Le projet de loi prorogeant l’état d’urgence est sur la rampe. Un conseil des ministres sera organisé samedi avant la discussion en séance au Sénat lundi. Dans le même temps, la commission des lois au Sénat, le Comité de la Convention 108 et le commissaire à la protection des données du Conseil de l’Europe se penchent sur StopCovid.
Si le confinement est levé au 11 mai, progressivement, l’état d’urgence sanitaire sera lui maintenu pendant deux mois. Période durant laquelle le gouvernement pourra prendre des mesures du domaine de la loi, restrictives de droits et libertés. C’est durant cette phase que l’application StopCovid devrait voir le jour, le cas échéant.
Le 28 avril, lors de sa présentation de la stratégie nationale de déconfinement, le Premier ministre a annoncé que cette solution fera bien l’objet d’un débat et d’un vote spécifique, non sans relever les incertitudes pesant sur ce projet. « Je serais bien en peine de vous dire si elle fonctionne, et comment elle fonctionnera précisément. Je ne doute pas que les ingénieurs travailleront d’arrache-pied et réussiront à faire fonctionner ce projet. Mais dès lors que ce n’est pas le cas il me semble, pour tout vous dire Mesdames et Messieurs les députés, que le débat est un peu prématuré ».
Au Sénat, l’avis de la mission de contrôle sur StopCovid
Au Sénat, le deuxième rapport d’étape sur la mise en œuvre de l’état d’urgence, rédigé par la commission des lois, vient d’être mis en ligne. Dans ces 177 pages, la mission de contrôle revient sur cette fameuse application StopCovid (aux pages 76 et suivantes).
Et elle en explique la logique : « Le virus n’est pas détectable aux premiers stades de la contamination, alors que le porteur est déjà contagieux. Il est donc particulièrement utile d’identifier rapidement les personnes avec lesquelles un malade diagnostiqué a pu se trouver en contact pendant leur période d’incubation pour éviter que ces dernières ne contaminent à leur tour d’autres gens pendant cette phase asymptomatique ».
L’objectif est ainsi d’alerter les personnes, « de briser les chaînes de contamination et d’endiguer la propagation exponentielle de la maladie ».
Des enquêtes manuelles avaient certes été mises en œuvre dans certains « clusters », mais la solution présente des fragilités, déjà parce qu’elle est fondée sur la mémoire des malades et parce qu’elle prend du temps et exige des moyens. Autant de défauts que viendrait combler l’usage d’une application dédiée de suivi des contacts.
StopCovid, prévient le document, « mémoriserait sous forme pseudonymisée l’ensemble des contacts avec d’autres appareils également équipés de celle-ci et passés à proximité sur une période donnée. Il serait alors ensuite possible de retracer rétrospectivement les contacts d’un individu atteint par la maladie pour les prévenir du risque de contamination encouru ».
Plusieurs entités et autorités se sont déjà penchées sur ce projet, sur la base des seuls éléments résiduels disponibles. La CNIL a fait plusieurs rappels, au regard des principes à respecter issus du RGPD : limitation des finalités, base volontaire, temporalité…
Fracture et infrastructure
Mais le rapport de la mission de contrôle revient également sur les limites de cette solution : caractère très incertain de la technologie Bluetooth, la question du seuil d’utilisateurs au-delà duquel elle pourrait avoir une utilité… Les avis sont partagés quand surgit le débat de son utilité.
« Le Gouvernement, comme le conseil scientifique Covid-19 et le Conseil national du numérique estiment que l’utilité d’une application même peu répandue n’est pas à négliger ; à l’inverse d’autres acteurs de la société civile entendus par les rapporteurs contestent vigoureusement le coût l’opportunité des moyens dépensés en faveur d’un tel « gadget numérique » selon eux peu efficace et qui surtout détourne énergie et moyens d’une véritable réponse sanitaire humaine et de terrain ». L’un des points d’attention réside évidemment sur le taux de pénétration des smartphones suivant les générations, signe de la fracture numérique.
Le rapport rappelle aussi que l’application exigera « une infrastructure sanitaire puissamment dimensionnée pour conseiller, évaluer, tester et traiter les utilisateurs qu’ [elle] signalera comme à risque ». Avec en particulier l’exigence d’une armée de milliers d’enquêteurs.
Le risque d’effets pervers
L’usage de cette solution pourrait générer des « effets pervers » : un faux sentiment de sécurité chez les utilisateurs n’ayant pas reçu d’alerte. Inversement est pointé le caractère anxiogène des signaux d’alerte en cas d’absence de prise en charge.
Le Sénat pense spécifiquement aux « personnes ayant une activité dite « de première ligne » (personnel de santé, de livraison, de supermarchés, etc.) » où « le risque d’une génération massive et constante d’alertes ne permettant plus de distinguer une information pertinente sur une éventuelle exposition ».
Autres craintes sociologiques : l’accoutumance à la surveillance et au-delà, l’inscription dans le droit commun de cet outil de traçage, outre le risque de discrimination (« les personnes n’ayant pas téléchargé l’application pourraient se trouver en butte à une pression sociale ou économique [chantage à la reprise du travail], voire à des phénomènes de stigmatisation »).
StopCovid et la souveraineté numérique
Sur le terrain de la souveraineté, l’application exige un fonctionnement permanent en arrière-plan avec Bluetooth actif. « Si la question paraît extrêmement délicate, c’est que ces spécifications sont entièrement aux mains des deux grands acteurs américains qui dominent le marché des smartphones », à savoir Apple et Google. « Ces restrictions entendent traduire le haut niveau d’exigence de ces firmes pour la protection des données de leurs clients dans le monde, élément central de la confiance qu’ils leur accordent ».
Problème, les protocoles choisis par ces acteurs privés ne semblent pas se marier avec les spécifications de StopCovid (architecture décentralisée vs architecture centralisée).
Dans une série de recommandations, les rapporteurs posent au final plusieurs bornes :
- Subordonner le lancement de l’application au déploiement de moyens humains et sanitaires adéquats. « Être renvoyé à un simple « numéro vert » ne devra pas être l’unique réponse faite à un utilisateur alerté par l’application ! »
- Effectuer un audit continu du fonctionnement de StopCovid, pour jauger son apport réel et le respect des libertés
- Prévoir une Sunset clause. « Devraient être prévues, de droit, tant la destruction des données dès qu’elles cessent d’être nécessaires, que la suppression à terme de l’application elle-même ».
Au Conseil de l’Europe, l’analyse des outils de suivi
Dans une « déclaration conjointe », Alessandra Pierucci, Présidente du Comité de la Convention 108 et Jean-Philippe Walter, Commissaire à la Protection des données du Conseil de l’Europe reviennent tout autant sur la question de l’efficacité de ces solutions.
Ils considèrent que le dispositif sera tributaire de plusieurs facteurs dont « une stratégie épidémiologique nationale globale », le modèle choisi, mais aussi « l'accès généralisé aux appareils et à la connexion mobiles ». Ils reconnaissent sur ce point que « malheureusement [...] des portions considérables de la population ne peuvent les acquérir ou les utiliser, en particulier les groupes à haut risque comme les personnes âgées ».
Fiabilité et acceptabilité
Pour garantir son acceptabilité, ils estiment que la solution doit combiner « la mise en œuvre d'un système fiable », qui en outre « ne soit pas imposé aux personnes, mais utilisé sur une base volontaire ».
À l’instar du rapport sénatorial, ils soulignent que « les implications peuvent être graves (auto-isolement, tests) pour les personnes identifiées comme contacts potentiels d'une personne infectée », d’où l’exigence « de garantir la qualité et l'exactitude des données ».
L’usage de ces outils numériques ne devra pas conduire à des décisions automatisées. « Les utilisateurs du système de traçage numérique ne doivent donc pas se voir imposer des conséquences sans qu'il leur soit clairement possible de les contester, en particulier à la lumière d’inexactitudes ou de fausses déclarations possibles dans ces systèmes ».
Sur le terrain de la sécurité, « les utilisateurs du système de suivi numérique ne doivent pas être directement identifiés et ces dispositifs ne doivent utiliser que des identifiants uniques et pseudonymisés générés par le système et spécifiques à celui-ci. Ces identificateurs doivent être renouvelés régulièrement et doivent être cryptographiquement solides ». Sachant que l’interopérabilité doit être assurée entre les choix faits par chaque État puisque le virus ne connaît pas de frontières.
Enfin, le rapport plaide pour une transparence totale (« open source ») du code, un audit continu et indépendant et une nature temporaire du suivi de contacts.
Un traitement de données dans le projet de loi de prorogation de l’état d’urgence
Alors que les notes, rapports et autres avis se succèdent, la France passe à la vitesse supérieure. Dans le projet de loi relatif à la prolongation de l’état d’urgence, le gouvernement prévoit l’extension de l’état d’urgence pour une durée de deux mois à compter du 24 mai 2020.
L’article 6 autorise le gouvernement à organiser par ordonnance un traitement de données personnelles aux fins de lutter contre la propagation de l’épidémie. Sa durée ? Un an. Les systèmes d’information du ministère, de l’Agence nationale de santé publiée, l’Assurance maladie et les agences régionales de santé vont ainsi pouvoir agréger des données de santé et des données d’identification, « notamment », signe que le spectre du traitement n’est pas limitatif.
Ses finalités sont multiples :
- Déterminer « des personnes infectées ou susceptibles de l’être ».
- Collecter des informations nécessaires pour déterminer les personnes ayant été en contact avec ces dernières
- Organiser des examens de biologie médicale de dépistage et la collecte de leurs résultats, les prescriptions médicales d’isolement prophylactique des personnes
- Assurer le suivi médical et l’accompagnement des personnes pendant et après l’application de ces mesures,
- Assurer la surveillance épidémiologique aux niveaux national et local,
- Réaliser des enquêtes sanitaires en présence de cas groupés
- Organiser la recherche sur le virus et les moyens de lutter contre sa propagation
Les modalités d’application seront définies par un décret pris après avis de la CNIL qui décrira les personnes pouvant accéder à ces traitements ainsi que les données concernées. Sont éligibles dans la loi, les agents habilités des services…
- Du ministère chargé de la santé
- Du service de santé des armées
- De l’Agence nationale de santé publique
- Des organismes nationaux et locaux d’assurance maladie
- Des agences régionales de santé
- Des communautés professionnelles territoriales de santé
- Des établissements de santé
- Des maisons de santé
- Des centres de santé et des médecins prenant en charge les personnes concernées
- Des laboratoires autorisés à réaliser les examens de biologie médicale de dépistage sur les personnes concernées
« Collecter des informations nécessaires pour déterminer les personnes ayant été en contact avec ces dernières » ? Le petit bout de phrase ressemble à s’y méprendre à la raison d’être de StopCovid… Toutefois, selon Nicolas Vignolles, chef de cabinet de Cédric O, le projet de loi en préparation et présenté samedi en Conseil des ministres, ne contient aucune ordonnance relative à l’application.
« Il ne s’agit en rien de l’appli dans cette ordonnance, mais d’organiser le travail des enquêteurs qui devront « tracer » physiquement le virus. Rien à voir avec StopCovid qui n’a pas besoin de texte puisqu’il respecte les actuels », assure-t-il publiquement.
La CNIL avait pourtant souligné l’exigence « d’un fondement juridique explicite et précis dans le droit national ». Dans son avis portant sur ses briques connues de ce traitement, elle demandait « au gouvernement, le cas échéant et quel que soit le vecteur retenu, de la saisir à nouveau du projet de norme encadrant la mise en œuvre de l’application en cause lorsque la décision aura été prise et le projet précisé ».
Comment analyser ce bout de phrase alors ?
Isolement et mise en quarantaine
Pour mieux comprendre, il faut remonter à l’article 2 du même projet de loi. Sur la période d’état d’urgence, le texte en gestation prévoit diverses mesures déjà annoncées par le premier ministre lors de sa présentation devant la représentation nationale.
Il prévient en particulier de la possibilité de placer en isolement voire en quarantaine notamment toute personne affectée qui « crée, en cas de refus réitéré des prescriptions médicales d’isolement prophylactique, un risque grave de contaminer d’autres personnes ».
La décision sera prise « après avis médical et circonstancié ». En pratique, le directeur général de l’Agence régionale de santé saisira le préfet « aux fins de faire respecter ces prescriptions médicales ». Sa durée sera de 14 jours. Au-delà, il faudra l’intervention du juge des libertés et de détention (JLD).
Un scénario peut donc être envisagé : un utilisateur installe StopCovid. Il prend le métro quotidiennement. Quelques jours plus tard, il reçoit une alerte sur son Smartphone : il aurait été en contact rapproché avec une personne effectivement déclarée. Il se rend chez son médecin, puis à son laboratoire d’analyse médicale. Les résultats tombent : il est lui aussi Covid-19 « positif ». Le laboratoire fait remonter l’information au système de traitement prévu par le projet de loi. Il est recommandé au patient de s'isoler. L'intéressé refuse. Plusieurs fois. Le directeur général de l’ARS saisit finalement le préfet qui ordonne alors son confinement durant 14 jours.
Des brigades de contrôle sanitaire
De fait, StopCovid sera finalement moins intrusif que les mesures faisant appel aux brigades de contrôle sanitaire, puisque l’application reposera sur une base volontaire. Ou bien la personne s’intègrera volontairement dans le traitement mis en place par le projet de loi... ou bien elle y sera contrainte.
Comme l’a annoncé Édouard Philippe dans son dernier discours, « dans chaque département, nous constituerons des brigades chargées de remonter la liste des cas contacts, de les appeler, de les inviter à se faire tester en leur indiquant à quel endroit ils doivent se rendre, puis à vérifier que ces tests ont bien eu lieu et que leurs résultats donnent lieu à l’application correcte de la doctrine nationale ».
L’objectif ? À l’aide d’enquêtes sanitaires, l’enjeu sera « d’isoler au plus vite les porteurs du virus afin de casser les chaînes de transmission ». Selon le Premier ministre, « l’isolement n’est pas une punition. Il n’est évidemment pas une sanction. L’isolement est une mesure de précaution collective, une mise à l’abri. L’isolement doit donc être expliqué, consenti et accompagné ».
Consenti ? Les individus auront le choix de s’isoler à domicile, « ce qui entraînera le confinement de tout le foyer pendant 14 jours », ou bien « de s’isoler dans un lieu mis à sa disposition, notamment dans des hôtels réquisitionnés ».
Commentaires (10)
#1
Avec stopcovid, dont la mise en œuvre est en partie assurée par les pires acteurs privés du numérique en France, ils ont tout foiré depuis 1992, (je ne les cite pas par charité païenne) avec le choix kafkaïen de centraliser les données, dont on peut imaginer qu’elles y seront pillées sans vergogne, la seule chose qui m’importe, c’est de connaître la liste exhaustive des données qui seront recueillies sur les smartphones.
Condition sine qua non d’une éventuelle utilisation.
Le soi-disant bras de fer de la (seule) France contre Apple et Google montre que le Covid19, quand il ne tue pas ou qu’il ne rend pas gravement malade, provoque parmi l’élite française de graves troubles : délire hallucinatoire et altération du cours de la pensée.
Nef des fous - Radeau de la Méduse.
#2
idée toute conne :
est-ce qu’un système type “blockchain” (pour la décentralisation) dans laquelle les labos / medecins qui dépistent un patient sont les seuls à pouvoir écrire, à l’aide du smartphone du patient, les identifiants aléatoires qu’il a eu au cours des X derniers jours ne pourrait pas faire le taf ?
avec un identifiant aléatoire par jour
si t’as croisé un identifiant dans la chaîne (que le téléphone pourrait consulter le soir en wifi à la maison par exemple) il te pousse une info “vous avez été proche d’un cas répertorié de covid 19, consultez votre médecin” …
du coup, pas de trace centralisée analysable n’importe quand, anonymisation totale, et pourtant tout un chacun pourrait savoir s’il a été en contact avec qqn porteur (et utilisant l’appli)
et seul le téléphone sait les identifiants aléatoires qu’il a pu communiquer en bluetooth et qu’il a rencontré
j’ai raté un truc ou y’a une piste a creuser ? (réflexion en 10 minutes avec mes 3 neurones hein ;) )
#3
Est-ce que la distinction démarcation numérique / humaine du contract tracing aide vraiment à penser les risques du tracing in fine ? Quand on voit les pratiques d’hygiène numérique de certains cabinets médicaux en temps normal (pj word par mail, rdv sur doctissimo qu’on a pas demandé, …), c’est pas rassurant
#4
#5
#6
Un scénario peut donc être envisagé : un utilisateur installe StopCovid. Il prend le métro quotidiennement. Quelques jours plus tard, il reçoit une alerte sur son Smartphone : il aurait été en contact rapproché avec une personne effectivement déclarée. Il se rend chez son médecin, puis à son laboratoire d’analyse médicale. Les résultats tombent : il est lui aussi Covid-19 « positif ».
Si un contact rapproché c’est juste le fait de rester à moins d’un mettre d’une personne infectée pendant plus de deux minutes alors les alertes ça va être non stop. Le temps que l’infecté notifie une infection officiellement ça donne plusieurs jours pour répandre un peu plus l’infection. En moins d’une semaine c’est quasiment tout ceux qui ont pris le métro qui vont bip, puis les familles. Quasiment “tout le monde quoi”.
D’après ce que j’ai lu, ce machin n’est dispo que sur android, ios empêche d’utiliser le bluetooth comme on veut.
#7
merci pour la réponse argumentée et les explications :)
" />)
je pensais “blockchain” pour le coté décentralisé utilisé par les cryptomonaies, monter un miroir est simple, enregistrer dans la blockchain ne se fait que sous conditions (preuve de travail pour certaines crypto etc), c’est peut-être qu’une fraction de ce que renferme la notion de “blockchain”, mais c’est à ça que je pensais.
l’anonymisation me semble “raisonnable”, car les utilisateurs lambda n’auront aucun moyen de retrouver un individu en particulier à partir d’un identifiant unique rendu public, ça n’empêchera bien sur pas les laboratoire / médecins / autre entité qui publiera les id de retrouver quel était le patient en question, mais ils n’auront pas besoin de passer par là.
à la réflexion, je crois comprendre la dernière partie sur la ré-identification, je suppose que c’est pas dans le sens “on trouve un id publié et on trouve son nom”, c’est dans le sens “j’ai croisé les id X, Y et Z, et c’était les jours ou je suis allé au bureau de tabac, donc c’est quelqu’un que j’ai croisé sur le chemin”, et de fil en aiguille, sans forcément connaître nommément la personne à partir de l’id, on pourrait remonter jusqu’au contact. c’est à peu près ça ?
en résumé, soit on centralise les données de contact au risque que l’entité centralisatrice s’en serve pour tracer les personnes au-delà de la crise sanitaire actuelle (et/ou on fait rentrer cette idée dans les mœurs, ce qui est craint par beaucoup et mis en avant contre l’appli annoncée)
soit on décentralise, au risque de laisser la possibilité technique d’une identification de personnes contaminées et les dérives qui peuvent en découler :s
pas si simple tout ça (j’avais bien dit que c’était une idée de 3 neurones en 10 minutes
#8
#9
#10
À moins qu’ils profitent d’une faille en douce sur Android, et donc s’en foutent royalement de leur demander leur avis… Chose qui paraît plus difficile sur le matériel Apple quand on voit comment galèrent les officiels des USA et leurs amis… (vu les facilités des chinois pour surveiller les minorités, ils devraient leur demander conseil…).