L’Allemagne abandonne l’approche centralisée de l’application pour le suivi des contacts COVID-19

L’Allemagne a décidé de créer une application centralisée de suivi des contacts COVID-19 – et adoptera plutôt une architecture décentralisée, a rapporté Reuters dimanche, citant une déclaration conjointe du ministre de la Chancellerie Helge Braun et du ministre de la Santé Jens Spahn.

En Europe ces dernières semaines, une bataille a fait rage entre différents groupes soutenant une infrastructure centralisée vs une infrastructure décentralisée pour des applications accélérées par les gouvernements qui utiliseront la proximité de smartphones basée sur Bluetooth comme proxy pour le risque d’infection – dans l’espoir de soutenir la réponse de santé publique au coronavirus en automatisant le suivi de certains contacts.

Les approches centralisées qui ont été proposées dans la région verraient des données de proximité pseudonymisées stockées et traitées sur un serveur contrôlé par une autorité nationale, comme un service de santé. Cependant, des inquiétudes ont été exprimées quant à la possibilité pour les autorités de récupérer le graphique social des citoyens, les experts de la vie privée avertissant du risque de dérive des fonctions et même de la surveillance de l’État.

L’infrastructure de suivi des contacts décentralisée, en revanche, signifie que les identifiants éphémères sont stockés localement sur l’appareil – et téléchargés uniquement avec la permission d’un utilisateur après un diagnostic COVID-19 confirmé. Un serveur de relais est utilisé pour diffuser les ID infectés, ce qui permet aux appareils de calculer localement s’il existe un risque nécessitant une notification. Les données des graphes sociaux ne sont donc pas centralisées.

Le changement de cap du gouvernement allemand marque un coup dur pour un effort de normalisation local, appelé PEPP-PT, qui avait activement soutenu la centralisation – tout en prétendant «  préserver la confidentialité  » en ne suivant pas les données de localisation. Il s’est rapidement empressé de proposer une architecture centralisée pour le suivi des contacts avec les coronavirus, dirigée par l’Institut Fraunhofer de l’Allemagne, et affirmant que le gouvernement allemand était l’un des principaux bailleurs de fonds précoces, malgré le PEPP-PT qui a déclaré plus tard qu’il soutiendrait également les protocoles décentralisés.

Comme nous l’avons signalé précédemment, l’effort a fait l’objet de critiques acerbes de la part des experts européens de la confidentialité – y compris un groupe d’universitaires développant un protocole décentralisé appelé DP-3T – qui soutiennent que l’architecture p2p est vraiment une protection de la vie privée. Des inquiétudes ont également été exprimées quant au manque de transparence quant à savoir qui est derrière PEPP-PT et les protocoles qu’ils prétendaient soutenir, sans code publié pour examen.

La Commission européenne, en attendant, a également recommandé l’utilisation de technologies de décentralisation pour aider à renforcer la confiance dans ces applications afin d’encourager une adoption plus large.

Les parlementaires européens ont également mis en garde les gouvernements régionaux contre toute tentative de centralisation des données de proximité pendant la crise des coronavirus.

Mais c’était Apple et Google a sauté dans la mêlée plus tôt ce mois-ci en annonçant un soutien conjoint pour le suivi des contacts décentralisés qui a été le plus grand coup – sans perspective de levée des restrictions techniques au niveau de la plate-forme. iOS limite l’accès en arrière-plan à Bluetooth pour des raisons de confidentialité et de sécurité, de sorte que les applications nationales qui ne répondent pas à cette norme décentralisée ne bénéficieront pas de l’API support – et sera probablement beaucoup moins utilisable, déchargeant la batterie et ne fonctionnant que si elle est active.

Néanmoins, le PEPP-PT a déclaré aux journalistes il y a un peu plus d’une semaine qu’il était engagé dans des discussions fructueuses avec Apple et Google concernant la modification de leur approche pour tenir compte des protocoles centralisés.

Notamment, les géants de la technologie n’ont jamais confirmé cette affirmation. Ils n’ont depuis que doublé sur le principe de la décentralisation de l’API multiplateforme pour les applications de santé publique – et le suivi des contacts à l’échelle du système, qui doit être lancé le mois prochain.

Au moment de la rédaction du présent rapport, le porte-parole du PEPP-PT, Hans-Christian Boos, n’avait pas répondu à une demande de commentaires sur le retrait du soutien du gouvernement allemand.

Boos a précédemment affirmé que le PEPP-PT avait environ 40 gouvernements alignés pour adhérer à la norme. Cependant, ces derniers jours, la dynamique en Europe a pris une autre direction. Un certain nombre d’établissements universitaires qui avaient initialement soutenu le PEPP-PT ont également retiré leur soutien.

Dans une déclaration envoyée par courrier électronique à TechCrunch, le projet DP-3T a salué le revirement de l’Allemagne. « DP-3T est très heureux de voir que l’Allemagne adopte une approche décentralisée pour le suivi des contacts et nous attendons avec impatience ses prochaines étapes mettant en œuvre une telle technique de manière à préserver la confidentialité », nous a dit le groupe.

Le retrait de Berlin laisse la France et le Royaume-Uni les deux principaux bailleurs de fonds régionaux des applications centralisées pour le suivi des contacts des coronavirus. Et tandis que le demi-tour allemand est certainement un coup de marteau pour le camp centralisé en Europe, le gouvernement français semble solide dans son soutien – du moins pour l’instant.

La France a développé un protocole centralisé de traçage des contacts des coronavirus, appelé ROBERT, en collaboration avec l’Institut Fraunhofer d’Allemagne et d’autres.

Dans un avis rendu dimanche, la CNIL, la surveillance de la protection des données en France, n’a pas contesté activement la centralisation des identifiants de proximité pseudonymisés – affirmant que le droit de l’UE n’interdit pas en principe un tel système – bien que le chien de garde ait souligné la nécessité de minimiser le risque de ré-identifié.

Il est à noter que le ministre français du numérique, Cédric O, a exercé une forte pression publique auprès d’Apple sur les restrictions Bluetooth – déclarant à Bloomberg la semaine dernière que la politique d’Apple est un bloqueur pour le traqueur de virus.

Hier, O a également tweeté pour défendre l’utilité de l’application «Stop Covid».

Nous avons contacté le ministère français du numérique pour obtenir des commentaires sur la décision de l’Allemagne de passer à une approche décentralisée, mais au moment de la rédaction du présent rapport, le ministère n’avait pas répondu.

Dans un communiqué de presse publié aujourd’hui, le gouvernement souligne le point de vue de la CNIL selon lequel son approche est conforme aux règles de protection des données et s’engage à publier une étude d’impact sur la protection des données avant le lancement de l’application.

Si la France va de l’avant, on ne sait pas comment le pays évitera que son application soit ignorée ou abandonnée par les utilisateurs de smartphones qui la trouvent irritante à utiliser. (Bien qu’il soit intéressant de noter que Android plate-forme a une part de marché substantielle sur le marché, avec environ 80% contre 20% pour iOS, par Kantar.)

Demain, un débat au Parlement français devrait inclure une discussion sur les applications de recherche de contacts.

Nous avons également contacté le NHSX du Royaume-Uni – qui a développé une application de suivi des contacts COVID-19 pour le marché britannique – et mettrons à jour ce rapport avec toute réponse.

Vendredi, dans un article de blog, la division de la transformation numérique de l’unité de santé publique du Royaume-Uni a déclaré qu’elle « travaillait avec Apple et Google sur leur soutien bienvenu pour le traçage des applications dans le monde », une ligne de relations publiques qui évite complètement la controverse autour des infrastructures d’applications centralisées et décentralisées.

Le Royaume-Uni aurait précédemment planifié de centraliser les données de proximité, ce qui soulève également des questions sur l’efficacité de son application prévue, compte tenu des restrictions d’iOS sur l’accès en arrière-plan à Bluetooth.

«Dans le cadre de notre engagement en faveur de la transparence, nous publierons les principaux concepts de sécurité et de confidentialité aux côtés du code source afin que les experts en confidentialité puissent« regarder sous le capot »et nous aider à garantir que la sécurité est de classe mondiale», Matthew Gould, du NHSX, et Le Dr Geraint Lewis a ajouté dans la déclaration.



Traduit de l’anglais de https://techcrunch.com/2020/04/27/germany-ditches-centralized-approach-to-app-for-covid-19-contacts-tracing/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.