Les experts de l’UE en matière de protection de la vie privée préconisent une approche décentralisée du suivi des contacts COVID-19

Un groupe d’experts européens en matière de confidentialité a proposé un système décentralisé pour le suivi des contacts COVID-19 basé sur Bluetooth qui, selon eux, offre une meilleure protection contre les abus et l’utilisation abusive des données des personnes que les applications qui rassemblent les données dans des pots centralisés.

Le protocole – qu’ils appellent le Decentralized Privacy-Preserving Proximity Tracing (DP-PPT) – a été conçu par environ 25 universitaires d’au moins sept instituts de recherche à travers l’Europe, dont l’Institut fédéral suisse de technologie, l’ETH Zurich et la KU Leuven en les Pays-Bas.

Ils ont publié un livre blanc détaillant leur approche ici.

L’élément clé est que la conception implique un traitement local du suivi des contacts et des risques sur l’appareil de l’utilisateur, basé sur des appareils générant et partageant des identifiants Bluetooth éphémères (appelés EphID dans le document).

Un serveur principal est utilisé pour envoyer des données vers les appareils – c’est-à-dire lorsqu’une personne infectée reçoit un diagnostic de COVID-19, une autorité sanitaire sanctionnerait le téléchargement depuis son appareil d’une représentation compacte des EphID sur la période infectieuse qui serait envoyée à d’autres dispositifs afin qu’ils puissent calculer localement s’il y a un risque et informer l’utilisateur en conséquence.

Dans cette conception, il n’est pas nécessaire de centraliser les identifiants pseudonymisés, où les données regroupées poseraient un risque pour la confidentialité. Ce qui, à son tour, devrait permettre de persuader plus facilement les citoyens de l’UE de faire confiance au système – et de télécharger volontairement l’application de suivi des contacts à l’aide de ce protocole – étant donné qu’il est conçu pour résister à une réutilisation pour la surveillance de l’État au niveau individuel.

Le groupe discute d’autres menaces potentielles – telles que celles posées par des utilisateurs avertis de la technologie qui pourraient écouter les données échangées localement et décompiler / recompiler l’application pour modifier des éléments – mais le principal argument est que ces risques sont petits et plus faciles à gérer que la création de pots centralisés des données qui risquent d’ouvrir la voie à un «fluage de surveillance», c’est-à-dire si les États utilisent une crise de santé publique comme une opportunité pour établir et conserver une infrastructure de suivi au niveau des citoyens.

Le DP-PPT a été conçu avec son propre démantèlement limité, une fois la crise de santé publique terminée.

«Notre protocole illustre le fait que des approches de traçage de proximité préservant la vie privée sont possibles et que les pays ou les organisations n’ont pas besoin d’accepter des méthodes qui prennent en charge les risques et les abus», écrit la professeur Carmela Troncoso, de l’EPFL. «Là où la loi exige une stricte nécessité et une proportionnalité, et où le soutien de la société est derrière le traçage de proximité, cette conception décentralisée fournit un moyen résistant aux abus de le réaliser.»

Ces dernières semaines, les gouvernements de toute l’Europe se sont appuyés sur les contrôleurs de données pour transmettre les données des utilisateurs à diverses fins de suivi des coronavirus. Les applications sont également brouillées sur le marché par le secteur privé – y compris les applications de rapport de symptômes qui prétendent aider les chercheurs à lutter contre la maladie. Alors que les géants de la technologie espionnent les opportunités de relations publiques pour reconditionner le suivi persistant des utilisateurs d’Internet pour une cause de santé publique revendiquée, quelle que soit l’utilité réelle.

Selon EC, la saisie des métadonnées de Telco sert à modéliser la propagation du COVID-19 et non à suivre les citoyens

La prochaine grande avancée technologique en matière de coronavirus semble être les applications de suivi des contacts: les applications Aka qui utilisent la technologie Bluetooth de suivi de proximité pour cartographier les contacts entre les individus infectés et les autres.

En effet, sans une certaine forme de contacts traçant, il y a un risque que les gains durement gagnés pour réduire le taux d’infections en restreignant les mouvements des personnes soient inversés, c’est-à-dire une fois que l’activité économique et sociale sera rouverte. Bien que la question de savoir si les applications de suivi des contacts peuvent être aussi efficaces pour aider à contenir COVID-19 que les décideurs et les technologues l’espère reste une question ouverte.

Cependant, ce qui est limpide en ce moment, c’est que sans un protocole soigneusement conçu qui protège la confidentialité en concevant des applications de suivi des contacts un réel risque pour la vie privée – et, là où ils existent, pour les droits humains durement acquis.

Le flambeau des droits au nom de la lutte contre COVID-19 n’est ni bon ni nécessaire, tel est le message du groupe soutenant le protocole DP-PPT.

«L’une des principales préoccupations concernant la centralisation est que le système peut être étendu, que les États peuvent reconstruire un graphique social de qui a été proche de qui, puis étendre le profilage et d’autres dispositions sur cette base. Les données peuvent être cooptées et utilisées par les forces de l’ordre et les services de renseignement à des fins non sanitaires », explique le Dr Michael Veale de l’University College London, un autre partisan de la conception décentralisée.

«Alors que certains pays peuvent être en mesure de mettre en place des garanties juridiques efficaces contre cela, en mettant en place un protocole centralisé en Europe, les pays voisins sont contraints d’interopérer avec lui et d’utiliser également des systèmes centralisés plutôt que décentralisés. L’inverse est vrai: un système décentralisé impose des limites techniques strictes aux abus de surveillance du suivi Bluetooth COVID-19 à travers le monde, en garantissant que d’autres pays utilisent des approches de protection de la vie privée. »

« Ce n’est tout simplement pas nécessaire », ajoute-t-il en centralisant les données de proximité. «La protection des données par conception oblige à minimiser les données à ce qui est nécessaire à cet effet. La collecte et la centralisation des données ne sont tout simplement pas techniquement nécessaires pour le suivi des contacts Bluetooth. »

La semaine dernière, nous avons rendu compte d’un autre effort de l’UE – mené par une autre coalition de technologues et de scientifiques, dirigée par l’Institut allemand Fraunhofer Heinrich Hertz pour les télécommunications (HHI) – qui a déclaré qu’il travaillait sur une norme de «protection de la vie privée» pour le traçage des contacts Covid-19. qu’ils ont surnommé: suivi paneuropéen de la confidentialité et de la proximité (PEPP-PT).

À l’époque, il n’était pas clair si l’approche était ou non verrouillée sur un modèle centralisé de gestion des identifiants pseudo-anonymisés. S’adressant à TechCrunch aujourd’hui, Hans-Christian Boos, l’un des co-initiateurs du projet PEPP-PT, a confirmé que l’effort de normalisation soutiendra à la fois les approches centralisées et décentralisées pour gérer le traçage des contacts.

L’effort avait fait l’objet de critiques de la part de certains membres de la communauté de la vie privée de l’UE pour avoir semblé favoriser une approche centralisée plutôt que décentralisée – de ce fait, soutiennent ses détracteurs, sapant la revendication fondamentale de préserver la confidentialité des utilisateurs. Mais, par Boos, il soutiendra en fait les deux approches – dans le but de maximiser l’adoption dans le monde entier.

Il a également déclaré qu’il serait interopérable, que les données soient centralisées ou décentralisées. (Dans le scénario centralisé, il a déclaré que l’espoir est que le but non lucratif qui est mis en place pour superviser PEPP-PT sera en mesure de gérer les serveurs centralisés lui-même, en attendant un financement approprié – une étape destinée à réduire davantage le risque de la centralisation des données dans les régions dépourvues de cadres des droits de l’homme, par exemple.)

«Nous aurons les deux options – centralisée et décentralisée», a déclaré Boos à TechCrunch. «Nous proposerons les deux solutions, selon qui veut utiliser quoi, et nous les rendrons utilisables. Mais je vous dis que les deux solutions ont leurs mérites. Je sais que dans la communauté crypto, il y a beaucoup de gens qui veulent la décentralisation – et je peux vous dire que dans la communauté de la santé, il y a beaucoup de gens qui détestent la décentralisation parce qu’ils ont peur que trop de gens aient des informations sur les personnes infectées. « 

«Dans un système décentralisé, vous avez le problème simple de diffuser les identifiants anonymes des personnes infectées à tout le monde – la législation sanitaire de certains pays l’interdit absolument. Même si vous avez une méthode cryptographique, vous diffusez les identifiants partout – c’est la seule façon pour votre téléphone local de savoir si j’ai été en contact ou non « , a poursuivi Boos.

« C’est l’inconvénient d’une solution décentralisée. A part ça, c’est une très bonne chose. Sur une solution centralisée, vous avez l’inconvénient qu’il existe un seul opérateur, auquel vous pouvez faire confiance ou ne pas faire confiance – a accès à des identifiants anonymisés, tout comme s’ils étaient diffusés. La question est donc que vous pouvez avoir une seule partie ayant accès à des identifiants anonymisés ou avez-vous tout le monde ayant accès à des identifiants anonymisés parce qu’en fin de compte, vous les diffusez sur le réseau [because] c’est spoofable. « 

« Si vous supposez que quelqu’un pourrait pirater le service centralisé … alors vous devez également supposer que quelqu’un pourrait pirater un routeur, ce qui passe », a-t-il ajouté. « Même problème.

« C’est pourquoi nous proposons les deux solutions. Nous ne sommes pas religieux. Les deux solutions offrent une bonne intimité. Votre question est de savoir à qui feriez-vous davantage confiance et à qui feriez-vous davantage confiance? Feriez-vous davantage confiance à beaucoup d’utilisateurs à qui vous diffusez quelque chose ou feriez-vous davantage confiance à quelqu’un qui exploite un serveur? Ou croiriez-vous davantage que quelqu’un peut pirater un routeur ou que quelqu’un peut pirater le serveur? Les deux sont possibles, à droite. Ces deux options sont des options totalement valables – et c’est une discussion religieuse entre les crypto-personnes … mais nous devons l’équilibre entre ce que la crypto veut et ce que veulent les soins de santé. Et parce que nous ne pouvons pas prendre cette décision, nous finirons par proposer les deux solutions.

«Je pense qu’il doit y avoir un choix parce que si nous essayons de construire une norme internationale, nous devons essayer de ne pas faire partie d’une guerre religieuse.»

Boos a également déclaré que le projet vise à mener des recherches sur les protocoles respectifs (centralisés vs décentralisés) pour comparer et mener des évaluations des risques basées sur l’accès aux données respectives.

«Du point de vue de la protection des données, les données sont complètement anonymisées car il n’y a pas de pièce jointe à l’emplacement, il n’y a pas de pièce jointe au temps, il n’y a pas de pièce jointe au numéro de téléphone, à l’adresse MAC, au numéro SIM, aucune de celles-ci. La seule chose que vous savez, c’est un contact – un contact pertinent entre deux identifiants anonymes. C’est la seule chose que vous ayez « , a-t-il dit. «La question que nous avons posée aux informaticiens et aux hackers est de savoir si nous vous donnons cette liste – ou si nous vous donnons ce graphique, que pouvez-vous en déduire? Dans le graphique, ce ne sont que des nombres connectés les uns aux autres, la question est de savoir comment en tirer quelque chose? Ils essaient – voyons ce qui va sortir. « 

«Il y a beaucoup de gens qui essaient d’avoir raison sur cette discussion. Il ne s’agit pas d’avoir raison; il s’agit de faire la bonne chose – et nous fournirons, à partir de l’initiative, toutes les bonnes options qui existent. Et si chacun d’eux a des inconvénients, nous rendrons ces inconvénients publics et nous essaierons d’obtenir autant de confirmations et de recherches que possible sur ces derniers. Et nous publierons ceci afin que les gens puissent faire leurs choix quel type de système ils veulent dans leur géographie », a-t-il ajouté.

« S’il s’avère que l’un est faisable et que l’autre ne l’est pas du tout, nous en abandonnerons un – mais jusqu’à présent, les deux semblent faisables, en termes de » protection de la vie privée « , nous proposerons donc les deux. Si l’un d’entre eux n’est pas réalisable parce qu’il est piratable ou si vous pourriez dériver des méta-informations à un risque inacceptable, nous les abandonnerions complètement et cesserions d’offrir cette option. »

Sur le point d’interopérabilité, Boos l’a décrit comme «un défi» qui, selon lui, se résume à la façon dont les systèmes calculent leurs ID respectifs – mais il a souligné que cela était en cours d’élaboration et était un élément essentiel.

« Sans cela, tout cela n’a pas de sens », nous a-t-il dit. « C’est un défi pourquoi l’option n’est pas encore disponible mais nous résolvons ce défi et cela fonctionnera certainement … Il y a plusieurs idées pour le faire fonctionner. »

« Si chaque pays le fait par lui-même, nous n’aurons plus de frontières ouvertes », a-t-il ajouté. «Et si dans un pays il y a plusieurs applications qui ne partagent pas de données, alors nous n’aurons pas un ensemble suffisamment grand de personnes qui pourront réellement rendre le traçage des infections possible – et s’il n’y a pas un seul endroit où nous pouvons avoir des discussions sur ce qui est la bonne chose à faire à propos de la confidentialité, alors tout le monde fera probablement autre chose et la moitié d’entre eux utiliseront des numéros de téléphone et des informations de localisation.

La coalition PEPP-PT n’a pas encore publié son protocole ni aucun code. Ce qui signifie que les experts externes souhaitant apporter des informations en retour sur des choix de conception spécifiques liés à la norme proposée n’ont pas pu mettre la main sur les données nécessaires pour effectuer un examen.

Boos a déclaré qu’ils avaient l’intention d’ouvrir le code source cette semaine, sous une licence Mozilla. Il a également déclaré que le projet est prêt à accepter «toutes les bonnes suggestions» comme contributions.

«Actuellement, seuls les membres de la version bêta y ont accès, car ceux-ci se sont engagés à mettre à jour la dernière version», a-t-il déclaré. «Nous voulons nous assurer que lorsque nous publierons la première version du code, elle devra passer par la validation de la confidentialité des données et la validation de la sécurité – nous sommes donc aussi sûrs que possible qu’il n’y a pas de changement majeur que quelqu’un sur un système open source pourrait ignorer. . « 

Le manque de transparence autour du protocole avait suscité des inquiétudes parmi les experts de la confidentialité – et conduit à des appels aux développeurs de suspendre le support en attendant plus de détails. Et même à la spéculation que les gouvernements européens pourraient intervenir pour pousser l’effort vers un modèle centralisé – et loin des principes fondamentaux de l’UE de protection des données par conception et par défaut.

Dans l’état actuel des choses, la loi de l’UE sur la protection des données de longue date s’inspire de principes tels que la minimisation des données. La transparence est une autre exigence fondamentale. Et la semaine dernière, le principal responsable de la protection de la vie privée du bloc, le CEPD, nous a dit qu’il surveillait les développements autour des applications de suivi des contacts COVID-19.

«Le CEPD soutient le développement de technologies et d’applications numériques pour la lutte contre la pandémie de coronavirus et suit ces développements de près en coopération avec d’autres autorités nationales de surveillance de la protection des données. Il est fermement convaincu que le RGPD n’est pas un obstacle au traitement des données personnelles qui est jugé nécessaire par les autorités sanitaires pour lutter contre la pandémie », nous a expliqué un porte-parole.

«Tous les développeurs de technologies travaillant actuellement sur des mesures efficaces dans la lutte contre la pandémie de coronavirus devraient garantir la protection des données dès le départ, par exemple en appliquant les principes de protection des données dès la conception. Le CEPD et la communauté de la protection des données sont prêts à aider les développeurs de technologies dans cette entreprise collective. Les conseils des autorités de protection des données sont disponibles ici: Lignes directrices EDPB 4/2019 sur l’article 25 de la protection des données par conception et par défaut; et avis préliminaire du CEPD sur la protection de la vie privée dès la conception. « 

Nous comprenons également que la Commission européenne prête attention à la récolte soudaine d’applications et d’outils de coronavirus – avec efficacité et conformité aux normes de données européennes sur son radar.

Cependant, dans le même temps, la Commission a poussé un programme de mégadonnées dans le cadre d’un redémarrage de la stratégie industrielle du bloc qui place la numérisation, les données et l’IA au cœur. Et aujourd’hui encore, Euroactiv a fait état de fuites de documents du Conseil de l’UE selon lesquels les États membres de l’UE et la Commission devraient « analyser en profondeur les expériences acquises de la pandémie de COVID-19 » afin d’éclairer les politiques futures sur l’ensemble du spectre du domaine numérique.

Ainsi, même au sein de l’UE, il existe un fort appétit pour les données qui risquent de recouper la crise des coronavirus pour conduire les développements dans une direction qui pourrait porter atteinte au droit à la vie privée des individus. D’où la répression féroce de certains quartiers pro-confidentialité pour que le suivi des contacts soit décentralisé – pour se prémunir contre toute saisie de données par l’État.

L’Europe présente un plan pour stimuler la réutilisation des données et réglementer les IA «à haut risque»

Pour sa part Boos fait valoir que ce qui compte comme meilleure pratique de «minimisation des données» se résume à un point de vue sur qui vous faites le plus confiance. « Vous pourriez faire un argument [for] tous les deux [deccentralized and centralized approaches] qu’ils minimisent les données – simplement parce qu’il y a une minimisation des données à un moment donné ne signifie pas que vous avez globalement une minimisation des données dans un système décentralisé », suggère-t-il.

« C’est une question en qui vous avez confiance? C’est à qui vous feriez le plus confiance – c’est la vraie question. Je considère que le point critique des données n’est pas la liste des contacts anonymisés – les données critiques sont les personnes infectées confirmées.

« Il s’agit en grande partie d’une vieille discussion religieuse entre la centralisation et la décentralisation », a-t-il ajouté. «Généralement, l’informatique oscille entre ces outils; distribution totale, centralisation totale… Parce que rien de tout cela n’est une solution parfaite. Mais ici, dans ce cas, je pense que les deux offrent des options de sécurité valides, puis elles ont toutes deux des implications différentes sur ce que vous êtes prêt à faire ou pas à faire avec les données médicales. Et puis vous devez prendre une décision.

« Ce que nous devons faire, c’est que nous devons nous assurer que les options sont disponibles. Et nous devons nous assurer qu’il y a des recherches solides, pas seulement des conjectures, dans les discussions lourdes: comment ça marche, comment se comparent-ils et quels sont les risques? « 

En ce qui concerne les personnes impliquées dans les discussions PEPP-PT, au-delà des participants directs au projet, Boos a déclaré que les gouvernements et les ministères de la santé sont impliqués pour la raison pratique qu’ils « doivent inclure cela dans leurs processus de santé ». «De nombreux pays créent désormais leurs applications de traçage officielles et, bien sûr, celles-ci devraient être connectées au PEPP-PT», a-t-il déclaré.

«Nous parlons également aux personnes dans les systèmes de santé – quel que soit le système de santé dans les pays respectifs – parce que cela doit en fin de compte s’interfacer avec le système de santé, il doit s’interfacer avec les tests… il devrait s’interfacer avec les lois sur les maladies infectieuses afin les gens pouvaient entrer en contact avec les CDC locaux sans nous révéler leur vie privée ni leurs coordonnées, c’est donc la conversation que nous avons également. »

Les développeurs avec un accès anticipé (bêta) bousculent déjà les pneus du système. Lorsqu’on lui a demandé quand les premières applications utilisant les technologies PEPP-PT pourraient être en circulation générale, Boos a suggéré que ce soit dès quelques semaines.

«La plupart d’entre eux n’ont qu’à mettre cela dans leur couche de traçage et nous leur avons déjà donné suffisamment d’informations pour qu’ils sachent comment les connecter à leurs processus de santé. Je ne pense pas que cela prendra du temps », a-t-il déclaré, notant que le projet fournissait également une application de référence de suivi pour aider les pays qui n’avaient pas accès aux ressources des développeurs.

« Pour l’engagement des utilisateurs, vous devrez faire plus que du simple traçage – vous devrez inclure, par exemple, les informations du CDC… mais nous proposerons l’implémentation squelettique d’une application pour faire de ce démarrage un projet [easier], » il a dit.

« Si toutes les personnes qui nous ont envoyé un e-mail depuis la semaine dernière l’ont mis dans leurs applications [we’ll get widespread uptake]», A ajouté Boos. « Disons que 50% est-ce que je pense que nous prenons un très bon départ. Je dirais que l’afflux de pays et je dirais les entreprises en particulier qui veulent récupérer leur main-d’œuvre – il y a une forte pression en particulier pour aller sur un système qui permet l’échange international et l’interopérabilité. « 

Sur le point plus large de savoir si les applications de traçage des contacts sont un outil utile pour aider à contrôler la propagation de ce nouveau coronavirus – qui s’est révélé très infectieux, plus que la grippe, par exemple – Boos a déclaré: «Je ne pense pas qu’il y ait beaucoup d’argument que l’isolement de l’infection est important, le problème avec cette maladie est qu’il n’y a aucun symptôme pendant que vous êtes déjà contagieux. Ce qui signifie que vous ne pouvez pas simplement aller mesurer la température des gens et être bien. Vous avez réellement besoin de ce regard sur le passé. Et je ne pense pas que cela puisse être fait avec précision sans aide numérique.

«Donc, si la théorie selon laquelle vous devez isoler les chaînes d’infection est vraie, ce que de nombreuses maladies ont montré qu’elle est – mais chaque maladie est différente, donc il n’y a pas de garantie à 100%, mais toutes les données parlent d’elle – alors c’est certainement quelque chose que nous devons faire… L’argument [boils down to] si nous avons autant d’infectés que nous en avons actuellement, cela a-t-il un sens – ne finissons-nous pas très rapidement, parce que le monde est tellement interconnecté, avec le même type de mécanisme de verrouillage?

« C’est pourquoi il est logique de sortir une application comme celle-ci lorsque vous avez cassé ces valeurs R0 [i.e how many other people one infected person can infect] – une fois que vous l’avez sous 1 et que le nombre de cas dans votre pays est tombé à un bon niveau. Et je pense que dans le langage d’une personne atteinte d’une maladie infectieuse, cela signifie revenir à l’approche consistant à contenir la maladie, plutôt que d’atténuer la maladie – ce que nous faisons maintenant. « 

«L’approche de l’évaluation de la chaîne de contacts vous permet de donner de meilleures priorités aux tests – mais actuellement, les gens n’ont pas la vraie question prioritaire, ils ont une question de ressources sur les tests», a-t-il ajouté. «Les tests et le traçage sont indépendants l’un de l’autre. Vous avez besoin des deux; parce que si vous recherchez des contacts et que vous ne pouvez pas vous faire tester, à quoi ça sert? Alors oui, définitivement [also] besoin de l’infrastructure de test à coup sûr. « 



Traduit de l’anglais de https://techcrunch.com/2020/04/06/eu-privacy-experts-push-a-decentralized-approach-to-covid-19-contacts-tracing/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.