Présentées comme une solution devant mener à la fin du confinement, les applications de « contact tracking » posent plus de problèmes qu'elles n'apportent de solutions. Ce, même si elles permettent d'anonymiser, de façon décentralisée, les données collectées. Un cas d'école de « solutionnisme technologique ».
Le tableur collaboratif mis en place pour répertorier les mesures et projets de surveillance destinés à endiguer la pandémie de Covid-19 compte d'ores et déjà plus d'une centaine d'entrées, dont près d'une quinzaine d'applications de de « suivi de contacts » (« contact tracing » ou « contact tracking ») des malades, celles dont on parle le plus.
Après qu'Olivier Véran, ministre de la Santé, s’y soit déclaré hostile, au nom de la défense des « libertés publiques et fondamentales », et parce que « cela n’est pas la culture française », abondait son collègue de l’intérieur, Christophe Castaner, le gouvernement s'est finalement déclaré favorable à un tel suivi numérique de la population.
Dans deux entretiens au Monde, Olivier Véran et le secrétaire d’Etat chargé du numérique et Cédric O, ont en effet annoncé que le gouvernement planchait sur un projet piloté par l’Institut national de recherche en informatique et en automatique (Inria) et baptisé « StopCovid ».
Il vise à « développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission. L’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner », explique Cedric O.
Les modalités de fonctionnement de cette application, qui ne sera pas prête avant plusieurs semaines, sont encore à l’étude. Toutefois, les deux membres du gouvernement ont apporté des précisions :
« Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique »
« L’application ne géolocalisera pas les personnes. Elle retracera l’historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure ni transmettre aucune donnée. Ce n’est pas une application qui trace vos déplacements, c’est une application qui permet d’indiquer aux personnes que vous avez croisées pendant un temps long qu’elles ont, éventuellement, rencontré un cas positif au SARS-CoV-2 ».
Le groupe de travail se focalise dès lors sur l’utilisation de la technologie sans fil Bluetooth, capable de détecter si un autre téléphone mobile équipé de cette même application se trouve à proximité immédiate. Si certains chercheurs estiment que ces applications pourraient être utiles lors du déconfinement des populations pour éviter une flambée épidémique, il n’est pas prévu pour autant qu’elle se substitue au confinement.
De plus, comme le précisait Cédric O, « nous ne sommes pas certains de réussir à franchir toutes les barrières technologiques, car le Bluetooth n’a pas été prévu pour mesurer des distances entre les personnes. Nous ne déciderons que plus tard de l’opportunité de déployer ou non une telle application ».
La possible usine à gaz vient, par ailleurs, de se doter d'un nouvel étage : au vu de la profusion de projets similaires en Europe, la Commission européenne a en effet annoncé qu'elle harmoniserait leur utilisation, « de manière à ce qu'il n'y ait pas de trop grande fragmentation des solutions utilisées et que l'on s'assure du respect du RGPD et de la directive e-privacy ».
L'objectif serait de fournir une boîte à outils en faveur d'une approche paneuropéenne à l'égard des applications mobiles, en concertation avec le Comité européen de la protection des données, « permettant de modéliser et de prévoir l'évolution du virus au moyen de données de localisation mobile anonymisées et agrégées ». Utilisées aux fins de « contact tracing », elles seront aussi transmises au Centre commun de recherche (JRC) à des fins de traitement et de modélisation.
Une dépense inutile pour une technologie inefficace ?
Depuis, l'essentiel du débat porte sur les risques d'atteinte à la vie privée que cette application pourrait poser alors que les termes du débat semblent souvent bien mal posés, ni compris.
Gabriela Zanfir-Fortuna, du think tank Future of Privacy (FPF), souligne ainsi que « le RGPD n'est pas un règlement portant sur la protection de la vie privée, mais une loi sur la protection des données », et que ce cadre légal est tout à fait à même d'éviter que ce type d'application n'entraîne une « surveillance de masse » de la population.
De plus, des ressources compilées par FPF en passant par les 8 questions que se posent le Computational privacy group, les 10 « exigences » du Chaos Computer Club allemand, l'avis du Comité national pilote d’éthique du numérique, le mémo d'Algorithm Watch sur les systèmes de prises de décision automatisées (entre autres), on ne manque pas de recommandations et réflexions à ce sujet.
Pour autant, le débat devrait moins relever de questions ayant trait à la vie privée qu'au sujet de ce « solutionnisme technologique » posant plus de problèmes qu'il n'en résout. À l'instar de la vidéosurveillance par exemple, le risque n'est pas tant le spectre d'un potentiel « Big Brother » que d'une dépense inutile dans une technologie inefficace.
Le nom même de l'application, StopCovid, pose problème, laissant accroire (et donc à tort) que le traçage numérique de tout ou partie d'une population permettrait de stopper une pandémie.
D'une part parce que, et comme l'a expliqué Cédric O, elle ne serait utilisée que sur une base volontaire et pourrait être « désinstallée à tout moment ». Ce, alors que pour être vraiment efficace, il faudrait qu’une « masse critique » de Français choisissent de l’installer, faute de quoi elle ne pourrait signaler qu’une infime partie des contacts « à risque ».
D'autre part, parce que les données seraient anonymisées, empêchant dès lors les épidémiologistes de pouvoir retracer les circuits de contamination, identifier les nouveaux clusters, patients asymptomatiques et super-propagateurs (ou super-spreaders) du virus qui contaminent bien plus que les autres.
Et enfin parce que les données qu'elles collectent ne sont pas suffisamment précises pour permettre à ce type d'applications de géolocalisation et de « contact tracing » de fonctionner correctement. A contrario, elles ne pourront que générer un certain nombre d'erreurs, de faux positifs et de faux négatifs, qui pourraient s'avérer contre-productives, générer de faux sentiments de sécurité, mais également de stigmatiser des personnes à tort.
Quand le tracking devient kafkaïen
Dans un livre blanc, deux analystes de l'American Civil Liberties Union (ACLU), qui défend les droits humains depuis 100 ans, ont en effet dressé un bilan des discussions qu'ils ont eu avec des ingénieurs et responsables de plusieurs des principales entreprises américaines ayant à connaître et traiter des données de géolocalisation.
En l'espèce, le bornage permis par les antennes relais est par trop imprécis. Les données GPS, théoriquement censées être précises au mètre près, le sont plutôt à 5 ou 20 mètres, à l'extérieur et par temps clair : elles ne fonctionnent pas à l'intérieur (ni à proximité) des (grands) bâtiments, dans les grandes villes, ou quand il fait mauvais temps.
Le Bluetooth, censé permettre d'échanger des données à courte distance, et qui semblerait être privilégié par le gouvernement français, n'est cela dit pas suffisamment précis pour permettre de mesurer si l'on se trouvait à plus (ou moins) des deux mètres de distanciation sociale recommandés par les autorités sanitaires, sa portée pouvant aller de moins d'un mètre à près de 400 mètres. De plus, la qualité du signal dépendrait aussi du terminal utilisé, de sa batterie et de ses composants, entre autres.
Dans un article consacré au « contact tracing », le laboratoire d'innovation numérique de la CNIL souligne que les modalités de dépistage ne sont pas exemptes de biais (cf. infra) et que la précision limitée des systèmes de localisation dans les zones denses risque rapidement d’indiquer aux utilisateurs qu'ils ont été en contact avec une personne contaminée. Google reconnaît que les mécanismes de récolte de données d’Android ou de Maps ne sont « pas construits pour fournir des enregistrements robustes et de haute qualité à des fins médicales et ne peuvent être adaptés à cette fin ».
Le livre blanc évoque pour sa part les limites et problèmes posés par le tracking mis en place en Israël par le Shin Beth, le service de sécurité intérieure qui avait expliqué vouloir utiliser ses technologies antiterroristes pour lutter contre la pandémie. De retour d'un voyage à New York, relève Haaretz, un Israélien s'était par exemple lui-même placé en quarantaine, avant d'être finalement diagnostiqué comme porteur du coronavirus.
Ses voisins – ainsi que les personnes venues les visiter –, sa petite amie et ses parents reçurent dans la foulée un message les sommant d'aller se mettre en quarantaine... quand bien même ils n'avaient eu aucun contact physique avec lui. Ses parents et sa petite amie étaient certes venus lui apporter de la nourriture et lui dire bonjour, mais en restant de l'autre côté de la porte et de la fenêtre. Quant à ses voisins et leurs visiteurs, leur tort était d'avoir été géolocalisé à proximité...
Haaretz évoque aussi le cas d'un gynécologue, dont le test s'était révélé négatif, mais qui n'en avait pas moins été fiché à tort (du fait d'une faute de frappe) par le ministère de la Santé comme malade, ce qui entraîna le placement en quarantaine de l'ensemble de ses collègues, patientes, voisins. « Ironie » de l'histoire, du fait de son test négatif, il avait le droit de travailler, contrairement à l'ensemble de ceux qui n'en venaient pas moins d'être placés, à tort, en quarantaine.
Dans les deux cas, le renversement de la charge de la preuve et les affres de l'administration en temps de crise sanitaire se transformèrent en cauchemar de type « kafkaïen » pour ceux ayant été géolocalisés, à tort, comme ayant été « trop près » d'un présumé contaminé.
Anonymiser les données, une fausse bonne idée ?
Les auteurs du livre blanc n'en soulignent pas moins qu'« il pourrait être possible, cependant, de concevoir des implémentations qui répondent à tout ou partie de ces problèmes », de sorte d'emporter la confiance donc l'adhésion du public, mais sans préciser comment. Ils n'en constatent pas moins qu'« un certain nombre de développeurs travaillent sur de telles implémentations dans le but bienvenu d'être à la fois respectueux de la vie privée et efficace », citant trois d'entre eux.
Leur point commun est de vouloir, non pas pseudonymiser les données, de sorte de protéger la vie privée des utilisateurs de l'application, mais bel et bien de les anonymiser, ce qui soulève paradoxalement d'autres questions, et problèmes.
En effet, le fait de ne traiter que les seules données permettant d'identifier que l'on aurait été à proximité d'une personne contaminée, sans mentionner ni ladite personne, ni l'endroit ni le moment de ce contact à proximité, rendrait impossible le fait de vérifier – et encore moins démontrer – que l'identification pourrait avoir été erronée, comme c'est arrivé en Israël.
L'atteinte à la présomption d'innocence serait manifeste, au nom d'une présomption de suspicion algorithmique, et basée sur des logiciels, matériels et procédures faillibles, de la possibilité d'une éventuelle contamination. Non content d'empêcher les personnes identifiées à tort de pouvoir se défendre si elles estiment avoir été suspectées à tort, cette anonymisation empêcherait également les épidémiologistes de pouvoir identifier les populations ou clusters « à risque ».
« Il faut cartographier les cas de porteurs du virus et renforcer la surveillance là où existent des clusters », a en effet expliqué au Monde Renaud Piarroux, chef du service de parasitologie à l’hôpital de la Pitié-Salpêtrière, qui avait révélé que le camp des Casques bleus népalais déployés en Haïti après le séisme de 2010 était bien la source de l’épidémie de choléra qui avait ravagé l’île moins d’un an après, faisant 10 000 morts.
Or, « les données personnelles – adresse, numéro de téléphone… – dont disposent par exemple les centres 15 à partir des appels ne peuvent pas être utilisées, du moins pour l’instant ». Évoquant les « solutions numériques totalement anonymisées », il déplore par ailleurs que « cela transforme les cas en points et je ne sais pas faire porter un masque à un point, ni l’aider à protéger ses proches ».
« Ayant été testée positive, a pour sa part témoigné la députée (UDI) Maina Sage à l'Assemblée, je peux témoigner que j’aurais vraiment souhaité pouvoir utiliser ce genre d’application, car il est compliqué de se souvenir de tous les contacts que l’on a eus depuis le moment où on pense avoir été en contact avec une personne positive. Y a-t-il un lien avec un service public pour garantir la fiabilité de la donnée ? Une fois la personne volontaire identifiée comme positive, comment est-elle contrôlée ? Cela pose la question de l’immédiateté du suivi et de la réactivité du système pour protéger les personnes susceptibles d’être en contact avec une personne testée positive ».
A contrario, le simple fait de mentionner le lieu et l'heure exacts du contact avec une personne contaminée pourrait permettre de désanonymiser cette dernière. Au risque de la stigmatiser, comme le vivent depuis des semaines certains membres de l’Eglise évangélique de Mulhouse, accusée d'avoir propagé le coronavirus dans le département et au-delà : « Depuis cet épisode, sur les réseaux sociaux, on réclame notre mort, on menace de nous abattre à la kalachnikov… »
En Corée du Sud, rapporte le Livre blanc, des foules ont fondu en meutes sur les réseaux sociaux pour identifier les personnes présumées contaminées s'étant trouvées à tel endroit à tel moment. D’après Le Monde, l'effet de panique fut tel qu'une étude réalisée, début mars, par la faculté de santé publique de l’université de Séoul, a révélé que la crainte d’être la cible de stigmatisation en cas d’infection préoccuperait davantage les Sud-Coréens que celle d’attraper le virus... enrayant dès lors les efforts de prévention de la progression de la pandémie.
À Singapour, l'application est loin d'avoir démontré son efficacité
De plus, la peur d'être géolocalisé à proximité d'une personne contaminée pourrait entraîner certains à sortir, ne serait-ce que pour faire leurs courses ou pour aller travailler, sans prendre leur téléphone portable, ou en désactivant le Bluetooth.
Une chose est de participer à l'effort de prophylaxie visant à enrayer la pandémie, une autre est de prendre le risque d'être identifié, à tort, comme ayant « potentiellement » été identifié à proximité d'une personne tout aussi « potentiellement » contaminée.
D'une part parce que, et quels que soient les efforts entrepris pour minimiser le risque d'erreurs (logicielles, matérielles, procédurales), en termes de probabilités statistiques, il est a priori très difficile – pour ne pas dire impossible – d'empêcher les cas de « faux positifs » (personnes identifiées, à tort, comme « à risque » d'avoir été contaminées), mais également et d'autre part de « faux négatifs » (personnes identifiées, à tort, comme n'ayant pas été contaminées par le coronavirus)...
Le fait que l'installation de l'application ne serait par ailleurs pas obligatoire, ajoutée à la suspicion d'une partie non négligeable de l'opinion publique à l'encontre de ce type de « tracking », pourrait par ailleurs rendre la solution ineffective, à mesure que son efficacité est aussi censée reposer sur le fait qu'un maximum de citoyens y ait recours.
Trace Together, l’application Bluetooth utilisée à Singapour pour alerter les utilisateurs s’ils ont croisé un cas suspect à moins de deux mètres et durant trente minutes, est régulièrement mentionnée par ceux promouvant ce type de « contact tracing », alors qu'elle est pourtant loin d'avoir démontré son efficacité.
Non obligatoire, téléchargée 620 000 fois dans les dix jours suivant son lancement le 20 mars dernier, et plus d'un million de fois depuis (soit 16% seulement de la population de l'île), elle n'en a pas moins empêché Singapour de devoir elle aussi mettre en place un confinement généralisé, proche de celui qui est en vigueur en France, rapporte Libération.
« Preuve s’il en est que la mise en place d’une application de suivi des personnes n’est qu’un des éléments de la réponse sanitaire : ce n’est en rien une solution magique », a expliqué Marie-Laure Denis, la présidente de la CNIL, à l'Assemblée nationale. Parce qu'il importe aussi d’« avoir conscience de la réalité sociale et de la fracture numérique : un quart au moins de la population ne dispose pas de téléphone permettant de télécharger des applications. Il est même probable que cela corresponde à la catégorie des personnes les plus vulnérables, celles-là mêmes qui, dans le cadre d’une stratégie de déconfinement progressif, resteraient confinées le plus longtemps. C’est un enjeu social important. »
Interrogée quant à savoir s'il faudrait conditionner le fait de pouvoir sortir de chez soi à l'installation de l'application, la présidente de la CNIL répond : « je n’ai pas entendu parler, dans la bouche des responsables publics, de coupler la liberté du consentement et l’autorisation de sortie. Si tel était le cas, il faudrait analyser de très près la réalité d’un consentement : pour que le consentement soit réellement libre, il ne faut pas que le refus du consentement donne lieu à conséquences, quelles qu’elles soient. J’y insiste car les comparaisons internationales montrent que le volontariat a parfois pour contrepartie une limitation des libertés. À défaut de réel consentement, une loi comportant d’importantes garanties serait nécessaire ».
Échaudée par l’épidémie de Sras en 2003, et dotée d’une excellente infrastructure médicale dévolue en partie au tourisme médical, la cité-Etat de 6,2 millions d’habitants avait pourtant immédiatement réagi et déployé un plan préétabli et millimétré, testé chaque cas suspect, hospitalisé les positifs, même en l’absence de symptômes graves, et mis en place un réseau médical prioritaire qui reçoit en consultation les suspicions de Covid-19 pour 3 ou 6 euros seulement.
De plus, expliqué encore Libération, les lois singapouriennes, critiquées par les ONG de défense des droits de l’homme pour leur caractère liberticide, ont permis aux autorités de contrôler les données de localisation, d’étudier les relevés de carte bancaire et la vidéosurveillance pour retrouver les personnes qui ont été en contact avec un malade.
Les cas suspects sont mis en quarantaine et doivent communiquer leurs coordonnées GPS plusieurs fois par jour et, s’ils trichent, leur passeport est confisqué, ou, pour les étrangers, leur visa annulé.
« Quand on a un marteau, il est tentant de voir des clous partout »
En tout état de cause, l'efficacité de ce type d'application de « contact tracing » ne pourra également se mesurer qu'à la disponibilité (et la fiabilité) de tests permettant de vérifier si l'on est porteur (même sain) du coronavirus, ou si l'on est a contrario immunisé... avec, là aussi, ce même risque en termes de probabilités statistiques de faux positifs/négatifs.
Pour que cette application récupère la quantité de données suffisantes à son bon fonctionnement, déplore Paula Forteza et 15 autres députés de la majorité dans une tribune intitulée « Nous avons besoin d’un dépistage massif, pas d’un pistage massif », il faudrait qu’au moins 60 % de la population la télécharge... un horizon qui semble a priori inatteignable.
Dès lors, et comme le remarque le défenseur de la vie privée Rand Hindi, il faudrait soit maximiser le nombre de personnes qui utilisent l’application, et s’assurer qu’elles respectent toutes la quarantaine (un objectif peu réalisable, au vu des 16 % de Singapouriens ayant installé Trace Together), soit tester 100 % des personnes qui ont des symptômes quelconques, soit rester en confinement total.
Ce pourquoi il considère qu'il faudrait « 1. rendre l'app' obligatoire, 2. modifier l’app pour notifier les autorités lorsqu'une personne a été en contact avec quelqu’un de positif, afin qu’elles puissent appliquer un confinement strict de cette personne, et 3. augmenter les tests. » Et de conclure : « Oui ce n’est pas idéal, et oui cela affaiblit légèrement la confidentialité de l’app. Clairement pas ce dont je rêve en tant que défenseur de la vie privée, mais hélas nécessaire aujourd’hui pour pouvoir sortir du confinement total sans attendre de pouvoir tester suffisamment ».
« Si un programme portant atteinte à la vie privée et aux libertés civiles n'est pas efficace, il n'y a aucune raison de l'étudier plus avant », estime pour sa part Susan Landau, une des personnalités américaines les plus réputées en matière de cybersécurité. Pour elle, l'efficacité d'une telle application ne peut se mesurer que si toutes les personnes étaient tenues de porter de tels dispositifs de localisation à tout moment, mais aussi et surtout si les personnes suspectées pouvaient être testées rapidement, lever le doute, et confirmer (ou informer) la contamination.
Or, tant aux États-Unis qu'en France, on est encore loin de pouvoir tester aussi massivement. Se pourrait-il que l'on dispose un jour d'une technologie permettant d'identifier si l'on a été à moins de deux mètres d'une personne contaminée ? Peut-être, mais elle n'existe pas actuellement, et il serait malhonnête de le faire croire, et de promouvoir ce « contact tracking » comme un « remède miracle », sauf à mettre en danger notre santé, notre sécurité et notre liberté.
« Quand on a un marteau – dans ce cas, la localisation de téléphone portable –, il est tentant de voir des clous partout », résume-t-elle laconiquement. Il n'en serait pas moins irresponsable d'envoyer des faux positifs dans des centres de santé déjà débordés, tout comme de laisser des faux négatifs se balader, alors que le confinement et la distanciation sociale, en l'état, sont bien plus efficaces et qu'ils ne créent pas, eux, de faux sentiment de sécurité.
Un remède pire que le mal ?
Une autre analyse, repérée par l'avocat Alexandre Archambault, opportunément intitulée « de Charybde en Scylla », estime par ailleurs et de façon surprenante qu'une application décentralisée, comme le privilégient les défenseurs de la vie privée, créerait « plus de menaces à la vie privée qu'elle n'en résout », pourrait introduire « de graves menaces et risques pour la société », et avoir « l'effet opposé de ce à quoi elle était destinée ».
Plus précisément, « les personnes malades et signalées pourraient être désanonymisées, des rencontres privées être révélées et des personnes contraintes de révéler les données privées qu'elles collectent ». Sur la vie privée, plusieurs éléments devant la renforcer auraient l'effet inverse, comme l'utilisation constante du Bluetooth et le stockage local des données, entre autres.
Nul doute que les centaines (milliers ?) de chercheurs, universitaires, ingénieurs, développeurs et défenseurs de la vie privée impliqués dans ces projets vont travailler d'arrache-pied pour tenter de résoudre ces (nombreux) problèmes, bien plus complexes que ce qui nous en a été décrit jusque là.
Mais laisser à croire que « StopCovid » pourrait « stopper » la pandémie est à peu près aussi trompeur, en termes de « solutionnisme technologique », que d'avancer que les caméras de vidéosurveillance pourraient « stopper » la délinquance.
Interrogé au sujet de l'efficacité des caméras, Alain Bauer avait ainsi expliqué que le problème, « c’est qu’elles descendent rarement des poteaux avec leurs petits bras musclés pour arrêter les voleurs : la caméra c’est un outil, c’est pas une solution en tant que telle... »
