Cet article de blog est co-écrit avec Least Authority , une entreprise technologique basée à Berlin qui s'engage à faire progresser la sécurité numérique et à préserver la vie privée en tant que droit humain fondamental.
Cette semaine, l'application de traçage COVID en Allemagne a finalement été mise en ligne. Alors que les gouvernements du monde entier se précipitent pour adopter des applications de recherche des contacts dans leur lutte contre la pandémie de COVID-19, leurs efforts se sont accompagnés d'importants débats concernant la sécurité, l'efficacité et la nécessité de la technologie. L'approche de l'Allemagne pour les applications de recherche de contacts a été une route longue et sinueuse, avec de nombreux retards et changements de cap.
Maintenant que «Corona-Warn-App» est disponible en téléchargement, nous répondons à certaines des questions clés concernant des sujets tels que la protection des données, la confidentialité et les règles qui régissent l'application.
Dois-je avoir l'application?
Non. Le téléchargement et l'utilisation de l'application sont volontaires. Jusqu'à présent, cependant, il n'y a pas de loi régissant l'application, et les critiques ont fait valoir que le caractère volontaire de l'application devrait être légalement protégé. De plus, la pression sociale ou la pression des employeurs pour installer l'application peut compromettre la capacité des individus à choisir librement s'ils souhaitent ou non télécharger l'application.
Dois-je télécharger une nouvelle application de suivi des contacts chaque fois que je traverse une frontière européenne?
Probablement pas. La plupart des pays faisant partie de l'espace Schengen, dans lesquels les citoyens de l'UE peuvent traverser les frontières sans passer par les contrôles aux frontières, ont assoupli leurs restrictions de voyage . Les gouvernements de l'UE qui utilisent des applications « décentralisées » ont accepté de rendre leurs applications de recherche des contacts interopérables à travers les frontières , mais il n'est pas clair quand cette solution sera en place. Cependant, il est peu probable que l'application décentralisée de l'Allemagne soit interopérable avec, par exemple, la France, qui utilise une approche «centralisée». Il vaut la peine de vérifier la politique d'un pays concernant les applications de recherche des contacts avant de traverser les frontières: la réouverture de l' UE est une ressource utile.
Quelle est la différence entre les applications centralisées et décentralisées, et quelle approche l'application allemande suit-elle?
Alors que les gouvernements du monde entier s'intéressent aux technologies de traçage des contrats, les chercheurs ont préconisé différentes solutions. Une question importante dans la conception des systèmes de recherche des contacts est de savoir s'ils sont «centralisés» ou «décentralisés». Dans le contexte des applications de suivi des contacts, les modèles centralisés et décentralisés s'appuient sur une autorité qui traite les données. La différence est ce que l'autorité (par exemple, une autorité de santé publique) sait. Dans le modèle centralisé, l'autorité en sait suffisamment pour contacter les personnes qui auraient pu se trouver à proximité d'une personne qui a par la suite été testée positive. Cela inclut des données sur les associations interpersonnelles, qui peuvent être assez sensibles. Dans le modèle décentralisé, l'autorité ne connaît généralement que l'identité des utilisateurs qui ont reçu un diagnostic de COVID-19. Dans un modèle décentralisé, l'application de suivi des contacts compare la liste des identifiants des personnes testées positives avec la liste des identifiants avec lesquels elle est entrée en contact localement, sur le téléphone des utilisateurs.
Alors que les systèmes centralisés et décentralisés peuvent tous deux présenter une multitude de problèmes de confidentialité, les approches centralisées reposent sur l'hypothèse dangereuse qu'une seule autorité centrale peut faire confiance pour garder de grandes quantités de données sensibles en sécurité, et ne les détournera pas. Comme nous l'avons vu maintes et maintes fois, une telle confiance est souvent abusée . Les modèles décentralisés soigneusement construits sont beaucoup moins susceptibles de porter atteinte aux libertés civiles, et l'EFF a pris clairement position contre l'utilisation de systèmes centralisés pour la recherche des contacts.
Dans l'UE, de nombreux gouvernements – dont l'Allemagne – ont commencé avec une approche centralisée, mais ont basculé vers un système décentralisé après les critiques des ONG et des chercheurs sur les droits numériques . L'App Corona-Warn en Allemagne est basée sur le cadre décentralisé développé par Apple et Google . Bien qu'il ne soit pas parfait, c'est une option plus respectueuse de la vie privée.
Comment fonctionne l'application?
Le but de l'application Corona-Warn est d'avertir les utilisateurs lorsqu'ils ont été en contact avec d'autres utilisateurs qui se sont révélés positifs. L'hypothèse sous-jacente est que de nombreuses personnes possèdent des smartphones et que la plupart portent leur téléphone avec eux. La majorité des smartphones incluent la technologie Bluetooth, qui permet le partage de données sur de courtes distances. Cette technologie est utilisée pour l'application de suivi des contacts.
L'application est basée sur l'interface de notification d'exposition d'Apple et de Google qui permet aux smartphones d'échanger de courts signaux Bluetooth portant des numéros d'identification rotatifs. Chaque téléphone partage son propre identifiant toutes les cinq minutes environ et écoute constamment les appareils à proximité faisant de même. Les téléphones utilisent des clés aléatoires quotidiennes pour générer de nouveaux identifiants toutes les deux minutes et les stocker localement (c'est-à-dire sur le téléphone des utilisateurs) pendant 14 jours.
Lorsque les personnes qui ont téléchargé l'application sont proches les unes des autres pendant une période donnée, leurs téléphones échangent leurs identifiants et chacun enregistre l'ID de l'autre téléphone. Parallèlement à l'ID, les téléphones enregistrent également des données sur la date, l'heure et la durée du contact, ainsi que la force du signal, qui seront importantes ultérieurement pour évaluer le risque d'infection d'un utilisateur.
Comment l'application sait-elle si je suis infecté?
Lorsqu'une personne obtient un résultat positif au test COVID-19, elle peut – mais n'est pas obligée – de communiquer son résultat de test à l'application Corona-Warn. Dans de tels cas, l'application enverra toutes les clés quotidiennes qu'elle a utilisées au cours des 14 derniers jours à un serveur après que l'utilisateur infecté a donné son consentement pour partager ces données. Ces clés permettent à quiconque les voit de générer les ID d'appareil roulant de l'utilisateur associé.
Chaque téléphone sur lequel l'application est installée télécharge régulièrement la liste des identifiants des utilisateurs qui ont été testés positifs. L'application compare ensuite cette liste à la liste des identifiants qu'elle a rencontrés au cours des deux dernières semaines. Cette correspondance ne se produit pas sur un serveur centralisé, mais est plutôt décentralisée sur le téléphone des utilisateurs. Les utilisateurs ne sont pas non plus informés qu'ils ont été en contact avec une ID spécifique liée à une personne infectée, mais on leur dit seulement qu'un contact a été établi avec une personne non spécifiée qui a été testée positive pour COVID-19. Les utilisateurs sont informés du jour où ils ont pris contact avec la personne infectée, mais pas de l'heure, pour aider à protéger l'identité du patient.
Une fois que l'application détermine qu'elle a été en contact avec une personne infectée, elle calcule le risque que son utilisateur soit infecté par COVID-19. C'est à ce moment que les données concernant la date et la conservation du contact, ainsi que la puissance du signal que le téléphone a collecté avec l'ID, entrent en jeu. En conjonction avec le facteur de risque de transmission du patient, déterminé par l'autorité sanitaire, l'application informe l'utilisateur de son risque d'infection agrégé.
Les utilisateurs ne sont pas tenus de prendre des mesures spécifiques une fois qu'ils sont informés de leur risque et n'ont pas à signaler leur facteur de risque à leur autorité sanitaire locale. Les utilisateurs sont ainsi libres de modifier leur comportement en fonction de leur score de risque (par exemple, demander un test ou une auto-quarantaine) ou d'ignorer le score.
L'application a-t-elle mon nom?
Non. Conformément à la loi européenne sur la protection des données, le RGPD, l'application minimise la quantité de données personnelles qu'elle demande aux utilisateurs de partager. Les utilisateurs n'ont qu'à fournir des données concernant les fonctions suivantes:
- Consentement à l'utilisation du cadre de notification d'exposition, l'API développée par Apple et Google qui permet à l'application de communiquer entre les iPhones et les smartphones fonctionnant sur le système d'exploitation Android de Google
- Numéros d'authentification de transaction (TAN) à travers lesquels les utilisateurs valident leur résultat de test
- Consentement pour le téléchargement des clés quotidiennes, qui peuvent être utilisées pour générer des ID d'appareil (après que l'utilisateur a soumis un résultat de test positif)
Pourquoi est-ce censé m'aider à savoir que j'étais proche d'une personne infectée alors que je ne peux pas me faire tester de toute façon?
S'il a été difficile de se faire tester pour le COVID-19 pendant les premiers mois de la pandémie, la situation en Allemagne s'est améliorée depuis. Les personnes qui souhaitent se faire tester doivent contacter un hôpital local, leur médecin généraliste ou un centre de test . L'Allemagne s'est également engagée à étendre les capacités de test pour les personnes asymptomatiques. En informant les utilisateurs de leur risque d'infection, l'application fournit également les coordonnées des autorités locales et des informations supplémentaires sur les mesures que les utilisateurs peuvent prendre.
Et si les gens alimentent l'application avec de fausses informations?
Pour éviter que les utilisateurs ne soumettent de faux résultats de test, l'application demande aux patients de confirmer l'authenticité de leur résultat de test. Cela peut se produire via un numéro TAN ou un code QR. L'application télécharge la liste des identifiants avec lesquels elle a été en contact au cours des 14 derniers jours uniquement après la validation d'un résultat de test.
Une autre source potentielle de fausses informations est la technologie Bluetooth sur laquelle l'application est basée. La technologie Bluetooth n'a pas été conçue pour prendre en charge les efforts de recherche des contacts, et les faux positifs, les faux négatifs ou les résultats imparfaits sont tous possibles.
Les données sont-elles vraiment anonymisées?
Oui. Les données seront anonymisées – ce qui signifie que vos informations personnelles ne seront pas partagées avec les appareils mobiles qui entrent en contact avec les vôtres – mais cela ne signifie pas que l'identité de chacun est garantie d'être inconnue de tout le monde et de tous les contextes.
Par exemple, si vous ne quittez pas votre domicile pendant 14 jours et qu'une seule personne vous rend visite pendant cette période, et que vous êtes averti d'avoir été en contact avec une personne dont le test est positif, vous pourrez déduire que la personne qui vous a rendu visite était la personne qui a été testée positive.
Comment les données sont-elles protégées?
Les données collectées par l'application sont stockées sur votre appareil mobile. Dans l'application, toutes les données stockées sont cryptées conformément aux meilleures pratiques de l'industrie. Les données stockées comprennent également une clé par jour (la «clé quotidienne») qui est utilisée pour générer les identifiants diffusés.
Lorsqu'un résultat de test positif est confirmé, les 14 derniers jours de clés d'utilisateur stockées dans l'appareil de cette personne sont volontairement partagées avec le serveur. Ces clés sont ensuite diffusées sur tous les appareils utilisant l'application. Ces appareils utilisent les clés pour dériver les ID de l'appareil en rotation pour l'utilisateur infecté et les comparer à leurs listes de contacts locaux. Les appareils avec des allumettes indiqueront qu'ils se trouvaient à proximité d'une personne dont le test COVID-19 était positif.
Le gouvernement a-t-il accès aux données?
Non. Selon la conception de l'application Corona-Warn, le gouvernement ne devrait pas avoir accès aux journaux de contacts stockés sur votre appareil. Les appareils mobiles téléchargent leurs clés quotidiennes («Clés d'exposition temporaire»), et d'autres appareils mobiles téléchargent celles-ci, dérivent les clés de 10 minutes («Rotating Proximity Identifiers») et les comparent à leurs contacts enregistrés. Cela signifie que le serveur, et toute personne qui l'exploite (comme le gouvernement), n'apprend pas vos graphiques de contact ou ceux des autres (les informations sur les personnes avec lesquelles vous entrez en contact et comment tout cela se connecte). Les applications téléchargent uniquement des clés d'utilisateurs positifs et non les journaux de contacts eux-mêmes.
Tout cela suppose que les appareils mobiles fonctionnent de la même manière que celui décrit dans la documentation de Google et Apple. L'application Corona-Warn prétend qu'elle n'ajoute que des données sur la version du protocole qu'elle utilise et la force du signal, mais il n'est pas impossible pour l'application sur votre appareil mobile de joindre des données supplémentaires.
Puis-je être suivi via l'application?
L'application Corona-Warn est conçue pour prendre en charge le traçage des chaînes d'infection, et non pour accéder ou suivre l' emplacement de l'utilisateur. De plus, les développeurs semblent s'abstenir d'utiliser des outils d'analyse et de télémétrie afin de collecter le moins de données d'identification personnelle possible. Bien qu'il soit possible que des auditeurs tiers puissent apprendre certaines informations des données diffusées par l'application, il est peu probable que l'application puisse être utilisée comme un mécanisme de suivi de localisation responsable, en particulier par rapport aux autres pistes numériques déjà laissées par nos appareils. Cependant, certains risques subsistent .
L'application est-elle open-source?
Oui. Le code de cette application est accessible au public sur Github , une plate-forme de développement logiciel. Bien qu'il soit techniquement possible pour le fournisseur de l'application de distribuer une version du code qui a été modifiée pour collecter davantage de données personnelles, il est peu probable qu'une telle manipulation ne passe pas inaperçue au milieu d'un examen attentif de l'application en Allemagne.
Combien d'applications y a-t-il?
Outre l'application Corona-Warn, il existe également l' application «don de données» du Robert-Koch-Institute, l'agence fédérale allemande chargée du contrôle et de la prévention des maladies. L'application permet aux utilisateurs de partager – volontairement – des données biométriques collectées avec des appareils portables comme Fitbits. L'application a été critiquée pour sa protection des données et ses garanties de confidentialité peu claires. L'EFF a mis en garde contre les conséquences négatives associées à l'utilisation de dispositifs portables pour lutter contre COVID-19.
L'application sera-t-elle supprimée après la «fin» de la crise?
Le gouvernement allemand n'a pas encore annoncé ses critères ni son calendrier pour la fin de l'application, et les critiques demandent une date d'expiration fixe pour l'application. Apple et Google se sont publiquement engagés à désactiver leur système de notification d'exposition sur une base régionale lorsqu'il n'est plus nécessaire. Les utilisateurs sont libres de désactiver la fonction de journalisation de l'exposition, grâce à laquelle les téléphones reçoivent à tout moment les identifiants temporaires des autres utilisateurs. Les utilisateurs peuvent également désinstaller l'application chaque fois qu'ils estiment que leur besoin s'est dissipé. Nous savons que, historiquement, les gouvernements s'accrochent souvent aux nouveaux pouvoirs qu'ils acquièrent pendant une crise, il est donc essentiel que le gouvernement précise clairement le calendrier de cette technologie.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/germanys-corona-warn-app-frequently-asked-questions le Wed, 17 Jun 2020 21:35:45 +0000.