Le seul moyen d’appliquer le track-and-trace à l’échelle nécessaire consiste à utiliser les données de géolocalisation fournies par les téléphones portables. Dans le cadre de cette approche, un "contact" survient lorsque les téléphones de deux personnes, ou plus précisément leurs signaux Bluetooth, entrent en étroite proximité pendant un certain temps. Plusieurs systèmes de détection de telles interactions ont d’ores et déjà été proposés, voire déployés. Singapour met ainsi en œuvre sont initiative TraceTogether, Google et Apple ont récemment uni leurs forces pour concevoir une application de traçage des contacts basée sur le volontariat, tandis qu’un important consortium a lancé en Europe le projet "Pan-European Privacy Preserving Proximity Tracing" (PEPP-PT).

Respect de la vie privée

De toute évidence, n’importe quel système de track-and-trace soulèvera de sérieuses interrogations quant au respect de la vie privée. L’objectif consiste bel et bien à identifier les personnes infectées. Même si les identifiants d’utilisateur sont anonymisés, ils devront à un stade ou un autre du processus être reliés à un nom et numéro de téléphone. Les conceptions actuelles peuvent être optimisées en intégrant des fonctionnalités techniques supplémentaires afin de limiter l’utilisation des données de proximité collectées, tout en permettant un suivi et traçage efficace. Pour autant, les règles régissant la collecte et l’utilisation des données devront d’abord être adaptées à nos nouveaux besoins de surveillance.

Pour ce faire, une récente proposition établit une distinction entre trois niveaux d’intrusion dans la vie privée: de la part d’un tiers, de la part des contacts d’une personne, et de la part de l’Etat. A l’exception de la Corée du sud, aucun des Etats appliquant d’ores et déjà un système de track-and-trace ne rend publiquement disponibles les informations personnelles relatives aux cas positifs (ce que font par exemple les Etats-Unis pour les individus enregistrés comme délinquants sexuels). Seulement voilà, même les programmes qui garantissent les deux premiers niveaux de protection de la vie privée ne peuvent pas garantir l’absence d’intrusion par l’Etat sans compromettre l’efficacité du système.

Autodestruction des données

C’est pourquoi nous devons pour l’heure concevoir des systèmes de protection contre les contournements et les hackers. Il nous faudra néanmoins pour cela attendre que des méthodes concrètes existent pour garantir le troisième niveau de vie privée. Une importante exigence technique consiste à limiter la durée de vie des données de contact, la trace de chaque interaction Bluetooth avec un autre téléphone, à une durée de 14 jours, à l’issue de laquelle les données doivent être effacées automatiquement. Il est nécessaire que ce principe s’applique à la fois aux données contenues dans les téléphones et aux données stockées par l’Etat. Pour que cette règle soit pleinement observée, la recherche et développement devra néanmoins harmoniser d’urgence les protocoles d’autodestruction des données, lesquels sont actuellement trop complexes et trop lourds pour la tâche à accomplir, notamment s’agissant des appareils mobiles.

Cette tâche doit relever de la compétence des développeurs de logiciels et de matériels. Du côté des dirigeants politiques, la priorité majeure doit consister à maintenir le "principe de limitation de l’utilisation", qui veut que les données fournies par les utilisateurs ne servent qu’aux finalités énoncées au moment de leur collecte, la finalité résidant en l’occurrence dans le suivi des cas positifs au coronavirus.

Les dirigeants politiques vont également devoir régir le processus via lequel les utilisateurs de téléphone portable consentent à fournir leurs données. Une approche basée sur l’adhésion, aspect optimal du point de vue de la vie privée, consisterait pour les utilisateurs à installer volontairement l’application de track-and-trace. Or, en dehors de l’Asie du sud-est, rien ne garantit que cette approche recueillera une adhésion suffisante.

Une option légèrement plus persuasive pourrait fonctionner en sens inverse: l’application serait automatiquement installée sur tous les appareils mobiles, mais les utilisateurs pourraient choisir de la supprimer ou de la désactiver. Un récent sondage mené au Canada révèle que deux tiers des habitants seraient favorables à la mise en œuvre d’un programme de track-and-trace par le gouvernement. Cela signifie d’un autre côté qu’un tiers des Canadiens, chiffre non négligeable, ne participeraient peut-être pas à la démarche.

Des objectifs clairement formulés 

La seule option restante résiderait alors dans le partage obligatoire des données, pour lequel l’application serait programmée en dur dans le système d’exploitation de l’appareil. Pour rendre cette approche plus acceptable, le système, comme les données collectées, devrait s’accompagner d’une clause d’extinction, qui prévoirait sa suppression une fois la crise surmontée.

Mais comment définir ce stade? Aux Etats-Unis, les règles de protection du droit à la vie privée des patients dans les environnements médicaux, en vertu du Health Insurance Portability and Accountability Act, ont été significativement assouplies en réponse à la crise, le département américain de la Santé n’ayant fourni que peu d’indications sur le calendrier de plein retour en vigueur de ces règles. Pour éviter de reproduire la même erreur, les programmes de track-and-trace devront s’accompagner d’un objectif vérifiable et clairement formulé, tel que la constatation d’une période sans nouvelles infections, ou l’inoculation d’une majorité de la population lorsqu’un vaccin sera disponible. Les clauses d’extinction devront également être inscrites dans le logiciel, et soumises à audit par des organes indépendants tels que l’Electronic Frontier Foundation.

Dernière interrogation, qui devra concevoir ces systèmes, fixer les règles de collecte et de stockage des données, et décider de la meilleure approche d’équilibre entre vie privée et efficacité? Plutôt que de déléguer un contrôle absolu aux développeurs ou à l’Etat, nous devrions solliciter des représentants du secteur privé, du gouvernement, du milieu universitaire, et de la société civile.

La pandémie de Covid-19 nous contraints à repenser les cadres préétablis de collecte des données et de protection de la vie privée. Répondre à l’urgence de santé publique en ne faisant intervenir qu’un minimum de complexités informatiques n’est pas chose facile. Les institutions qui subventionnent la science informatique doivent réorienter leurs priorités en direction d’efforts d’introduction de méthodes applicables et responsables, permettant à la fois la collecte des données de proximité et la mise en œuvre des garde-fous nécessaires.

Si la vie privée doit provisoirement passer après la santé publique, alors des protocoles doivent être précisément définis concernant l’expiration de cette situation d’exception. Pour citer l’anthropologue américaine Margaret Mead, "S’il peut être nécessaire d’accepter temporairement un moindre mal, il ne faut jamais considérer ce moindre mal comme un bien".

Traduit de l’anglais par Martin Morel