Ce qu’il faut savoir du traçage électronique

Avec la CoViD-19, plusieurs pays se sont lancés dans une course à la création d’applications de traçage électronique pour téléphones intelligents. Cela soulève un grand nombre de questions.
Partagez
Tweetez
Envoyez

Publié 30/06/2020 par Stéphane Desjardins

Le traçage, c’est-à-dire le fait de suivre des personnes à la trace, est un des outils les plus éprouvés pour limiter la propagation d’une épidémie: on a ainsi combattu la rougeole ou le VIH.

Avec la CoViD-19, plusieurs pays se sont lancés dans une course à la création d’applications de traçage électronique pour téléphones intelligents.

Comment ça fonctionne

À l’aide de la technologie Bluetooth, l’application retrace tous vos déplacements. Elle vous avertit si vous avez côtoyé une personne potentiellement infectée par la CoViD, à moins de 2 mètres et pendant plus de 15 minutes, et vous invite à vous faire tester.

Si c’est vous qui avez été déclaré positif à la CoViD-19, vous en avertissez l’application, qui alerte la santé publique et lui envoie les données de géolocalisation ainsi que celles des personnes que vous avez croisées. L’application conserve ces données pour qu’on puisse aussi retrouver l’individu qui vous a peut-être contaminé.

Vitesse

L’avantage (théorique, pour le moment) du traçage électronique sur le traçage conventionnel, c’est sa vitesse.

Publicité

La santé publique et les individus potentiellement contaminés sont avertis plus rapidement, évitant potentiellement d’envoyer des personnes inutilement en quarantaine si l’application révèle qu’elles n’ont pas été en contact rapproché avec la personne contaminée.

Pour que ça fonctionne, toutefois, il faut que l’application soit suffisamment répandue: votre téléphone ne peut détecter que vous avez croisé une personne infectée ou potentiellement infectée que si cette personne possède, elle aussi, l’application.

Téléchargements

Le taux d’appropriation (soit le nombre de citoyens qui téléchargent l’application) est fondamental à la réussite de l’opération. Plus il est faible, moins l’application est efficace. D’autant plus que ce téléchargement est volontaire.

Des chercheurs de l’Université d’Oxford, cités par la BBC, estiment que pour qu’une application soit efficace, le taux d’appropriation doit être de 56% (ce qui équivaut, au pays de Sa Majesté, à 80% des propriétaires de téléphones intelligents).

Ce taux, jugé ambitieux par les chercheurs, permettrait même selon eux de stopper l’épidémie.

Publicité

Convaincre les gens

Une équipe d’économistes du comportement travaillant avec des chercheurs de l’Université d’Oxford ont sondé 6000 utilisateurs potentiels au Royaume-Uni, en France, Allemagne, Italie et aux États-Unis: entre 67,5% et 85,5% des gens seraient disposés à télécharger une application pour la CoViD-19.

Une fois qu’on leur explique en détail son fonctionnement, le taux d’appropriation dépasse même les 80%.

Sur le terrain

Dans la réalité, ça ne fonctionne pas. Par exemple, près de 40% des Islandais ont téléchargé l’application gouvernementale de traçage Ranking C-19, un des taux les plus élevés au monde. Mais les autorités ont estimé que son impact a été minime dans la lutte contre la CoViD-19.

À Singapour, une application similaire lancée le 20 mars avait séduit le cinquième de la population au 20 avril, ce qui se traduisait par une probabilité de 4% que deux détenteurs de l’application puissent se croiser.

Pourquoi les gens ne téléchargent-ils pas l’application? Ils ne sont pas au courant, n’ont pas le temps, oublient, n’y croient pas, craignent la mauvaise utilisation des données ou la surveillance à distance de leurs comportements.

Publicité

De plus, de nombreuses personnes n’ont pas de téléphones intelligents, notamment les aînés, surreprésentés chez les victimes de la CoViD-19.

 

Différentes approches

Depuis le début de la pandémie, plusieurs équipes se sont lancées dans le développement d’applications de traçage. Le 20 mai, Google et Apple ont lancé une API (interface de programmation) commune à partir de laquelle des applications peuvent être développées.

La plupart des applications se contentent de conserver les données dans le téléphone, comme le préconisent Google et Apple. Certaines enregistrent vos déplacements dans la mémoire de l’appareil et vous donnent le choix d’envoyer ou non les données aux autorités.

Les applications transmettent les données selon deux approches: centralisée ou non.

Publicité

Avec l’approche centralisée, l’application (ou l’API du téléphone) transmet à une base de données centralisée les informations personnelles anonymisées de l’utilisateur (sous forme de pseudonyme) et les données concernant les autres personnes potentiellement infectées.

Les gestionnaires de la base de données (normalement, l’équipe de la santé publique) épluchent alors les données pour contacter les personnes potentiellement infectées.

Dans l’approche décentralisée (privilégiée par Google et Apple), le téléphone ne fournit que les informations personnelles anonymisées. C’est l’application qui exploite la base de données et alerte tant les autorités que les personnes potentiellement infectées.

Et une fois la pandémie passée?

L’approche centralisée/décentralisée suscite un débat. Avec la première, qu’arrivera-t-il aux données stockées sur un serveur central après la pandémie? Seront-elles détruites ou utilisées à d’autres fins, comme la surveillance de masse ou le marketing?

L’Allemagne, qui avait initialement choisi l’application PEPP-PT développée par 130 scientifiques européens, s’est ravisée en adoptant l’approche Google-Apple le 26 avril.

Publicité

Le 10 juin, Ottawa a préféré Covid Shield, une application développée par la firme Shopify, d’Ottawa, qui est basée sur l’approche décentralisée Google-Apple, à COVI, de l’Institut québécois d’intelligence artificielle (MILA) dirigé par Yoshua Bengio.

Le problème Bluetooth

Toutes ces applications dépendent surtout de la technologie Bluetooth. Or, son utilisation continue draine grandement la batterie du téléphone, surtout pour les appareils Apple, car le téléphone doit toujours être en fonction et déverrouillé.

Les récentes mises à jour Android et IOS devraient régler ce problème, qui affecte le taux d’appropriation.

La nouvelle API développée par Google et Apple contourne le problème en instaurant des fonctionnalités qui permettent aux téléphones de collecter des données en mode arrière-plan (background) et en économie d’énergie (Bluetooth Low Energy). L’approche, testée au Royaume-Uni, a démontré que la batterie ne perd plus de son énergie, surtout pour les iPhone plus récents (modèles 4S et plus).

Faux positifs

Peu importe l’application, la portée du Bluetooth dépasse les 1,5 mètre de distanciation sociale, écrit le New Scientist. Et elle varie grandement selon le modèle de téléphone ou si vous êtes à l’intérieur ou à l’extérieur.

Publicité

Deux personnes situées dans des pièces différentes ou séparées par des cloisons pourraient être signalées comme ayant été en contact par l’application, ce qui provoquerait une augmentation importante des faux positifs.

Protection des données

Les critiques principales portent sur la protection des données. Plusieurs experts en informatique soulignent que même Desjardins s’est fait piéger, alors qu’on y appliquait les normes sécuritaires les plus strictes.

À la mi-avril, 300 scientifiques internationaux ont publié une lettre où ils se préoccupent des technologies de traçage électronique pouvant mener à une surveillance de masse sans précédent, incitant les autorités à rejeter l’approche centralisée.

Le 16 juin, Amnistie International publiait une analyse technique de 11 applications de traçage utilisées en Afrique du Nord, en Europe et au Moyen-Orient jugées mauvaises et même dangereuses pour les droits humains, notamment celles déployées à Bahreïn, au Koweït et en Norvège, qui sont assimilées à des outils de surveillance de masse.

Ces applications, constate l’organisme, procèdent à de la localisation en direct ou quasiment en direct en envoyant des données de géolocalisation à un serveur central, sans tenir compte du droit du respect à la vie privée.

Publicité

Au Koweït, l’application est couplée avec un bracelet Bluetooth (obligatoire pour les personnes confinées) pour s’assurer que l’utilisateur reste proche de son téléphone.

Amnistie a aussi averti le Qatar que son application, obligatoire, contenait une faille de sécurité exposant les données personnelles de plus d’un million de personnes. La vulnérabilité a été réparée fin mai.

Lois inadaptées

En réaction aux critiques, plusieurs équipes de recherche ont développé des protocoles de protection de la vie privée, notamment à Singapour, en Europe et au MIT, cite la revue Nature.

Au-delà des tentatives d’améliorer la protection des données par des solutions technologiques, les lois encadrant la gestion, la surveillance, l’exploitation et la protection des renseignements personnels sont dépassées et inadaptées aux technologies actuelles, spécialement aux applications de traçage.

Quel est le cadre légal entourant l’utilisation des données, en regard à la protection de la vie privée? L’information colligée par nombre de ces applications est disponible en permanence dans des banques de données. À qui appartiennent-elles?

Publicité

Garanties?

Quelles sont les garanties que l’organisme collecteur ne se serve des données à d’autres fins que celles affichées dans la déclaration de consentement du consommateur? Facebook, Google et Apple ont tous transgressé ces déclarations par le passé.

Les promoteurs de ces applications disent qu’ils ne transmettent pas les données nominatives (même sous forme de pseudonymes) aux autorités. Mais pour qu’elles soient efficaces du point de vue du traçage, il faut que le numéro de l’appareil soit relié à son propriétaire pour pouvoir le retracer…

Mandat de perquisition

Autre exemple, si les policiers soupçonnent une personne d’un crime grave et que celle-ci a une application de traçage, rien ne les empêche d’obtenir un mandat de perquisition pour obtenir les données, soit dans la banque de données, soit sur le téléphone.

En mars, le Service de police de la Ville de Québec a utilisé la géolocalisation par téléphonie cellulaire pour retrouver une personne atteinte de la CoViD-19 qui refusait de collaborer avec les autorités sanitaires. Le SPVQ a affirmé qu’il récidivera si nécessaire.

Dans la même foulée, la Sûreté du Québec a affirmé, début avril, qu’elle ferait de même en cas de besoin, sans avoir à obtenir de mandat. Les policiers ont ces pouvoirs exceptionnels dans le cadre de la Loi 118 sur la sécurité publique. Les applications de traçage seront-elles soumises aux dispositions de cette loi ?

Publicité

Fait à noter, aucun promoteur des applications de traçage ne s’est soumis à un organisme reconnu d’audit de sécurité externe et aucune application ne respecte une norme de sécurité reconnue, de type SOC 2 niveau 2, ce qui est un minimum selon les experts.

Et le traçage traditionnel?

Une personne qui subit un test pour une maladie transmissible, comme la CoViD-19, donne ses coordonnées complètes. Dès qu’elle est déclarée positive, le résultat est envoyé à la direction régionale de la santé publique.

Les enquêteurs ont une procédure, un questionnaire, des consignes à suivre. Un membre de l’équipe de traçage (infirmière ou enquêteur professionnel) contacte la personne concernée, valide le résultat, vérifie la date où la personne a eu ses premiers symptômes pour déterminer le moment où elle a commencé à être contagieuse et identifie avec qui elle a eu des contacts potentiellement infectieux (pendant plus de 15 minutes et à moins de 2 mètres de distance).

L’enquêteur contacte ensuite, par téléphone, texto ou courriel, chaque personne ayant été en contact avec la personne infectée. Le processus s’élargit à chaque nouveau cas présumé parmi les contacts des contacts. Chaque appel peut prendre jusqu’à une heure. Il faut donc une armée d’enquêteurs pour réaliser un traçage efficace.

Tests

Plus on administre de tests, plus on fait de traçage. Avec la CoViD-19, si 10% des personnes testées ont un résultat positif et que vous administrez 15 000 tests par jour, environ 1500 personnes seront potentiellement positives: il faudra les tracer une à une, puis tous leurs contacts, etc.

Publicité

L’objectif est de joindre tous ces gens 24 heures après la réception du résultat du test. Chaque personne infectée doit alors s’isoler pour 14 jours et suivre plusieurs recommandations d’hygiène. Elle doit remplir un questionnaire en ligne quotidiennement: si des symptômes clairs associés à la CoViD-19 se présentent, les autorités de la santé publiques vont la contacter et étendre le traçage en conséquence.

Délais

Le processus de traçage présente des faiblesses. Plus on teste tard, plus le résultat se fait attendre, plus la personne risque d’infecter son entourage, plus le risque d’hospitalisations et de décès augmente.

Les spécialistes recommandent un délai maximal de quelques heures à quelques jours; sinon, on peut perdre le contrôle de l’épidémie. Plus le traçage commence tard après le début de l’épidémie, moins il est efficace.

Auteur

  • Stéphane Desjardins

    Journaliste à l'Agence Science-Presse, média indépendant, à but non lucratif, basé à Montréal. La seule agence de presse scientifique au Canada et la seule de toute la francophonie qui s'adresse aux grands médias plutôt qu'aux entreprises.

Partagez
Tweetez
Envoyez
Publicité

Pour la meilleur expérience sur ce site, veuillez activer Javascript dans votre navigateur