STOP-COVID Combattre la Pandémie Sans Infecter la Démocratie

Ce mardi 28 Avril 2020, le Premier Ministre Edouard Philippe a été entendu devant le Sénat notamment pour le projet STOP-COVID préparant la sortie du confinement imposé par la pandémie du COVID-19

L’INRIA a développé le protocole “Robert“- ROBust and privacy-presERving proximity Tracing protocol– associé avec des acteurs publics et privés (ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France, Withings). Voir le détail du projet disponible sur GitHub.

I) Un programme commandé par un état démocratique pour tenter de « tracer » les déplacements de ses citoyens

Ce projet devrait servir de base technique à l’application “StopCovid” française. Un projet qui suscite beaucoup de controverses, à la fois techniques et éthiques.

Le projet retenu par le gouvernement est le modèle centralisé de traçage des contacts à l’aide d’une application sur téléphones mobiles par Bluetooth expliqué plus en détail ci-après.

IA)-La pandémie COVID et sa vitesse de propagation impose sans contestation justifiée une réponse forte, rapide et adaptée aux technologies, à disposition du gouvernement.

L’économie du pays a été mise à mal par le confinement, notamment contraint par des difficultés révélées a posteriori sur l’état stratégique des stocks de masques « barrières », qui perdure depuis plusieurs semaines.

Le confinement a pu être durement vécu par les catégories sociaux-économiques les plus défavorisées ou celles subissant un regroupement imposé dans des habitats inadaptés.

Les cas de violences domestiques sont en nette recrudescence.

Le nombre de cas de contamination est resté en constante augmentation et le corps médical au bord de la crise de nerf s’est révélé d’une exemplaire dévotion.

On se souviendra que dès avant la pandémie les hôpitaux étaient déjà en grève protestant de leur manque de moyens et surcharges de travail.

IB)-L’impérieuse nécessité de généraliser des moyens de traçage comme mesure utile parmi toutes celles conseillées au gouvernement par le Haut Conseil de la Santé Publique, composé principalement de sommités médicales, et donc nécessaire pour tenter de répondre à la propagation erratique de cette pandémie malgré l’atteinte que cette méthode à la règlementation.

Il est ainsi apparu nécessaire, suivant les exemples de la Chine, de la Corée du Sud ou de Singapour, de prendre des mesures de relâchement du confinement en « traçant » les cas de contacts pour éviter de dire « tracker » les citoyens.

Au nom de la démocratie, refusant les methodes de régimes totalitaires, il est vite apparu nécessaire que le traçage soit volontaire et non imposé.

Le géotagging comme mis en place par Orange Telecom a montré les déplacements de population vers des zones non urbains dès l’annonce du confinement. Certaines iles de l’Ouest de la France ont vu leur population augmentée de 30%.

La géolocalisation par GPS ne peut être anonymisée car trop souvent l’adresse d’habitation révèle l’identité de la personne. Est alors apparue la nécessité de rechercher une solution plus conforme. Lire : « Coronavirus : huit opérateurs européens, dont Orange, vont fournir les données de localisation de leurs clients ».

Le Contrôleur européen de la protection des données CEPD a publié fin mars des commentaires sur le projet de la Commission européenne de collecter massivement les métadonnées des télécommunications pour lutter contre la pandémie de COVID-19. Points clés :

  • indique que les données seront anonymisées. Le CEPD souligne qu’une anonymisation efficace “nécessite plus que la simple suppression des identifiants évidents tels que les numéros de téléphone et les numéros IMEI“. L’agrégation est une garantie supplémentaire ;

II)-Comment répondre à la pandémie par des solutions respectueuses des valeurs démocratiques

La présidente de la CNIL, Mme Denis a été entendue par le Parlement puis par le Sénat.

  • Tout en reconnaissant la légitimité des objectifs poursuivis par le projet, la Commission tient à rappeler, au vu de l’urgence, que quel que soit le contexte, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être mises en œuvre. Ainsi, elle estime que des mesures juridiques et techniques adaptées devront être prévues afin d’assurer un haut niveau de protection des données. 

La Commission indique par ailleurs que cet avis rendu dans un délai très bref et dans un contexte de crise sanitaire mondiale exceptionnelle, ne préjuge en rien de l’analyse qu’elle produira au fond tant sur les plans juridique que technique, s’agissant de la mise en œuvre de manière pérenne de la Plateforme des données de santé, notamment à des fins de mise à disposition des données du Système national des données de santé (SNDS), ainsi que sur le décret d’application prévu à l’article L. 1461-7 du code de la santé publique, qui sera modifié suite à l’adoption de la loi du 24 juillet 2019.

Le Conseil National du Numerique CNNum, après consultation de plusieurs organisations dont la CNIL, a rendu son avis favorable  le 20 avril. Le Conseil émet 15 recommandations reprises par le Numerama, pour rendre l’application StopCovid acceptable. L’instance consultative se dit favorable à l’emploi d’un tel programme :

  • « ​Ce type d’application n’est qu’une partie de la réponse sanitaire ​dont l’efficacité dépendra sûrement plus des mesures de distanciation sociale et de la mise à disposition de tests »

Il est intéressant de trouver parmi les recommandations :

En réalité l’application n’a aucune fonction de cure mais mise plutôt sur l’altruisme des utilisateurs à vouloir prévenir ceux avec qui ils seraient entrés en contact dans l’hypothèse d’un diagnostic COVID positif.

Le coût de cet altruisme va être un téléphone sous connexion Bluetooth permanente qui drainera la batterie et mettra la sécurité des données personnelles accessibles à partir du téléphone en danger – va-t-on assister à une nouvelle épidémie de ‘poches en feu’ du à la chauffe des batteries ?

Aussitôt après l’avis du CNNum, dès le dimanche 26 avril la CNIL a publié un nouvel avis à lire entre les lignes. Pour la CNIL qui ne s’oppose pas au principe, il est important que l’adoption soit volontaire, que les données soient pseudonymisées, l’anonymisation ne pouvant être garantie et donc le RGDP s’appliquera, que la collecte soit limitée au stricte nécessaire s’assurant qu’aucune donnée ne sera conservée après la période d’urgence. Au-delà de tout le principe de proportionnalité et nécessité doivent présider au choix de l’opération.

  • L’analyse du protocole technique par la Commission confirme cependant que l’application traitera bien des données personnelles et sera soumise au RGPD. Elle attire l’attention sur les risques particuliers, notamment de banalisation, liés au développement d’une application de suivi qui enregistre les contacts d’une personne, parmi les autres utilisateurs de l’application, pendant une certaine durée.

Dans son avis du 24 Avril, la CNIL  appelait à la vigilance et soulignait que l’application ne pouvait être déployée que si son utilité était suffisamment avérée et si elle était intégrée dans une stratégie sanitaire globale. Elle demandait certaines garanties supplémentaires. Elle insistait sur la nécessaire sécurité du dispositif, et faisait des préconisations techniques. La CNIL rappelait surtout que l’utilisation d’applications de recherche des contacts doit s’inscrire dans une stratégie sanitaire globale et appelait, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ».

Auditionnée par le Sénat le mercredi 15 avril, la présidente de la CNIL, Marie-Laure Denis, demandait au gouvernement que l’application de traçage des malades du Covid-19 soit réellement « temporaire ». Mais entre le peu d’équipement des personnes âgées, l’adhésion au dispositif et sa combinaison avec les tests et masques, c’est son efficacité qui pose question.

  • Marie-Laure Denis souligne l’importance de bien définir « les finalités » des objectifs, qui doivent rester « proportionnées » à leur atteinte. A savoir, « les solutions les moins intrusives » et selon « un caractère temporaire », « point essentiel ».
  • « Il faut vraiment que sa durée n’excède pas la durée nécessaire au traitement de la crise sanitaire » insiste la présidente de la Cnil, avec « une suppression de données ». Il est ainsi « important qu’on puisse désinstaller l’appli. Ça rejoint la question du consentement ».

Le Président du European Data Protection Supervisor invité par le Sénat, a adressé ses remarques dans la soirée du 27 avril, abondant dans le sens de la CNIL et appelant à la prudence et réserves quant à l’opportunité de recourir à une mesure de traçage des populations. Insistant sur le fait que ces mesures, si elles étaient justifiées, devraient être confinées et limitées à la période d’urgence. Il rappelle par ailleurs l’importance d’une mesure commune pan-européenne.

UPDATE :

Avis sur le suivi numérique des personnes

La Commission nationale consultative des droits de l’homme (CNCDH) s’est autosaisie pour alerter les pouvoirs publics sur les dangers pour les droits fondamentaux de toute application de suivi de personnes et des contacts, en particulier sur le droit à la vie privée.

Si les avis d’experts ont insisté sur le caractère optionnel de l’utilisation de l’application, s’agissant de données de santé à caractère ‘special’ au sens de l’Art.9 [_RGPD09_] du RGDP, le consentement expresse est requis. Quid des employés utilisant l’application à la demande de leur employeur sachant que le consentement ne peut être libre et admis dans le cadre des relations du travail ou l’employeur dispose d’un pouvoir de dissuasion ?

IIA)-En l’absence d’un système de santé cohérent et préparé à une pandémie de celle du COVID, la fin peut-elle justifier les atteintes à la vie privée ?

La question majeure ici est de savoir si la protection des données collectées peut être d’une part garantie et d’autre part, permettre d’atteindre le but poursuivi.

A ce niveau de vitesse de propagation du virus en considération du nombre déjà important de sujets infectés, malades ou porteurs sains, il est difficile de voir comment le traçage des contacts pourrait apporter ce que le port de masques, le lavage des mains, la prise de température à l’aide d’inoffensifs thermomètres ou mieux encore, les tests de dépistages ne pourraient apporter sans poser de menace quelconque sur la vie privée.

Au surplus, la Présidente de la CNIL a rappelé une étude de l’université d’Oxford qui semble affirmer que le succès d’un tel traçage ne pourrait être effectif que si au moins 60% de la population optaient pour son application.

IIB)-La proportionnalité et la durée prévue pour ce « traçage » démocratisé pour l’occasion devront être effectivement assortis de garanties très sérieuses pour lesquelles les institutions et autorités de surveillance des violations du RGPD se sont toutes mobilisées.

a)-Regardons plus en détail les promesses des concepteurs de cette application.

Tout d’abord, le gouvernement qui a rejeté le projet décentralisé d’Apple et de Google, pour notamment des raisons de souveraineté que l’on comprend aisément, a du mal à obtenir leur collaboration. Cette position n’est pas simplement une position de mauvaise foi, en effet, l’ouverture de l’accès Bluetooth met en danger les données personnelles des utilisateurs de smartphones.

En préliminaire, sachant que la propagation peut se faire par contact de quelques mètres, probablement jusqu’à 4 m, la mesure des distances par Bluetooth a ses limites et manque de précision. Le Bluetooth pourrait transpercer des barrières que le virus ne transpercerait ou à l’inverse, le Bluetooth pourrait être obstrué par des barrières qui laisseraient le virus s’épendre. Aux dires de l’inventeur meme du Bluetooth, cet instrument de mesure n’est pas suffisamment fiable.

Un certain nombre de spécialistes en cryptographie, sécurité ou droit des technologies ont soulevé de sérieuses réserves sur les multiples abus, détournements et autres comportements malveillants qui pourraient émerger de ce type de système. Voir à cet effet l’analyse d’impact publié par le Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.

b)-Par ailleurs, le fonctionnement du système implique un accès permanent à la fonction de Bluetooth, ce qu’empêche iOS, le système d’exploitation mobile d’Apple, pour des raisons de confidentialité et de gestion énergétique.

Le secrétaire d’Etat lui-même n’a pas manqué de rappeler que les iPhones représentent 20% des mobiles en France, admettant que l’application StopCovid ne pourra pas fonctionner correctement sur le mobile d’Apple. Il annonce avoir demandé une dérogation spécifique au fabricant pour offrir au gouvernement un accès spécifique aux fonctions des iPhone. Une demande qui n’a pour le moment pas abouti.

Pour ce qui est des téléphones Android, plusieurs des dernières versions limitent l’usage du Bluetooth. Par ailleurs, les smartphones iOS et Android, afin de gérer l’utilisation de leur mémoire vive, sont programmés pour “éteindre” les applications utilisées en arrière-plan, telle que pourrait l’être StopCovid, notamment sur les appareils les moins puissants. Un problème que le gouvernement devra également solutionner sans l’aide d’Apple et Google, les seuls à avoir la main sur les écosystèmes iOS et Android.

Cédric O a confirmé que la France choisissait le bras de fer avec Apple pour obtenir un passe-droit sur le Bluetooth, au risque de mettre en danger la vie privée des utilisatrices et utilisateurs d’iPhone. Sans cela, StopCovid ne fonctionnera pas.

Apple et Google ont précisé les évolutions apportées à leur interface de programmation permettant de faire du contact tracing par application. Sécurisée et personnalisable, elle ne permettra pourtant pas aux États de greffer un protocole maison complet par dessus.

c)- Les applications de traçage doivent pouvoir évaluer précisément la distance d’une personne.

Il est à craindre que de fausses alertes puissent être détectées notamment à travers un mur. Cette margine d’erreur représente en soi un danger notamment pour des personnes âgées ou présentant des pathologies préexistantes, tant sur le point de la santé que l’impact socio-économique d’un tel signalement abusif.

d)- Il faut néanmoins s’attendre à des détournements d’une telle technologie, quels que soient les détails de sa mise en œuvre et les garanties promises.

La Quadrature du Net, de son coté, n’a pas manqué d’alerter les pouvoirs publics sur les risques inhérents à ce type de surveillance.

III- La question majeure est ici de savoir si la protection des données collectées peut être d’une part garantie et d’autre part, permettre d’atteindre le but poursuivi.

Les différents systèmes existants :

Les acronymes de la plupart des systèmes mentionnés précédemment promettent de «respecter la vie privée des utilisateurs».

La différence majeure réside entre les systèmes centralisés ou non centralisés. « Dans une approche décentralisée, ces opérations sont réalisées sur l’appareil de l’utilisateur et les informations transmises au serveur central sont limitées au maximum. Dans le cas d’un protocole décentralisé comme DP3T par exemple, les utilisateurs génèrent eux même les crypto-identifiants sur les téléphones et les échangent via bluetooth lors d’une interaction prolongée. Lorsqu’un utilisateur est infecté, il déclare auprès du serveur central la liste des identifiants rencontrés récemment. Les autres utilisateurs vont périodiquement télécharger depuis le serveur central cette liste d’identifiants ayant rencontré une personne infectée et comparer avec la liste stockée sur leur appareil afin d’indiquer à l’utilisateur si oui ou non il a pu être exposé. D’autres protocoles reposant sur des choix d’architecture similaire ont également vu le jour, tel que TCN ou encore PACT. » explique Louis Adam de ZDNet.

Dans son Avis le Conseil national de l’Ordre des médecins sur les enjeux du traçage numérique rappelle :

  • L’efficacité d’une application de suivi des interactions sociales repose sur une utilisation importante au niveau populationnel, nécessitant un équipement par smartphone. L’Ordre s’interroge également sur son efficacité au regard de la fracture numérique et générationnelle. Son déploiement doit en outre être associé à une stratégie de dépistage massif.
  • L’enregistrement des données médicales ne doit pas être alimenté par le médecin et il ne doit pas y avoir de croisement possible des données avec un fichier de santé. L’anonymat doit être garanti pour l’enregistrement des données et la conservation de celles-ci doit être limitée dans le temps sans interconnexion de fichiers.
  • Dans ces conditions, dans le respect de la réglementation en vigueur et des préconisations de la CNIL, un tel traçage peut présenter un intérêt intégré à l’ensemble du processus de déconfinement mais il ne peut en être l’élément central.
     
    Le « tracking » correspond à un traçage systématique des déplacements des personnes. Il ne repose pas sur l’adhésion de la personne et comporte une obligation de déclarer son état de santé. Il  repose sur un système de géolocalisation, n’apportant aucune garantie au regard des libertés individuelles à préserver. Opposable à un citoyen pour sa prise en charge il pourrait de plus, être interconnectable avec d’autres fichiers. Il s’agit d’une méthode trop liberticide par rapport à la protection des libertés individuelles.

Reste à savoir à quel moment un individu est diagnostiqué et surtout qui et comment va notifier les contacts.

Comment garantir l’anonymat ?

Les fichiers sont pseudonymisés, pouvant être désanonymisés à l’aide d’autres informations comme celles collectées par les antennes Bluetooth ou encore par adresse IP. D’où les conditions d’application du RGDP et non le ePrivacy

Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui au surplus, s’agissant de données médicales sont de la catégorie des données sensibles qui ne peuvent en principe être traitées que sous certaines conditions strictes. Art. 9 [_RGPD09_]

Toute collecte de donnée met inévitablement en danger les données stockées.

D’ores et déjà, plusieurs attaques informatiques ont ciblé des centres de collecte de données. Une entreprise de recherche chinoise de première ligne COVID-19 signalée piratée : les données sont maintenant sur le Dark Web reporte le Magazine Forbes ; ou bien le site de l’OMS comme reporte par SC Magazine.

L’accès à ces données pourra représenter un danger non négligeable. Une exploitation criminelle n’est pas exclue avec des conséquences socio-économiques importantes.

Le simple fait d’activer le Bluetooth, et donc d’exposer l’accès aux données du téléphone, pose des problèmes de sécurité et de respect de la vie privée.

Les chercheurs français mettent en garde contre les applications de traçage

  • Toutes ces applications induisent en fait des risques très importants quant au respect de la vie privée et des libertés individuelles. L’un d’entre eux est la surveillance de masse par des acteurs privés ou publics, contre laquelle l’Association Internationale de Recherche en Cryptologie (IACR) s’est engagée à travers la résolution de Copenhague. Cette surveillance de masse peut être effectuée via la collecte du graphe des interactions entre les individus, le graphe social. Elle peut intervenir au niveau des systèmes d’exploitation (OS) des téléphones portables. Non seulement les producteurs d’OS pourraient reconstruire le graphe social, mais l’État aussi, plus ou moins facilement suivant les solutions proposées.
  • De nombreux autres risques existent, variables suivant les choix techniques, dont par exemple le géo-traçage d’individus, et la levée de l’anonymat des malades par des entités ou par les fournisseurs d’accès internet (voir notamment https://risques-tracage.fr/). Les risques d’atteinte à la vie privée liés aux technologies Bluetooth sont reconnus depuis bien avant la crise sanitaire, c’est la raison pour laquelle les OS en restreignent fortement l’utilisation par les applications.
  • Il est crucial que le bénéfice sanitaire d’une solution numérique soit analysé en profondeur par des spécialistes, et suffisamment avéré et important pour justifier les dangers encourus. Si le principe de déploiement d’une telle application devait être adopté malgré les dangers, une transparence complète est attendue dans son développement et son déploiement: tous les choix techniques doivent être documentés, argumentés et assumés par les parties responsables; le protocole et son implémentation doivent être documentés, publics et faire l’objet d’audits indépendants.

Plusieurs chercheurs (dont certains de l’Inria) ont publié sur un site web des exemples de la façon dont ces applications de contact tracing, centralisées ou non, pouvaient être utilisées à des fins malveillantes. Cette série d’exemples vient mettre en lumière les risques liés au déploiement de ces technologies et les dérives possibles qu’elles pourraient occasionner. On finira donc peut-être par voir arriver l’application StopCovid promise par le gouvernement français il y a maintenant trois semaines, mais le chemin risque encore d’être long…” reporte ZDNet.

Au 24 avril, le Conseil d’Etat était saisi de 151 requêtes, il a d’ores et déjà rendu 85 décisions. On dénombre 76 rejets (58 au tri ou sans audience soit 76%), 6 non-lieux/désistements, 2 annulations de décisions TA & 1 satisfaction partielle durcissant la mesure…

Pour la Quadrature du Net «StopCovid est un projet désastreux piloté par des apprentis sorciers »

Au vu d’une multitude de mise en garde,

Nous apprenons que finalement, la mise en route du projet aurait été retardée.

A lire : l’annonce du Premier Ministre.

Samuel Stolton d’EURACTIV rapporte :

La nouvelle survient alors que le Conseil de l’Europe a averti ce mardi 28 avril des effets secondaires négatifs de l’utilisation de certaines applications mobiles, déclarant que des évaluations d’impact de l’efficacité de ces technologies devraient être effectuées avant leur utilisation. Plusieurs organisations de défense des droits ont lancé des appels à la mise en œuvre d’une approche décentralisée.

«Les systèmes de traçage des contacts numériques devraient être basés sur une architecture qui repose autant que possible sur le traitement et le stockage des données sur les appareils des utilisateurs individuels», a écrit le CdE, mais a ajouté que des vulnérabilités existent toujours dans les deux protocoles.

L’eurodéputé vert et avocat Sergey Lagodinskyinsiste insiste sur le fait que ces types de technologies de recherche des contacts «ne peuvent être pris en charge que si les données sont collectées avec le consentement de l’utilisateur, affectées à des fins spécifiques, pour une durée limitée uniquement, et si ces données sont stockées de manière décentralisée. »

Les ministres de la santé de l’UE se sont réunis en visioconference avec la commissaire à la santé Stella Kyriakides, le chef du marché intérieur Thierry Breton et le commissaire à la justice Didier Reynders pour discuter de la manière dont les solutions numériques pourraient être mises à profit pour retracer la propagation du virus, dans le but de “désamorcer” les mesures de confinement.

Alors que certains États membres ont déjà des applications fonctionnelles en place, dans la plupart des États membres, elles sont toujours en cours de développement“, a déclaré une lecture de la Commission, ajoutant que les pays ont appelé le bloc à assurer l’interopérabilité dans les applications de traçage des contrats mises en place.

Dans le cadre d’un récent ensemble d’orientations convenu entre la Commission et les États membres, surnommé la “boîte à outils commune de l’UE pour les États membres pour les applications mobiles dans la lutte contre le COVID-19”, le bloc a mis en garde contre le traitement et le stockage des données de localisation.

Le document recommande également que les technologies ne soient utilisées que sur une base volontaire et doivent mettre en œuvre des technologies respectueuses de la vie privée en utilisant uniquement des données anonymisées.

IV – Le Contexte Européen

Ailleurs en Europe, le gouvernement belge vient de renoncer à la mise en place d’une telle application, ‘Israël a infléchi sa politique en la matière et que la Suisse envisage d’installer un système plus décentralisé, en France, la CNIL (Commission Nationale Informatique et Libertés) a demandé hier au gouvernement un certain nombre de garanties supplémentaires en matière de protection de la vie privée.

L’Angleterre a rejeté la solution de Apple et Google et souhaite adopter un système centralisé NHSx proche de la France. Des auditions d’experts ont eu lieu ce jour.

L’Allemagne opterait plutôt pour le système décentralisé Apple et Google.

EN CONCLUSION

Il reste enfin que la question du coût de tels projets reste inconnu rendant l’évaluation de leur légitimité encore plus difficile. Il est à penser que cette épidémie qui a été la cause de la mise à l’arrêt volontaire de l’économie mondiale et ses graves conséquences à venir sur les entreprises, n’aurait pas pris de telles proportions en présence d’un système de santé cohérent et préparé à une telle épidémie qui a dégénéré en pandémie sans qu’aucune démocratie n’ait prévue qu’elle puisse franchir ses frontières …

La transparence et un control régulier de la CNIL sont en tous cas essentiel.

La balance de la bascule de l’équilibre qu’impose le traçage, comme l’une des mesures aidant au combat contre la propagation non maîtrisée de ce virus, aurait imposé plus de rigueur pour démontrer la proportionnalité de l’atteinte aux protections de la vie privée causées par l’Etat d’Urgence Sanitaire.

Le danger est ce que la Présidence de la CNIL appelle une accoutumance au tracking.

Lorsque le génie sort de la bouteille il devient bien difficile de l’y renfermer et les réticences d’Apple sur l’immixtion dans son système d’exploitation en dit long.