Ce billet de blog est co-écrit avec Least Authority , une entreprise technologique basée à Berlin qui s'engage à faire progresser la sécurité numérique et à préserver la vie privée en tant que droit humain fondamental.
Cette semaine, l'application allemande de traçage COVID a finalement été mise en ligne. Alors que les gouvernements du monde entier se précipitent pour adopter des applications de recherche des contacts dans leur lutte contre la pandémie de COVID-19, leurs efforts se sont accompagnés d'importants débats concernant la sécurité, l'efficacité et la nécessité de la technologie. L'approche de l'Allemagne pour les applications de recherche de contacts a été une route longue et sinueuse, avec de nombreux retards et changements de cap.
Maintenant que «Corona-Warn-App» est disponible en téléchargement, nous répondons à certaines des questions clés entourant des sujets tels que la protection des données, la confidentialité et les règles qui régissent l'application.
Dois-je avoir l'application?
Non. Le téléchargement et l'utilisation de l'application sont volontaires. Jusqu'à présent, cependant, il n'y a pas de loi régissant l'application, et les critiques ont fait valoir que le caractère volontaire de l'application devrait être légalement protégé. De plus, la pression sociale ou la pression des employeurs pour installer l'application peut compromettre la capacité des individus à choisir librement s'ils souhaitent ou non télécharger l'application.
Dois-je télécharger une nouvelle application de suivi des contacts chaque fois que je traverse une frontière européenne?
Probablement pas. La plupart des pays qui font partie de la zone Schengen, dans lesquels les citoyens de l'UE peuvent traverser les frontières sans passer par des contrôles aux frontières, ont assoupli leurs restrictions de voyage . Les gouvernements de l'UE qui utilisent des applications « décentralisées » ont accepté de rendre leurs applications de recherche de contacts interopérables au-delà des frontières , mais on ne sait pas quand cette solution sera en place. Cependant, il est peu probable que l'application décentralisée de l'Allemagne soit interopérable avec, par exemple, celle de la France, qui utilise une approche «centralisée». Il vaut la peine de vérifier la politique d'un pays concernant les applications de recherche des contacts avant de traverser les frontières: la réouverture de l' UE est une ressource utile.
Quelle est la différence entre les applications centralisées et décentralisées, et quelle approche l'application allemande suit-elle?
Alors que les gouvernements du monde entier s'intéressent aux technologies de traçage des contrats, les chercheurs ont préconisé différentes solutions. Une question importante dans la conception des systèmes de recherche des contacts est de savoir s'ils sont «centralisés» ou «décentralisés». Dans le contexte des applications de traçage des contacts, les modèles centralisés et décentralisés reposent sur une autorité qui traite les données. La différence est ce que l'autorité (par exemple, une autorité de santé publique) sait. Dans le modèle centralisé, l’autorité en sait assez pour contacter les personnes qui se trouvaient peut-être à proximité d’une personne dont le test est positif par la suite. Cela inclut des données sur les associations interpersonnelles, qui peuvent être assez sensibles. Dans le modèle décentralisé, l'autorité ne connaît généralement que l'identité des utilisateurs qui ont reçu un diagnostic de COVID-19. Dans un modèle décentralisé, l'application de suivi des contacts compare la liste des identifiants des personnes testées positives avec la liste des identifiants avec lesquels elle a été en contact localement, sur le téléphone des utilisateurs.
Alors que les systèmes centralisés et décentralisés peuvent tous deux présenter une multitude de problèmes de confidentialité, les approches centralisées reposent sur l'hypothèse dangereuse qu'une seule autorité centrale peut faire confiance pour conserver de grandes quantités de données sensibles en toute sécurité et qu'elle ne les détournera pas. Comme nous l'avons vu maintes et maintes fois, une telle confiance est souvent abusée . Les modèles décentralisés soigneusement construits sont beaucoup moins susceptibles de porter atteinte aux libertés civiles, et l'EFF a pris une position claire contre l'utilisation de systèmes centralisés pour la recherche des contacts.
Dans l'UE, de nombreux gouvernements – y compris l'Allemagne – ont commencé avec une approche centralisée, mais sont passés à un système décentralisé après les critiques d' ONG et de chercheurs dans le domaine des droits numériques . L'App Corona-Warn en Allemagne est basée sur le cadre décentralisé développé par Apple et Google . Bien qu'il ne soit pas parfait, c'est une option plus respectueuse de la vie privée.
Comment fonctionne l'application?
Le but de l'application Corona-Warn est d'avertir les utilisateurs lorsqu'ils ont été en contact avec d'autres utilisateurs qui se sont révélés positifs. L'hypothèse sous-jacente est que de nombreuses personnes possèdent des smartphones et que la plupart portent leur téléphone avec eux. La majorité des smartphones incluent la technologie Bluetooth, qui permet le partage de données sur de courtes distances. Cette technologie est utilisée pour l'application de suivi des contacts.
L'application est basée sur l'interface de notification d'exposition d'Apple et de Google qui permet aux smartphones d'échanger de courts signaux Bluetooth portant des numéros d'identification rotatifs. Chaque téléphone partage son propre identifiant toutes les cinq minutes environ et écoute constamment les appareils à proximité faisant de même. Les téléphones utilisent des clés aléatoires quotidiennes pour générer de nouveaux identifiants toutes les deux minutes et les stocker localement (c'est-à-dire sur le téléphone des utilisateurs) pendant 14 jours.
Lorsque les personnes qui ont téléchargé l'application sont proches les unes des autres pendant une période donnée, leurs téléphones échangent leurs identifiants et chacun enregistre l'ID de l'autre téléphone. En plus de l'identifiant, les téléphones enregistrent également des données sur la date, l'heure et la durée du contact, ainsi que la force du signal, ce qui sera important plus tard pour évaluer le risque d'infection d'un utilisateur.
Comment l'application sait-elle si je suis infectée?
Lorsqu'une personne obtient un résultat positif au test COVID-19, elle peut – mais n'est pas obligée – de communiquer son résultat de test à l'application Corona-Warn. Dans de tels cas, l'application enverra toutes les clés quotidiennes qu'elle a utilisées au cours des 14 derniers jours à un serveur après que l'utilisateur infecté a donné son consentement pour partager ces données. Ces clés permettent à quiconque les voit de générer les ID d'appareil roulant de l'utilisateur associé.
Chaque téléphone sur lequel l'application est installée télécharge régulièrement la liste des identifiants des utilisateurs qui ont été testés positifs. L'application compare ensuite cette liste à la liste des identifiants rencontrés au cours des deux dernières semaines. Cette correspondance ne se produit pas sur un serveur centralisé, mais est plutôt décentralisée sur le téléphone des utilisateurs. Les utilisateurs ne sont pas non plus informés qu'ils ont été en contact avec un identifiant spécifique lié à une personne infectée, mais on leur dit seulement qu'un contact a été établi avec une personne non spécifiée qui a été testée positive pour COVID-19. Les utilisateurs sont informés du jour où ils ont pris contact avec la personne infectée, mais pas de l'heure, pour aider à protéger l'identité du patient.
Une fois que l'application détermine qu'elle a été en contact avec une personne infectée, elle calcule le risque que son utilisateur soit infecté par COVID-19. C'est à ce moment que les données concernant la date et la conservation du contact, ainsi que la puissance du signal que le téléphone a collecté avec l'ID, entrent en jeu. En conjonction avec le facteur de risque de transmission du patient, déterminé par l'autorité sanitaire, l'application informe l'utilisateur de son risque d'infection agrégé.
Les utilisateurs ne sont pas obligés de prendre des mesures spécifiques une fois qu'ils sont informés de leur risque et n'ont pas à signaler leur facteur de risque à leur autorité sanitaire locale. Les utilisateurs sont donc libres de modifier leur comportement en fonction de leur score de risque (par exemple, demander des tests ou une auto-quarantaine) ou d'ignorer le score.
L'application a-t-elle mon nom?
Non. Conformément à la loi européenne sur la protection des données, le RGPD, l'application minimise la quantité de données personnelles qu'elle demande aux utilisateurs de partager. Les utilisateurs n'ont qu'à fournir des données concernant les fonctions suivantes:
- Consentement à l'utilisation du cadre de notification d'exposition, l'API développée par Apple et Google qui permet à l'application de communiquer entre les iPhones et les smartphones fonctionnant sur le système d'exploitation Android de Google
- Numéros d'authentification de transaction (TAN) à travers lesquels les utilisateurs valident leur résultat de test
- Consentement pour le téléchargement des clés quotidiennes, qui peuvent être utilisées pour générer des identifiants d'appareil (après que l'utilisateur a soumis un résultat de test positif)
Pourquoi est-ce censé m'aider à savoir que j'étais proche d'une personne infectée alors que je ne peux pas me faire tester de toute façon?
S'il a été difficile de se faire tester pour le COVID-19 pendant les premiers mois de la pandémie, la situation en Allemagne s'est améliorée depuis. Les personnes qui souhaitent se faire dépister doivent contacter un hôpital local, leur médecin généraliste ou un centre de test . L'Allemagne s'est également engagée à étendre les capacités de test pour les personnes asymptomatiques. En informant les utilisateurs de leur risque d'infection, l'application fournit également les coordonnées des autorités locales et des informations supplémentaires sur les mesures que les utilisateurs peuvent prendre.
Et si les gens alimentent l'application avec de fausses informations?
Pour éviter que les utilisateurs ne soumettent de faux résultats de test, l'application demande aux patients de confirmer l'authenticité de leur résultat de test. Cela peut se produire via un numéro TAN ou un code QR. L'application télécharge la liste des identifiants avec lesquels elle a été en contact au cours des 14 derniers jours uniquement après la validation d'un résultat de test.
Une autre source potentielle de fausses informations est la technologie Bluetooth sur laquelle est basée l'application. La technologie Bluetooth n'a pas été conçue pour prendre en charge les efforts de recherche des contacts, et les faux positifs, les faux négatifs ou les résultats imparfaits sont tous possibles.
Les données sont-elles vraiment anonymisées?
Oui. Les données seront anonymisées – ce qui signifie que vos informations personnelles ne seront pas partagées avec les appareils mobiles qui entrent en contact avec les vôtres – mais cela ne signifie pas que l'identité de chacun est garantie d'être inconnue de tout le monde et de tous les contextes.
Par exemple, si vous ne quittez pas votre domicile pendant 14 jours et qu'une seule personne vous rend visite pendant cette période, et que vous êtes averti d'avoir été en contact avec une personne dont le test est positif, vous pourrez en déduire que la personne qui vous a rendu visite était la personne qui a été testée positive.
Comment les données sont-elles protégées?
Les données collectées par l'application sont stockées sur votre appareil mobile. Dans l'application, toutes les données stockées sont cryptées conformément aux meilleures pratiques de l'industrie. Les données stockées comprennent également une clé par jour (la «clé quotidienne») qui est utilisée pour générer les identifiants diffusés.
Lorsqu'un résultat de test positif est confirmé, les 14 derniers jours de clés utilisateur stockées dans l'appareil de cet individu sont volontairement partagées avec le serveur. Ces clés sont ensuite diffusées sur tous les appareils utilisant l'application. Ces appareils utilisent les clés pour dériver les ID de l'appareil en rotation pour l'utilisateur infecté et les comparer à leurs listes de contacts locaux. Les appareils avec des allumettes indiqueront qu'ils se trouvaient à proximité d'une personne dont le test COVID-19 était positif.
Le gouvernement a-t-il accès aux données?
Non. Selon la conception de l'application Corona-Warn, le gouvernement ne devrait pas avoir accès aux journaux de contacts stockés sur votre appareil. Les appareils mobiles téléchargent leurs clés quotidiennes («Clés d'exposition temporaire»), et d'autres appareils mobiles téléchargent celles-ci, dérivent les clés de 10 minutes («Identifiants de proximité rotatifs») et les comparent à leurs contacts enregistrés. Cela signifie que le serveur, et toute personne qui l'exploite (comme le gouvernement), n'apprend pas vos graphiques de contact ou ceux des autres (les informations sur qui vous entrez en contact avec et comment tout cela se connecte). Les applications téléchargent uniquement des clés d'utilisateurs positifs et non les journaux de contacts eux-mêmes.
Tout cela suppose que les appareils mobiles fonctionnent de la même manière que celui décrit dans la documentation de Google et Apple. L'application Corona-Warn affirme qu'elle n'ajoute que des données sur la version de protocole qu'elle utilise et la force du signal, mais il n'est pas impossible pour l'application sur votre appareil mobile de joindre des données supplémentaires.
Puis-je et serai-je suivi via l'application?
L'application Corona-Warn est conçue pour prendre en charge le traçage des chaînes d'infection, et non pour accéder ou suivre l' emplacement de l'utilisateur. De plus, les développeurs semblent s'abstenir d'utiliser des outils d'analyse et de télémétrie afin de collecter le moins de données d'identification personnelle possible. Bien qu'il soit possible que des auditeurs tiers puissent apprendre certaines informations des données diffusées par l'application, il est peu probable que l'application puisse être utilisée comme un mécanisme de suivi de localisation responsable, en particulier par rapport aux autres pistes numériques déjà laissées par nos appareils. Cependant, certains risques subsistent .
L'application est-elle open-source?
Oui. Le code de cette application est accessible au public sur Github , une plate-forme de développement logiciel. Bien qu'il soit techniquement possible pour le fournisseur de l'application de distribuer une version du code qui a été modifiée pour collecter plus de données personnelles, il est peu probable qu'une telle manipulation ne passe pas inaperçue au milieu de l'examen minutieux de l'application en Allemagne.
Combien d'applications y a-t-il?
Outre l'application Corona-Warn, il existe également l' application «don de données» du Robert-Koch-Institute, l'agence fédérale allemande chargée du contrôle et de la prévention des maladies. L'application permet aux utilisateurs de partager – volontairement – des données biométriques collectées avec des appareils portables comme Fitbits. L'application a été critiquée pour sa protection des données et ses garanties de confidentialité peu claires. L'EFF a mis en garde contre les conséquences négatives associées à l'utilisation de dispositifs portables pour lutter contre COVID-19.
L'application sera-t-elle supprimée après la «fin» de la crise?
Le gouvernement allemand n'a pas encore annoncé ses critères ni son calendrier pour la fin de l'application, et les critiques demandent une date d'expiration fixe pour l'application. Apple et Google se sont publiquement engagés à désactiver leur système de notification d'exposition sur une base régionale lorsqu'il n'est plus nécessaire. Les utilisateurs sont libres de désactiver la fonction de journalisation de l'exposition, grâce à laquelle les téléphones reçoivent à tout moment les identifiants temporaires des autres utilisateurs. Les utilisateurs peuvent également désinstaller l'application chaque fois qu'ils estiment que leur besoin s'est calmé. Nous savons que, historiquement, les gouvernements s'accrochent souvent aux nouveaux pouvoirs qu'ils acquièrent pendant une crise, il est donc essentiel que le gouvernement précise clairement le calendrier de cette technologie.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/06/germanys-corona-warn-app-frequently-asked-questions le Wed, 17 Jun 2020 21:35:45 +0000.