Tracing: le grand foutoir (décodage)
En plus des call centers, la Belgique va se doter d’une appli pour tracer les personnes potentiellement infectées par le coronavirus. Pour quand, pourquoi, par qui ? Qu’adviendra-t-il de nos données personnelles ? Comment susciter l’indispensable adhésion ? Décryptage d’une stratégie critiquée, et dont certains rouages inquiètent.
» Tracing « , » traçage » ou le plus consensuel » suivi de contacts « . Trois appellations pour une seule et même parade face à la pandémie : celle qui consiste à identifier les personnes ou les collectivités en contact avec un porteur confirmé ou présumé du coronavirus. Superflue au plus fort de la crise sanitaire, elle se révèle pertinente quand le nombre de nouveaux cas journaliers est plus faible, comme c’est le cas en Belgique à l’heure actuelle. Même sans présenter de symptômes, celles et ceux qui ont côtoyé une personne positive peuvent dès lors se faire tester, ou à défaut se mettre en quarantaine. Sur le fond, le principe ne souffre d’aucune contestation : il était déjà utilisé chez nous pour des maladies comme la méningite, la rubéole ou la rougeole. Sur la forme, en revanche, c’est une autre histoire. Parce que le tracing amplifie toute la complexité institutionnelle et si contreproductive de notre pays, en reposant à la fois sur ses strates fédérale (pour la protection de la vie privée), régionales et communautaires (compétentes en matière de médecine préventive). Et surtout parce qu’il formalise la collecte de données personnelles ou sensibles, ce qui fait naître des craintes légitimes en matière de piratage, de respect de la vie privée ou d’utilisation à d’autres fins. Un flou artistique que Le Vif/L’Express dissipe en huit réponses, même si d’inquiétantes zones d’ombre persistent.
Le tracing amplifie toute la complexité institutionnelle de notre pays.
- Est-ce utile ?
Pour l’Organisation mondiale de la santé (OMS), » la recherche des contacts est une mesure de santé publique essentielle et un élément essentiel de stratégies globales de contrôle de la propagation du Covid-19. Le traçage des contacts rompt les chaînes de la transmission interhumaine en identifiant les personnes exposées à des cas confirmés, en les mettant en quarantaine, en les suivant pour assurer un isolement rapide, et en effectuant des tests et des traitements en cas de symptômes « .
Les experts estiment que lorsqu’elles sont mises en oeuvre de manière systématique et efficace, ces actions peuvent garantir que le nombre de nouveaux cas engendrés par chaque cas confirmé « est maintenu en dessous d’un ». C’est le fameux R0 dont on parle depuis des semaines. Longtemps autour de 6 à 8 (ce qui signifie 8 personnes infectées par un seul malade), il avait ensuite chuté à 0,5, ce qui a permis la baisse du nombre de cas. Mais il repart vers 0,85 ces derniers jours.
L’OMS ne nie pas que les défis de la recherche des contacts incluent l’identification incomplète des contacts, l’inefficacité des systèmes de notification sur papier, les exigences complexes de gestion des données et les délais entre l’identification des contacts et l’isolement des cas suspects parmi les contacts. » Les outils numériques peuvent jouer un rôle pour surmonter certains de ces défis lorsqu’ils font partie d’un programme de recherche des contacts doté de ressources suffisantes. [Ils] ne peuvent être efficaces que s’ils sont intégrés dans un système de santé publique existant qui comprend du personnel des services de santé, des services de test et une infrastructure de recherche manuelle des contacts « , notent-ils.
2. Où en est le tracing manuel en Belgique ?
Il existe deux méthodes pour tracer des individus dans le cadre de cette pandémie : l’une est dite manuelle et individuelle, l’autre automatique et collective. Appliquée dans les trois Régions du pays depuis le 11 mai dernier, la première est effectuée par des agents de prévention Covid-19. D’abord par téléphone ou, à défaut, à l’occasion d’une visite domiciliaire. Ceux-ci interrogent les patients positifs au coronavirus et ceux pour lesquels de fortes présomptions demeurent malgré un résultat négatif (les » faux négatifs « ) : quelles personnes ont-ils côtoyées pendant plus de quinze minutes ou à moins d’1 m 50 pendant les jours qui ont précédé ? Les agents prennent ensuite contact avec ces dernières, sans indiquer qui les a identifiées, pour leur adresser des recommandations diverses : dépistage, confinement, rappel des gestes barrières… Si elles acceptent de se faire tester, elles reçoivent un code qui les rend prioritaires, ainsi qu’un certificat de quarantaine qui les dispense, toujours selon leur propre appréciation, d’aller travailler durant plusieurs jours.
En Wallonie par exemple, du 11 mai au 5 juillet, ce traçage a permis de joindre 70 % des patients recensés comme porteurs du virus (également qualifiés de » cas index « ) ou potentiellement infectés, soit 3 530 personnes. Ces appels ont en outre permis d’identifier 4 478 autres personnes de contact à faible ou haut risque, dont 80 % ont répondu au téléphone. » La plupart des personnes que l’on parvient à joindre sont très réceptives, témoigne l’une des agents chargés de ces appels téléphoniques. Certaines ont déjà préparé leur liste de contacts à l’avance ou se confient longuement. Il arrive toutefois assez souvent que des médecins soient de connivence avec des patients pour introduire un faux numéro. Espérons qu’ils se prêtent davantage au jeu à l’avenir. » Vu le faible nombre de nouveaux cas, ces centres de contact effectuent désormais très peu d’appels. Leur mission pourrait s’achever à la fin du mois d’août, à moins qu’une seconde vague se profile d’ici là ou en septembre.
3. Comment le monde traque-t-il » automatiquement » les infectés du Covid ?
A côté du traçage manuel et individuel, il existe une kyrielle de solutions de traçage automatique qui ont été développées pour améliorer la gestion d’alertes d’infections ou de réinfections de zones géographiques. Au moins 45 pays dans le monde utilisent une telle application. Aucun pays ne dépasse Singapour avec un taux de pénétration de 35 % de la population, alors que de nombreux experts estiment qu’il faut au moins 60 % de pénétration avant d’obtenir des données efficaces. Cette technologie n’a pas été inventée à l’occasion du Covid. Elle existe depuis plusieurs années. En République du Congo, elle a prouvé son efficacité en luttant contre les chaînes de transmission de l’Ebola, dont l’épidémie a été déclarée terminée fin juin.
Ce » tracking » peut être pratiqué avec plusieurs types de technologies, dont certaines sont moins voraces de données personnelles que d’autres. Ainsi, celles basés sur le traçage de la localisation géographique des personnes reçoivent de nombreuses critiques pour les risques en matière de confidentialité et d’utilité. Des approches décentralisées recourant à un traçage dit de » proximité » et stockant les données recueillies sur le téléphone mobile ont été proposées. Celles-ci utilisent le plus souvent le Bluetooth pour tracer uniquement la proximité du téléphone mobile d’un utilisateur avec d’autres téléphones mobiles. Certaines apps, comme TraceTogether, OpenTrace (Singapour) et StopCovid (France) combinent Bluetooth et stockage partiellement centralisé.
Google et Apple ont permis d’utiliser le Bluetooth inclus dans leurs appareils, mais seulement si les apps remplissent un certain nombre de conditions de confidentialité et décentralisation. Ironiquement, ils apparaissent donc comme les défenseurs de la vie privée face à des Etats qui ont développé des applications ne respectant pas ces conditions. Cela a contribué à ce que certains Etats passent à une approche décentralisée, comme l’Allemagne, ou considèrent cette possibilité, comme la Grande-Bretagne.
Il existe plusieurs systèmes qui permettent la » décentralisation « , donc, théoriquement, l’efficacité sans toucher aux données privées. Ils s’appellent DP-PPT ou DP-3T, TCN ou SafePaths du prestigieux Massachusetts Institute of Technology.
4. A quand ce tracing numérique en Belgique ?
Cette deuxième méthode, automatique et collective donc, n’est pas encore opérationnelle chez nous. Elle fonctionnera via une appli de smartphone, voire un autre support doté d’un signal Bluetooth. Le 1er juillet, la Belgique a choisi le protocole DP-3T (Decentralized Privacy-Preserving Proximity Tracing). Il est censé garantir le cryptage de ces échanges entre téléphones : chaque utilisateur se verra ainsi averti d’avoir été récemment à proximité d’une personne à risque, sans connaître ni l’identité de celle-ci, ni la date ou le lieu de la rencontre. Afin d’éviter de faux signalements ou des erreurs de manipulation, seuls les utilisateurs disposant d’un code d’autorisation à la suite d’un test positif au coronavirus pourront encoder leur infection dans l’application. C’est l’une des 14 conditions que prévoit le texte du projet d’accord de coopération, qui liera tous les niveaux de pouvoir sur cette question.
A certaines conditions, Apple et Google ont permis d’utiliser le Bluetooth inclus dans leurs appareils.
L’usage d’une telle application se fera uniquement sur base volontaire et ne pourra induire aucune discrimination. En d’autres mots, personne n’est censé se voir refuser l’accès à un quelconque endroit, y compris le lieu de travail, parce qu’il ou elle n’utiliserait pas l’appli. Du moins en théorie. » Le texte actuel ne prévoit pas de sanctions en cas de discrimination, reproche Franck Dumortier, juriste et membre de la Ligue des droits humains (LDH), une association qui veille au respect des droits fondamentaux en Belgique. Cela veut dire que si un café vous dit : « Montrez-moi l’application ou vous ne rentrez pas », il ne sera pas sanctionné. » L’Autorité de protection des données (APD, l’ex-Commission vie privée) avait pourtant mentionné la nécessité, dans un avis daté du 26 mai dernier, d’imposer des sanctions » pour toute personne qui lierait l’utilisation des applications de traçage à l’accès à un bien ou un service « .
Le marché public pour cette application, commune aux trois Régions, sera lancé sous peu. Celle-ci ne devrait dès lors pas voir le jour avant septembre ou octobre, d’après le cabinet de la ministre wallonne de la Santé, Christie Morreale (PS). Ce délai permettra également au Conseil d’Etat et à l’APD de remettre leurs avis respectifs sur le texte qui servira de base au futur accord de coopération, nécessaire pour instaurer ce tracing numérique. Son contenu a été transposé en urgence dans un arrêté royal le 26 juin dernier, comme la précédente mouture ne courait que jusqu’au 30 juin. Ce nouvel arrêté n’est, à son tour, valide que jusqu’au 15 octobre prochain.
5. Qui collectera nos données et à quelles fins ?
Cette question est au coeur de la polémique autour du tracing. L’arrêté royal du 26 juin confirme la création de cinq bases de données. Sciensano, l’Institut belge de santé publique, est le responsable de traitement pour trois d’entre elles. La première, la plus dense et la plus critiquée, centralise pas moins de 13 données à caractère personnel : nom, prénom, sexe, adresse, coordonnées téléphoniques, résultats de test… Mais aussi des informations que l’APD ou la Ligue des droits humains jugent superflues pour mener à bien le suivi de contacts, comme le numéro de registre national (Niss) ou le résultat d’un éventuel CT-Scan des patients hospitalisés, en l’occurrence un scanner des poumons (lire également la question suivante). La seconde base de données vise à collecter, à partir de la première, des données pseudonymisées en vue de » mener des études scientifiques ou statistiques sur la lutte contre la propagation du coronavirus « . Ces données-là pourront être conservées pendant trente ans. La troisième est une résultante du traçage numérique, à savoir le journal des enregistrements de la future application, censé permettre le bon fonctionnement de cette dernière.
Le marché public pour cette application, commune aux trois Régions, sera lancé sous peu. Celle-ci ne devrait dès lors pas voir le jour avant septembre ou octobre.
Enfin, les deux dernières bases de données sont sous la responsabilité des autorités compétentes désignées par les Régions, pour que les centres de contact puissent effectuer le traçage individuel. Il s’agit de l’Agence pour une vie de qualité (Aviq) en Wallonie, les Services du Collège réuni (Cocom) dans la capitale, la Vlaams Agentschap Zorg en Gezondheid (Vazg) en Flandre et, enfin, le ministère de la Communauté germanophone. Ces deux bases de données reprennent une partie des informations de la base de données centralisée de Sciensano (la première) avec, d’une part, les coordonnées de personnes individuelles, et d’autre part celles des collectivités (hôpitaux, écoles, maisons de repos, prisons…).
6. Pourquoi le tracing belge pose question en matière de protection de la vie privée ?
En Europe, le Règlement général sur la protection des données (RGPD) encadre l’usage qui peut être fait de nos données à caractère personnel, moyennant le respect d’une série de balises. Parmi celles-ci, les données concernées peuvent uniquement être collectées pour des » finalités déterminées, explicites et légitimes « . Elles ne peuvent en outre être traitées ultérieurement de manière incompatible avec ces finalités – la recherche scientifique n’étant pas jugée incompatible à cet égard. Un autre principe concerne la minimisation des données : leur collecte doit également être » adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées « . D’où les innombrables remarques soulevées non seulement par l’APD ces derniers mois, mais aussi par 300 personnalités ayant fait part de leurs inquiétudes dans une carte blanche publiée par la Ligue des droits humains, le 15 mai dernier.
En effet, la collecte du numéro de registre national dans la base de données centralisée de Sciensano n’est pas jugée nécessaire si la finalité vise bien à effectuer un traçage des cas de coronavirus. Un simple droit d’accès au registre national, sans que celui-ci soit stocké, pourrait suffire pour s’assurer de l’identité de la personne contactée en cas de doutes, indique l’APD. A supposer que cette identification soit indispensable, ce qui n’est pas démontré, précise-t-elle. » Il serait même dangereux de le collecter car il permet des rassemblements potentiels de bases de données au sujet d’un individu (en matière fiscale ou de sécurité sociale notamment) « , résume la carte blanche de la LDH. Dans ce contexte, le numéro de registre national constitue une boîte de Pandore : par recoupement, il peut mener à des dérives quant à l’usage de ces données personnelles à d’autres fins. L’APD ne comprend pas non plus pourquoi les données collectées seront liées au Dossier médical global (DMG) des patients, qui contient toutes leurs données médicales, ne peut être partagé sans leur accord et n’est d’aucune utilité pour le traçage.
Il en va de même pour la collecte des imageries médicales des poumons des personnes hospitalisées. Tout au plus peut-elle servir à la fameuse base de données pseudonymisée utilisée pour la recherche scientifique. » Evidemment, on veut tous que la recherche avance, commente Alexandra Jaspar, directrice du Centre de connaissances de l’APD. Mais il y a d’abord un problème de transparence. La base de données centralisée de Sciensano n’est pas celle du traçage ; on y met en fait tout ce qu’on trouve sur les patients infectés et leurs contacts. Ensuite, pourquoi le texte prévoit-il que ces données jugées utiles pour la recherche ne seront communiquées qu’à certains laboratoires ou chercheurs ? » En coulisse, des observateurs avisés redoutent que cette base de données soit en fait créée sur mesure pour servir les intérêts d’une poignée de laboratoires, essentiellement au nord du pays.
L’enjeu: attribuer le marché au développeur présentant la meilleure sécurité.
C’est là qu’entre en scène, en guise d’arbitre autoproclamé, le nébuleux Comité de sécurité et d’information (CSI), un reliquat lifté de l’ère antérieure au RGPD, qui n’est plus censé exister depuis son entrée en vigueur. Le texte du futur accord de coopération confirme que c’est bien ce comité et lui seul qui pourra, après délibération de sa chambre » sécurité sociale et santé « , transférer les données pseudonymisées à des tiers dans le cadre d’études scientifiques ou statistiques.
A la barre de ce vaisseau fantôme, on retrouve Frank Robben, un personnage décrit comme omnipotent et autoritaire. Patron de la Banque carrefour de la sécurité sociale (BCSS). Patron de la plateforme de santé en ligne eHealth. Représentant du gouvernement fédéral au sein du Comité interfédéral Testing & Tracing. Administrateur délégué de Smals, qui fournit entre autres des services pour la BCSS et eHealth. Autant de casquettes dont l’accumulation pourrait précisément mener, selon plusieurs experts, à de potentiels croisements de données, ainsi qu’à des arbitrages bien éloignés de l’alibi du traçage. Autant de menaces, dès lors, qui pèsent sur la protection de la vie privée. » C’est aberrant, aberrant ! résumait récemment Hugues Bersini, directeur du laboratoire d’intelligence artificielle de l’ULB dans le magazine Wilfried. Au moment où tous les pays du monde se démènent pour élaborer une application de traçage la plus transparente possible, la Belgique improvise une database obscure, en restant secrète sur les protocoles. Autour de moi, les experts sont atterrés. »
Attendu dans les prochaines semaines, l’avis de l’APD sur le projet d’accord de coopération doit en épingler toutes les failles, comme elle l’avait déjà fait pour les précédents arrêtés royaux, mais sans avoir été écoutée pour autant. A la plume de l’arrêté initial, un nom : Frank Robben, évidemment.
7. Comment éviter le risque de piratage ?
» La sécurité à 100 % n’existe pas « , rappelle Peter Craddock, avocat spécialisé en droit des technologies pour le cabinet d’avocats NautaDutilh et développeur de logiciels. Vu la nature des données qui peuvent être collectées ou extra- polées à partir de la future application de tracing, tout l’enjeu consistera donc à attribuer le marché public au développeur présentant les meilleurs standards de sécurité. A tous les niveaux : protection de l’appli en elle-même, cybersécurité des bases de données, gestion des permissions d’accès au journal des enregistrements ou des flux d’informations entre les téléphones… » Il est primordial qu’un nombre élevé de points soit réservé à la cybersécurité dans le cahier des charges, poursuit-il. Connaissant le marché belge, je sais que les gouvernements n’auront pas de problèmes à trouver un excellent développeur. »
Les pouvoirs publics devront s’assurer en amont de la fiabilité du développeur retenu. » Il faut à tout prix éviter que ces questions surviennent par la suite, comme ce fut le cas pour le marché des masques, commente Peter Craddock. Il est tout à fait possible qu’un fournisseur privé puisse proposer une meilleure solution qu’un consortium avec, par exemple, des universités. Mais quand le monde académique participe, le but paraît davantage désintéressé dans l’esprit du public, que cette perception soit juste ou non. » En guise de garantie supplémentaire, les autorités pourraient organiser un concours d’ ethical hacking, recommande l’expert. Celui-ci permet à des testeurs externes de débusquer des failles insoupçonnées dans la future application de tracing. De même, les gouvernements pourraient fixer des exigences minimales en amont, en consultant des partenaires expérimentés comme Smals, le Centre pour la sécurité belge (CCB) ou encore les computer crime units de la police. » La Belgique dispose de personnes plus que compétentes pour définir ces exigences, souligne-t-il. Plus elles seront impliquées, plus les pouvoirs publics pourront présenter des garanties aux citoyens et plus le degré de confiance de ces derniers sera élevé.
8. Quels sont les autres moyens pour encourager les citoyens à charger l’appli ?
Aucune démocratie n’acceptera d’imposer l’usage d’une telle application sans apparaître comme dictatoriale, même au nom de la préservation des vies. Même Singapour, un régime fort et autoritaire, qui a imposé son usage par la loi, plafonne à 35 %. Or, il faut au moins 60 % d’usagers pour être efficace, même si cette donnée est contestée (voir ci-après). Pour les experts de l’OMS, » les problèmes de confidentialité concernant la divulgation des données personnelles doivent être résolus avant d’utiliser de tels outils. La contribution potentielle des outils de suivi de proximité dépend de l’adoption à grande échelle du même outil qui, à son tour, dépend des personnes ayant un smartphone approprié qui est toujours chargé et fonctionne, a une connexion fiable à un réseau mobile et leur est toujours accessible « . Seule la confiance dans l’innocuité du logiciel pour la vie privée de chacun arrivera à faire augmenter le nombre de participants. C’est pourquoi ces logiciels sont la plupart du temps open source, ce qui permet à n’importe quel informaticien un peu expérimenté de vérifier que le code contenu ne détourne pas de données vers des tiers comme des assureurs ou des employeurs. Leur témoignage peut ensuite être entendu largement et rassurer la population. » Les techniques parfois utilisées pour augmenter la participation à des programmes sanitaires, comme le fait de payer les gens pour aller chez le médecin, suivre un régime diététique ou faire vacciner son enfant, comme cela se fait y compris dans des nations développées, risquent de ne pas fonctionner non plus, car la méfiance sera plus forte que la rémunération, du moins dans un premier temps « , explique un expert expérimenté en santé publique.
Par ailleurs, il existe des risques : une confiance excessive dans les outils de traçage de proximité peut entraîner l’exclusion de contacts tels que des enfants ou des personnes qui ne disposent pas d’un appareil approprié. » On peut dans ce cas offrir la technologie, ce qui peut prendre la forme d’un porte-clé ou d’un badge, d’un coût d’environ trois euros « , qui rendra le même service sans obliger de passer par l’apprentissage de l’usage d’un smartphone, ce qui peut être complexe chez les personnes âgées ou malvoyantes. Dans un récent entretien au Vif, Elise Degrave, professeure à la Faculté de droit de l’UNamur, signifie bien que » tant qu’il n’y a pas assez d’informations et d’explication, le citoyen ne peut pas être rassuré, il y a trop de questions en suspens. C’est à l’Etat de donner les clés de lecture et de compréhension. Le citoyen s’inquiète parce qu’il n’est pas informé, et c’est tout à fait normal. C’est à l’Etat de clarifier : ce qu’il collecte, pour quoi, pendant combien de temps… Il faut lui donner des outils pour le rassurer, comme une plateforme électronique où il pourrait voir quelles sont les données disponibles à son sujet, pourquoi elles sont utilisées et qui les a consultées. Les gens ont besoin de savoir ce qu’on fait avec leurs informations. Le citoyen doit réclamer les outils pour comprendre. Il faut le faire, car on a besoin de lui pour que ça fonctionne. » CQFD.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici