Le Parlement devrait débattre les 28 et 29 avril prochain de l’intérêt de proposer, sur la base du volontariat, le recours à une application mobile qui alerte son utilisateur en cas de contact prolongé avec un porteur du Covid-19. Ce projet baptisé Stop Covid, dévoilé début avril par le gouvernement, est piloté en France par l’Institut national de recherche en informatique appliqué (Inria) dans le cadre de l’initiative européenne PEPP-PT .
Le principe général d’une telle application est connu : en recourant à la technologie sans fil Bluetooth, elle enregistre sous forme de données anonymisées les contacts des personnes croisées par l’utilisateur pour les avertir si celui-ci est testé positif au Covid-19 dans les jours qui suivent. Mais techniquement, beaucoup de points restent à préciser : quel protocole de communication est envisagé, où seront stockés les identifiants anonymes des personnes croisées, comment l’information d’une personne infectée circulera pour alerter les individus précédemment croisés, etc.
Samedi 18 avril, le PDG de l’Inria Bruno Sportisse a publié un long post sur le site de l’Institut qui apporte de premiers éléments de réponses. En voici le résumé.
Quelles informations vont circuler
Pour avoir un outil respectueux du droit européen en matière de protection de la vie privée, l’application ne doit pas permettre de savoir quel utilisateur a été contaminé par le virus ni à quelles personnes croisées il a pu transmettre le Covid-19. Pour garantir cela, ni le nom ni le numéro de téléphone des utilisateurs de l’application ne circuleront. Ils n’auront pas non plus d’identifiant unique, qui pourrait permettre de retrouver leur identité. Chaque smartphone va donc "rencontrer au cours de ses déplacements des crypto-identifiants éphémères (ceux des smartphones rencontrés)", précise Bruno Sportisse.
"Dans tous les projets respectueux du cadre européen de protection de la vie privée (le RGPD, sous le contrôle des autorités indépendantes comme la CNIL en France), les informations circulent sous la forme de « crypto-identifiants », des données pseudonymisées", en général générées de manière éphémère (typiquement, pour une période de 15 minutes) et associées à un terminal et non à une personne", explique-t-il.
Si un utilisateur est diagnostiqué positif, c’est donc son historique de crypto-identifiants rencontrés qu’il communiquera.
Par quel protocole
Depuis samedi 18 avril, l’article scientifique qui présente le protocole de communication envisagé par les équipes européennes est disponible sur le site open source Github. Ce protocole a été baptisé ROBERT, pour ROBust and privacy-presERving proximity Tracing. Côté Inria, c’est l’équipe Provatics qui travaille dessus. Ce protocole n’est pas définitif et relève d’un travail en cours, précise Bruno Sportisse. Il est clé pour comprendre l’application car c’est lui qui définit ce qui va circuler et comment.
Dans le cas du protocole ROBERT, l’application fait remonter, lors de la contamination de son utilisateur, son historique de crypto-identifiants rencontrés sur un serveur central (celui d’une autorité de santé par exemple), sans divulguer à ce serveur ses propres crypto-identifiants. En parallèle, chaque smartphone ayant téléchargé l’application vérifie régulièrement auprès de ce serveur central si ses crypto-identifiants figurent parmi ceux à risque. "Si c’est le cas, cela signifie que le smartphone a été à proximité lors des jours précédents d’un smartphone porté par une personne qui s’est avérée être positive ultérieurement", décrit le PDG de l’Inria. Il précise que la fréquence à laquelle la base centrale est interrogée reste encore à fixer.
Equilibrer entre un système centralisé et des échanges décentralisés
Il est clé dans le projet Stop Covid de déterminer ce qui reste en local, sur le téléphone, et ce qui est communiqué au serveur central. L’enjeu est double : plus le système est décentralisé, plus la protection des données personnelles et de la vie privée est garantie, mais plus les risques cyber sont élevés.
Les équipes de l’Inria et de leurs homologues européens ont donc cherché à équilibrer les deux. "Sur le serveur central (pour assumer le terme), il n’y a AUCUNE donnée relative au statut des personnes positives, écrit Bruno Sportisse. Il s’y trouve une liste de crypto-identifiants des smartphones s’étant trouvés à proximité des smartphones des personnes positives. Autre exemple de choix fort : dans le smartphone de mon voisin, il n’y a AUCUNE donnée concernant mon diagnostic médical, aussi encrypté soit-il. Il y a une liste des crypto-identifiants de tous les smartphones rencontrés."
À lire aussi
Compenser les limites du Bluetooth
Depuis la présentation du projet, plusieurs experts ont pointé une limite technologique : le bluetooth n’est pas une technologie sans fil précise pour estimer la distance entre deux smartphones. "Les résultats peuvent dépendre de nombreux paramètres, comme la physiologie des personnes, la position du smartphone, le type de smartphone, l’état de la batterie, etc", reconnait sur ce point le PDG de l’Inria. Il précise donc que les équipes allemandes partenaires du projet proposent des modèles statistiques qui corrigent ces erreurs.
Bien définir les risques de transmission avec l’aide des épidémiologistes
Enfin, pour que l’application soit la plus efficace, il est important que les utilisateurs ne soient avertis que des risques réels qu’ils ont encourus. Or actuellement, "le modèle de transmission du virus reste très incertain", pointe Bruno Sportisse. "Se transmet-il via des aérosols ou des gouttelettes (plus grosses), avec un impact sur le temps de résidence dans l’air ? Via des surfaces ? Comment estimer la charge virale ? etc. "Toutes les applications de « proximity tracing » reposent ainsi sur des fonctions de risque, définies, avec les chercheurs en épidémiologie, sur la base de l’état de l’art", explique-t-il. Les avancées des épidémiologistes pourraient donc faire évoluer le dispositif au fur et à mesure de son développement.
