La date de déconfinement prévue le 11 mai doit permettre de remettre les enfants à l’école, de relancer l’économie et de mettre fin à cette période de confinement si difficile pour bon nombre de français. Le principal objectif du gouvernement est de faire repartir l’économie et de limiter au maximum les nouvelles contaminations. C’est l’objectif principal donné à l’application StopCovid développée par l’Inria pour le gouvernement et sur laquelle doit s’exprimer le parlement cette semaine.
Le concept est clair : tout part de la personne contaminée qui transmet sur l’application, via un serveur, l’information selon laquelle elle est testée positive. Le serveur établit la chaîne de rencontres passées pour avertir les personnes désormais à risque. Les personnes alertées sont invitées, immédiatement, soit à réaliser un test médical, soit à se mettre en quarantaine.
Nous voyons quatre facteurs qui détermineront la réussite ou l’échec de ce système de contact tracing :
- Le taux d’utilisation
- La disponibilité des tests
- L’étanchéité des informations commercialement sensibles
- Le rôle de l’Union Européenne
Revue de détails.
Le taux d’utilisation
Pour être efficace, le taux d’utilisation de StopCovid doit atteindre 60% de la population selon une étude de l’Université d’Oxford. Il dépendra du taux d’équipement en smartphone en France, du taux de téléchargement et du taux de saisie de l’information de contamination quand elle s’applique.
Le taux d’équipement en France ne pose pas de problème majeur, il est en moyenne de 77%, il dépend des classes d’âge et décroche à partir de 70 ans et plus, où il tombe à 45%. C’est d’ailleurs une des raisons pour lesquelles les seniors devront cesser leur confinement bien plus tard. En revanche, le téléchargement et le taux de saisie pourraient poser un problème.
Le téléchargement ne serait pas obligatoire. Et le gouvernement annonce un traçage sans impact sur la vie privée des français. Seulement, il faut bien informer les français sur le traitement de leurs données liées au téléchargement. Il est certes dit que rien ne sera demandé au moment du téléchargement (ni identité, ni mail, ni numéro de téléphone, etc.) car le lien se fera par Bluetooth, de machine à machine, entre le terminal ayant un porteur contaminé et les terminaux ayant été en contact prolongé avec ce même terminal (pendant 5 minutes et à moins de 2 mètres). Mais il faudra nécessairement prévoir le cas où l’utilisateur est informé de sa séropositivité et de son obligation d’en informer le système. De la manipulation de cette donnée en particulier dépendent non seulement l’envie ou non du citoyen de télécharger mais aussi son consentement à saisir l’information selon laquelle il est contaminé.
C’est sur ce dernier point qu’il faudra être précis sans brouiller la communication. Aujourd’hui, seuls un professionnel de santé, un laboratoire de biologie ou un infirmier donnerait un QR code aux individus concernés pour qu’ils le saisissent dans l’application. Deux solutions existent : soit l’information ne porte pas l’identité du contaminé et lie au terminal l’information « porteur contaminé », soit-elle la porte mais le traitement garantit lui-même une protection des données personnelles au sens du RGPD. Dans ce dernier cas, il faudra demander le consentement au traitement des données personnelles, « sans cases pré-cochées » précise la CNIL. Enfin, le niveau d’exigence liée à une fonctionnalité devant être remonté au niveau des règles régissant l’application tout entière, il faudra le dire au moment du téléchargement.
La disponibilité des tests garantie par l’Etat
Dans son allocution du 13 avril, le Président de la République a annoncé : « Nous n’allons pas tester toutes les Françaises et tous les Français, ça n’aurait aucun sens. Mais toute personne ayant un symptôme doit pouvoir être testée ».
Mais alors que faire de l’information StopCovid reçue sur son smartphone ?
Si les tests ne sont accessibles qu’en présence de symptôme, que fera l’utilisateur du smartphone et qui se trouve sans symptôme recevant l’alerte StopCovid ? Reviendra-t-il se confiner pour respecter la quarantaine, et ce, après deux mois de confinement et en plein effort de reprise économique ? Quelles seront les instructions et quelle sera l’organisation sociale autour de ces situations ? Quel sera le rôle des hôtels pour permettre un confinement individuel, ponctuel et localisé là où se trouve la personne à risque ?
Si les tests sont accessibles sans nécessairement montrer de symptômes, leurs capacités seront-elles au rendez-vous ? Seront-elles proportionnelles à la pente de contamination par région déjà observée avant le 17 mars ? Et ce, au moins pour les premières semaines, le temps que les contaminations se déclarent ?
L’annonce de 50 000 tests par jour en mai et 100 000 tests en juin sera-t-elle compatible avec un chainage immédiat entre saisie des contaminations, alertes personnes au contact et tests de dépistage accessibles dans les régions les plus touchées ?
La poursuite de la responsabilisation des français et l’observation de ces nouvelles contraintes dépendront fortement de ces capacités typiquement régaliennes.
L’étanchéité des informations commercialement sensibles
Un troisième verrou essentiel est à lever et non des moindres. Les négociations en cours avec Apple et Google pour le référencement de l’application StopCovid se heurtent à des problèmes techniques et de libertés individuelles. La question est de savoir si l’étanchéité des données personnelles liées à l’opération StopCovid sera préservée dans le système d’exploitation de ces géants du numérique. Car mettre dans leurs systèmes d’exploitation des informations sur qui est avec qui, quand et où, offre des données supplémentaires à Apple et Google et confisque un pan nouveau des libertés individuelles des français. La tentation est en effet très grande pour ces deux acteurs d’enrichir les données virtuelles de données sociales in real life, permettant d’affiner des informations commercialement très sensibles en contrepartie d’un référencement gratuit de StopCovid dans leurs stores respectifs.
Le rôle de l’Union Européenne
En Europe, de nombreux pays font également la course à l’applications de traçage, avec différents modes de fonctionnement, partenaires et protocoles. Sur 28 pays (pays membres + UK), 14 pays développent une application de traçage mais avec de profondes différences, soit en matière de technologie de localisation, bluetooth ou de géolocalisation, de souveraineté dans le développement (national ou international), ou encore de mesure d’incitation au téléchargement (restrictions de déplacements).
Que fait l’UE dans ce contexte ? Pour aider les gouvernements, le consortium paneuropéen PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) a été établi pour rechercher des modules et des outils de suivi et d’interopérabilité respectueux de la vie privée, prêts à l’emploi, bien testés et validés.
Au-delà de ces lignes directrices, l’UE joue essentiellement un rôle d’arbitre et veille à respecter les règles de protection de la vie privée au travers du RGDP, considéré comme un fleuron européen dans la quête de souveraineté digitale. Autrement dit, elle n’aide pas beaucoup.
Il y a fort à parier qu’avec une telle posture de l’UE, les pays arrivent en ordre dispersé au moment de la reprise dans une phase autarcique. Dans une seconde phase, lorsque l’ouverture des frontières sera possible ou testée, l’interopérabilité non seulement technique mais de fonctionnement appellera une harmonisation des règles européennes. La probabilité est grande qu’à terme, la règlementation stricte de la protection de la vie privée telle qu’elle est conçue aujourd’hui vole en éclat au profit d’un référentiel plus pragmatique.
——————-
Au-delà de l’analyse une à une de ces difficultés, il en est une plus grande qui les explique, c’est que tout le monde se bat en ce moment sur un référentiel de protection des libertés individuelles qui n’est plus le bon. C’est en réaffirmant, en ce moment, notre objectif supérieur de préservation de la santé des habitants de cette planète que nous pourrons probablement accélérer nos décisions collectives.
Tous les décideurs (dirigeants d’entreprise, politiques, sociaux…) sont confrontés à un nouveau référentiel de décision dans un environnement incertain. Le triptyque économie, santé / sécurité, libertés individuelles redéfinit de manière durable l’équilibre des pouvoirs, la vocation et la place de l’Entreprise, des Acteurs Publics, des Organisations non marchandes dans la gouvernance de la Cité et le sens de la vie en Communauté. L’impact de ce nouveau cadre de décision fera l’objet d’un Webinar Bengs animé par Sébastien Durand, CEO de Bengs, le 5 mai 2020 à 10h. COVID 19 aura eu ceci de bénéfique qu’il impose à l’ensemble de l’humanité une prise de conscience que les modèles existants ne supporteront ni la croissance de la population mondiale (10 milliards dans 25 ans), ni la consommation non régulée des ressources naturelles. Les optimistes y voient une opportunité unique de redéfinir le monde. Les pessimistes y voient les prémisses d’un futur noir. Il appartient à chacun d’être acteur de la construction de ce futur.