Une coalition de techniciens de l’UE soutient une norme de «confidentialité» pour le suivi des contacts COVID-19

Une coalition européenne de techniciens et de scientifiques issus d’au moins huit pays, dirigée par l’Institut allemand Fraunhofer Heinrich Hertz pour les télécommunications (HHI), travaille sur la technologie de proximité de traçage des contacts pour COVID-19, conçue pour se conformer aux règles strictes de confidentialité de la région. – dévoilant officiellement l’effort aujourd’hui.

Il est difficile d’imaginer le suivi de localisation de personnes au niveau individuel à l’échelle de la Chine par les États via leur smartphone, même à des fins de santé publique en Europe – qui a une longue histoire de protection juridique de la vie privée des individus. Cependant, la pandémie de coronavirus exerce une pression sur le modèle de protection des données de la région, alors que les gouvernements se tournent vers les données et les technologies mobiles pour demander de l’aide pour suivre la propagation du virus, soutenir leur réponse de santé publique et atténuer les impacts sociaux et économiques plus larges.

De nombreuses applications apparaissent dans toute l’Europe pour attaquer le coronavirus sous différents angles. L’organisme sans but lucratif européen de protection de la vie privée, noyb, tient à jour une liste d’approches, à la fois dirigées par des gouvernements et des projets du secteur privé, pour utiliser les données personnelles pour lutter contre le SRAS-CoV-2 – avec des exemples à ce jour, notamment la recherche de contacts, le verrouillage ou la quarantaine l’application et l’auto-évaluation COVID-19.

L’efficacité de ces applications n’est pas claire – mais la demande de technologie et de données pour alimenter ces efforts vient de partout.

Au Royaume-Uni, le gouvernement a rapidement fait appel à des géants de la technologie, dont Google, Microsoft et Palantir, pour aider le National Health Service à déterminer où les ressources doivent être envoyées pendant la pandémie. Alors que la Commission européenne s’est appuyée sur les opérateurs télécoms régionaux pour transmettre les données de localisation des utilisateurs afin d’effectuer le suivi des coronavirus – bien que sous une forme agrégée et anonymisée.

Le projet de PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), récemment dévoilé, est une réponse à la pandémie de coronavirus qui génère un énorme pic de demande de données des citoyens qui est destiné à offrir non seulement une autre application, mais ce qui est décrit comme «un approche totalement respectueuse de la vie privée »pour le suivi des contacts COVID-19.

L’idée principale est de tirer parti de la technologie des smartphones pour aider à perturber la prochaine vague d’infections en informant les personnes qui sont entrées en contact étroit avec une personne infectée – via le proxy de leurs smartphones ayant été suffisamment proches pour effectuer une poignée de main Bluetooth. Jusqu’à présent si standard. Mais la coalition derrière l’effort veut diriger les développements de telle manière que la réponse de l’UE au COVID-19 ne dérive pas vers une surveillance étatique à la chinoise des citoyens.

Alors que, pour le moment, des mesures de quarantaine strictes restent en place dans une grande partie de l’Europe, il peut être moins impératif pour les gouvernements de déchirer le livre de règles des meilleures pratiques pour empiéter sur la vie privée des citoyens, étant donné que la majorité des personnes sont enfermées à la maison. Mais la question qui se profile est de savoir ce qui se passe lorsque les restrictions à la vie quotidienne sont levées?

Le suivi des contacts – comme un moyen d’offrir une chance d’interventions qui peuvent briser toute nouvelle chaîne d’infection – est présenté comme un élément clé de la prévention d’une deuxième vague d’infections à coronavirus par certains, avec des exemples tels que l’application TraceTogether de Singapour être regardé par les législateurs régionaux.

Singapour semble avoir réussi à empêcher une deuxième vague d’infections de se transformer en épidémie majeure, grâce à un régime agressif de dépistage et de recherche des contacts. Mais ce qu’une petite cité-État insulaire de moins de 6 millions d’habitants peut faire contre un bloc commercial de 27 nations différentes dont la population collective dépasse 500 millions d’habitants ne semble pas nécessairement immédiatement comparable.

L’Europe ne disposera pas d’une seule application de traçage des coronavirus. Il a déjà un patchwork. D’où les personnes derrière PEPP-PT qui proposent aux pays et aux développeurs un ensemble de «normes, technologies et services» à connecter pour obtenir une approche de traçage des contacts COVID-19 standardisée et opérationnelle dans tout le bloc.

L’autre pièce à saveur très européenne ici est la vie privée – et la loi sur la vie privée. «Application de la protection des données, anonymisation, RGPD [the EU’s General Data Protection Regulation] la conformité et la sécurité », est la revendication première.

«PEPP-PR a été explicitement créé pour adhérer à des lois et principes européens solides en matière de confidentialité et de protection des données», écrit le groupe dans un manifeste en ligne. «L’idée est de rendre la technologie accessible au plus grand nombre de pays, aux gestionnaires des réponses aux maladies infectieuses et aux développeurs le plus rapidement et le plus facilement possible.

«Les mécanismes et normes techniques fournis par PEPP-PT protègent pleinement la confidentialité et exploitent les possibilités et les fonctionnalités de la technologie numérique pour maximiser la vitesse et la capacité en temps réel de toute réponse nationale à une pandémie.»

Hans-Christian Boos, l’un des co-initiateurs du projet – et le fondateur d’une société d’intelligence artificielle appelée Arago – a discuté de l’initiative avec le journal allemand Der Spiegel, en lui disant: «Nous ne collectons aucune donnée de localisation, aucun profil de mouvement, aucune information de contact et aucune caractéristique identifiable des appareils finaux. »

Le journal rapporte que l’approche du PEPP-PT signifie que les applications alignées sur cette norme ne généreraient que des identifiants temporaires – pour éviter que les individus ne soient identifiés. Selon le rapport, deux ou plusieurs smartphones exécutant une application qui utilise la technologie et dont le Bluetooth est activé lorsqu’ils se rapprochent échangeraient leurs identifiants respectifs – les enregistrant localement sur l’appareil sous une forme cryptée.

Der Spiegel écrit que si un utilisateur de l’application recevait un diagnostic de coronavirus par la suite, son médecin serait en mesure de lui demander de transférer la liste de contacts sur un serveur central. Le médecin pourrait alors utiliser le système pour avertir les personnes concernées qu’elles ont été en contact avec une personne qui a depuis été diagnostiquée avec le virus – ce qui signifie que les personnes à risque pourraient être testées de manière proactive et / ou s’isoler.

Sur son site Internet PEPP-PT explique ainsi l’approche:

Mode 1
Si un utilisateur n’est pas testé ou s’est révélé négatif, l’historique de proximité anonyme reste crypté sur le téléphone de l’utilisateur et ne peut être consulté ou transmis par personne. À tout moment, seul l’historique de proximité qui pourrait être pertinent pour la transmission de virus est enregistré et l’historique précédent est supprimé en permanence.

Mode 2
Si l’utilisateur du téléphone A a été confirmé positif au SARS-CoV-2, les autorités sanitaires contacteront l’utilisateur A et lui fourniront un code TAN garantissant que les logiciels malveillants potentiels ne peuvent pas injecter des informations d’infection incorrectes dans le système PEPP-PT. L’utilisateur utilise ce code TAN pour fournir volontairement au service national de confiance des informations qui permettent la notification des applications PEPP-PT enregistrées dans l’historique de proximité et donc potentiellement infectées. Étant donné que cet historique contient des identifiants anonymes, aucune personne ne peut connaître l’identité de l’autre.

En fournissant plus de détails sur ce qu’il envisage comme «une opération de service de confiance dépendante du pays», il écrit: «Les identifiants anonymes contiennent des mécanismes cryptés pour identifier le pays de chaque application qui utilise PEPP-PT. Grâce à ces informations, les identifiants anonymes sont traités de manière spécifique au pays. »

Pendant le traitement des soins de santé, il est suggéré: « Un processus pour informer et gérer les contacts exposés peut être défini pays par pays. »

Parmi les autres caractéristiques des mécanismes du PEPP-PT, le groupe énumère dans son manifeste:

  • Architecture et technologie dorsales pouvant être déployées dans une infrastructure informatique locale et pouvant gérer instantanément des centaines de millions d’appareils et d’utilisateurs par pays.
  • Gérer le réseau d’initiatives nationales des partenaires et fournir des API pour l’intégration des caractéristiques et fonctionnalités du PEPP-PT dans les processus de santé nationaux (test, communication,…) et les processus du système national (logistique de la santé, logistique économique,…) donnant à de nombreuses initiatives locales une épine dorsale locale architecture qui applique le RGPD et garantit l’évolutivité.
  • Service de certification pour tester et approuver les implémentations locales qui utiliseront les mécanismes PEPP-PT comme annoncé et héritant ainsi de l’offre de tests et d’approbation des mécanismes PEPP-PT.

Une approche normalisée pouvant être connectée à une variété d’applications permettrait au traçage des contacts de fonctionner à travers les frontières – c’est-à-dire même si différentes applications sont populaires dans différents pays de l’UE – une considération importante pour le bloc, qui compte 27 États membres.

Cependant, il peut y avoir des questions sur la robustesse de la protection de la vie privée conçue dans l’approche – si, par exemple, des données pseudonymisées sont centralisées sur un serveur auquel les médecins peuvent accéder, il pourrait y avoir un risque de fuite et de réidentification. Et l’identification des détenteurs d’appareils individuels serait juridiquement risquée.

Le principal régulateur européen des données, le CEPD, a récemment tenu à tweeter pour mettre en garde un eurodéputé (et ancien commissaire numérique de la CE) contre la légalité de l’application du traçage des contacts Bluetooth de style Singapour dans l’UE – écrit: «Veuillez être prudent en comparant Singapour exemples avec la situation européenne. N’oubliez pas que Singapour a un régime juridique très spécifique sur l’identification du titulaire de l’appareil. »

Un porte-parole du CEPD nous a dit qu’il était en contact avec les agences de protection des données des États membres impliqués dans le projet PEPP-PT pour collecter des « informations pertinentes ».

« Les principes généraux présentés par l’EDPB le 20 mars et par le CEPD le 24 mars sont toujours pertinents dans ce contexte », a ajouté le porte-parole – faisant référence aux orientations émises le mois dernier par les régulateurs de la protection de la vie privée dans lesquelles ils encourageaient l’anonymisation et l’agrégation si les États membres le souhaitaient. d’utiliser des données de localisation mobile pour surveiller, contenir ou atténuer la propagation de COVID-19. Au moins en premier lieu.

« Lorsqu’il n’est pas possible de traiter uniquement des données anonymes, la directive sur la vie privée et les communications électroniques permet aux États membres d’introduire des mesures législatives pour protéger la sécurité publique (art. 15) », a également noté l’EDPB.

« Si des mesures permettant le traitement de données de localisation non anonymisées sont introduites, un État membre est obligé de mettre en place des garanties adéquates, telles que l’octroi aux particuliers des services de communications électroniques du droit à un recours judiciaire. »

Nous avons contacté le HHI pour lui poser des questions sur le projet PEPP-PT et nous avons été référés à Boos – mais au moment de la rédaction de cet article, nous n’avions pas pu lui parler.

«Le système PEPP-PT est créé par une équipe européenne multinationale», écrit le HHI dans un communiqué de presse sur l’effort. «Il s’agit d’une approche de suivi des contacts numériques anonyme et préservant la confidentialité, qui est pleinement conforme au RGPD et peut également être utilisée lorsque vous voyagez entre les pays via un mécanisme d’échange multi-pays anonyme. Aucune donnée personnelle, aucun emplacement, aucun Mac-Id d’aucun utilisateur n’est stocké ou transmis. PEPP-PT est conçu pour être intégré dans les applications nationales de téléphonie mobile corona en tant que fonctionnalité de recherche de contacts et permet l’intégration dans les processus des services de santé nationaux. La solution se propose d’être partagée ouvertement avec n’importe quel pays, étant donné l’engagement à réaliser l’interopérabilité afin que le mécanisme d’échange multi-pays anonyme reste fonctionnel. »

«L’équipe internationale du PEPP-PT comprend plus de 130 membres travaillant dans plus de sept pays européens et comprend des scientifiques, des technologues et des experts d’institutions de recherche et d’entreprises bien connues», ajoute-t-il.

«Le résultat du travail de l’équipe appartiendra à une organisation à but non lucratif afin que la technologie et les normes soient accessibles à tous. Nos priorités sont le bien-être des citoyens du monde d’aujourd’hui et le développement d’outils pour limiter l’impact des futures pandémies – tout en se conformant aux normes et standards européens. »

Le PEPP-PT affirme que ses efforts axés sur la technologie sont financés par des dons. Selon son site Web, il dit qu’il a adopté les normes de l’OMS pour un tel financement – pour «éviter toute influence extérieure».

Bien sûr, pour que l’effort soit utile, il faut que les citoyens de l’UE téléchargent volontairement l’une des applications de suivi des contacts alignés – et transportent leur smartphone partout où ils vont, avec Bluetooth activé.

Sans une pénétration substantielle des smartphones régionaux, on peut se demander dans quelle mesure cette initiative, ou toute technologie de traçage des contacts, pourrait avoir un impact. Bien que si une telle technologie était capable de briser même certaines chaînes d’infection, les gens pourraient soutenir que ce n’était pas un effort inutile.

Il y a notamment des signes que les Européens sont prêts à contribuer à une cause de santé publique en faisant leur part de manière numérique – comme une application de suivi COVID-19 autodéclarée qui a enregistré la semaine dernière 750000 téléchargements au Royaume-Uni en 24 heures.

Mais, en même temps, les applications de recherche de contacts sont confrontées au scepticisme quant à leur capacité à contribuer à la lutte contre COVID-19. Tout le monde n’a pas de smartphone, ni ne sait comment télécharger une application, par exemple. Il y a plein de gens qui tomberaient hors d’un tel réseau numérique.

Pendant ce temps, bien qu’il y ait clairement eu une grande bataille dans la région, au niveau du gouvernement et de la base, pour mobiliser la technologie numérique pour une urgence de santé publique, il est sans doute plus impératif de diriger les efforts et les ressources pour intensifier les programmes de dépistage des coronavirus – un domaine où la plupart Les pays européens restent à la traîne.

L’Allemagne – d’où proviennent certains des principaux bailleurs de fonds du PEPP-PT – est l’exception la plus notable.



Traduit de l’anglais de https://techcrunch.com/2020/04/01/an-eu-coalition-of-techies-is-backing-a-privacy-preserving-standard-for-covid-19-contacts-tracing/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.