidence” la mesure de confinement, et de “bracelet électronique” l’application StopCovid ? C’est là ignorer les contraintes réelles qu’emportent ces mesures de sûreté judiciaires imposées par le pouvoir juridictionnel pour des faits graves. Pour le reste, a-t-on déjà vu quiconque, en pleine conscience – sauf pour une raison “très personnelle”(sic) – décider de porter un bracelet électronique? Le bracelet électronique n’est pas un accessoire de mode!

 

Faire confiance à l’Etat qui agit en pleine transparence, avec toutes les garanties techniques et juridiques nécessaires à faire taire des anxiétés légitimes, n’est pas trop demandé lorsque dans le même temps, c’est “Eyes Wide Shut” et “Open Bar” face au “Soft Pillage” permanent que les GAFAMI font de nos données personnelles pour en faire leur trésor de guerre.

Les arguments opposés seraient recevables, in abstracto, si tant est que l’on s’accorde sur la nature de l’application, à savoir, sur les détails techniques du protocole algorithmique qu’elle implémentera (ROBERT), le contenu des données collectées, leur origine et leurs destinataires, sans oublier au premier chef, la finalité du traitement de ces données et la durée de leur utilisation et de leur conservation.

 

La surveillance électronique permanente, Big Brother, 1984, Minority Report, etc…., on y est déjà, depuis plusieurs années et ça n’est pas le fait principal de l’Etat.  C’est de notre fait… du simple fait de ne jamais se défaire en toutes circonstances du port et de l’usage de son smartphone au quotidien., en le nourrissant de l’intégralité de notre vie sociale, amoureuse, culturelle, économique, médicale…

 

Les critiques se trompent de cible. C’est vers Google & Apple qu’elles doivent se concentrer pour que ces Big Tech Cies participent à l’effort d’implémentation de l’application open-source française ou européenne dans leur système d’exploitation.

 

Le « Project Bubble » originellement ambitieux d’Apple  – auquel s’est greffé Google – a connu plusieurs étapes… avant de se réduire à peau de chagrin: d’application de “Contact Tracing” à part entière, le projet s’est mué en une infrastructure adhoc d'”Exposure Notification” destinée à “accueillir” la propre application de contact tracing (type StopCovid) que chacun des Etats aura créée, après avoir “accepté” de se “soumettre”  aux conditions imposées par le couple de circonstance Apple/Google.

On peut s’interroger quant à l’altruisme soudain des deux géants du numérique, détenteurs (il)légitimes de la plupart de nos données à caractère personnel, et quant à leur refus obstiné de collaborer avec les autorités françaises et l’Union Européenne pour assurer une interopérabilité optimale de leur application de contact tracing avec leur système d’exploitation.

Même si au sein de l’Union Européenne, la France et le Royaume-Uni sont, pour le moment, les seuls Etats à avoir refuser “l’Alliance” avec Apple/Google, il n’en demeure pas moins une volonté des Etats membres de collaborer à une interopérabilité des outils de traçage au niveau européen, comme le soulignent les Ministres/Secrétaires d’Etat en charge du numérique en Allemagne, Espagne, France, Italie et Portugal, dans une tribune commune publiée sur le site du “Monde” le 26 mai 2020.

 

A la différence de StopCovid qui est transparent dans la codification de son algorithme, Alphabet Inc’ Google et Apple n’ont pas publié…à plus ample informé… le code source de leur API mise en ligne le 20 mai 2020 sous la forme d’une mise à jour des systèmes d’exploitation iOS  (13.5+) et Android ...

Le système Apple/Google n’est pas une application de contact tracing autonome, à la différence de StopCovid. En outre, le système opère une transmission entre tous les smartphones d’identifiants chiffrés de personnes diagnostiquées ou testées positives, s’apparentant in fine à une véritable circulation entre tiers de véritables diagnostics médicaux, conservés sur des smartphones dont on sait la grande vulnérabilité informatique (à la différence des serveurs présentant des vulnérabilités autrement plus résiduelles, par comparaison) ; le dark web s’est déjà mis à l’ouvrage d’attaques et de scenarii mettant à risques ces identifiants stockés sur ces mobiles.

Toujours dans cet esprit de pleine transparence innervant le projet depuis l’origine, L’INRIA, associée à l’ANSSI et à la startup de “gentils hackers” YesWeHack, a décidé de lancer le 27 mai 2020 (jour du vote non contraignant au Parlement sur le projet StopcCovid) un défi BugBounty aux experts en cybersécurité, chasseurs de bugs …et de primes pas que pour l’honneur (comme c’est l’usage d’ailleurs pour nombres d’autres logiciels/applications) afin de chercher (et éventuellement trouver) quelque faille ou vulnérabilité au programme StopCovid.

 

Bruno Sportisse, Président de l’INRIA  – dans sa publication ” « Contact tracing » : quelques éléments pour mieux comprendre les enjeux avait déjà fourni des explications complètes, claires et détaillées, de manière pédagogique et didactique, avant la publication du code source – sous iOS d’Apple/ sous Android – et des éléments de la version finalisée de l’application: elles restent d’actualité.

 

Cette application est un dispositif de “tracing” dont le protocole de communication repose sur la technologie Bluetooth de “proximity tracing”.

StopCovid n’est pas un dispositif de “tracking” en temps réel utilisant les données de bornage GSM ou de géolocalisation envoyées par les smartphones des personnes infectées et de ceux s’étant trouvés près de ces dernières dans les 14 jours précédents, à l’instar des méthodes de surveillance électronique de masse mises en place pour lutter contre le terrorisme, dans certains Etats (Chine) ou contrôler la bonne observation des mesures de confinement (Corée du Sud..)

Ce n’est pas une application de surveillance : elle est totalement anonyme; Sa conception permet que PERSONNE, pas même l’Etat, n’ait accès à la liste des personnes diagnostiquées positives ou à la liste des interactions sociales.

La seule information qui est notifiée est que le smartphone du “cas contact” s’est trouvé dans les jours précédents, pendant plusieurs minutes, à proximité du smartphone d’au moins une personne qui a, depuis, été testée positive et s’est déclarée dans l’application.

Ce n’est pas une application de délation : elle ne fournit aucune information au “cas contact” sur la personne diagnostiquée COVID qui s’est déclarée positive. A l’inverse, cette dernière n’est pas non plus destinataire de quelque information concernant les “cas contact” qu’elle aura approchés les jours précédents.

L’installation de l’application n’est pas obligatoire.

Les informations entre le serveur et les smartphones, et entre les smartphones eux-mêmes, circulent sous la forme de « crypto-identifiants », des données pseudonymisées, en général générées de manière éphémère (typiquement, pour une période de 15 minutes) et associées à un terminal et non à une personne.

Le détenteur du smartphone, en laissant le bluethooth activé, permet à son application de construire un historique des crypto-identifiants rencontrés lors des déplacements, « à proximité », pendant une durée de quinze jours, à compter de l’émission ; si la personne est diagnostiquée positive, elle fait remonter son historique de crypto-identifiants rencontrés sur un serveur d’une autorité de santé (par exemple), sans divulguer au serveur son (ses) propre(s) crypto-identifiant(s).

A l’image de “TraceTogether” mis en place à Singapour, “StopCovid” se veut une application “open source” reposant sur le protocole ROBust and privacy-presERving proximity Tracing ROBERT” pour les intimes (sic) – ouvert à la connaissance et à la critique de tous, développé par une équipe de chercheurs français et allemands, respectueuse des  valeurs européennes promues par le RGPD notamment, qui permettrait à chacun, au moment de l’allègement progressif des mesures de confinement, d’être alerté sur la probabilité d’avoir été en “contact”, dans les jours précédents (quinze jours), avec une personne diagnostiquée COVID;  ce risque de “suspicion d’infection” devant aussitôt conduire le “cas contact” alerté à se faire tester sans délai et à prendre, seul, ou avec l’aide des autorités sanitaires, les mesures nécessaires pour s’isoler.

 

Pour décider de la pertinence d’un tel dispositif, revenons à un pragmatisme plus “provençal” sinon plus “Raoultien” (sic) de sorte de n’utiliser que de manière ciblée le faible nombre de tests à disposition, et de n’employer “l’humain” – des “brigades” de “sous-traitants sanitaires” appelées à intervenir et en nombre relativement restreint – qu’à bon escient !

 

 

Une présentation vidéo de l’application, postée par Cedric O, est visible sur son compte Twitter.

 

 

Publié le 27 avril 2020 – Actualisé le 26 mai 2020