Coronavirus : Suivi Corona et protection des données: pas de contradiction nécessaire

30

Dans un processus législatif rapide, le Bundestag et le Bundesrat ont adopté la «Loi pour la protection de la population dans une situation épidémique à impact national». Dans la loi sur la protection contre les infections, la loi confère au ministère fédéral de la Santé des pouvoirs étendus – et dans certains cas non incontestables – pour lutter contre une "situation épidémique d'importance nationale".

Cependant, un règlement pour l'interrogation des données des cellules radio n'est plus contenu dans la loi adoptée. Le règlement initialement envisagé visait à permettre aux autorités sanitaires d'utiliser des "moyens techniques" pour suivre les personnes de contact et d'exiger des données de trafic et de localisation auprès des fournisseurs de services de télécommunications. L'exposé des motifs du projet de loi faisait référence à "l'expérience internationale" en Corée du Sud, par exemple. Les données de localisation des appareils mobiles pourraient être utilisées pour localiser et informer les personnes infectées et leurs personnes de contact et pour reconstruire les chaînes d'infection.

Ce règlement n'entre pas en vigueur pour le moment, mais n'est pas non plus définitivement rejeté. Après l'adoption de la nouvelle loi au Bundestag, le ministre fédéral de la Santé a une nouvelle fois souligné lors d'une conférence de presse que le gouvernement fédéral souhaitait utiliser les données des téléphones portables pour suivre les contacts.

Contexte épidémiologique: l'objectif du suivi rapide des contacts

L'objectif déclaré du gouvernement fédéral est d'informer les personnes qui sont entrées en contact avec des personnes infectées par corona aussi rapidement que possible afin qu'elles puissent être testées et mises en quarantaine. Cet objectif est bien fondé d'un point de vue épidémiologique. Le suivi rapide des contacts est une condition préalable essentielle pour faciliter le verrouillage actuel dans un avenir prévisible.

Il existe encore de nombreuses lacunes dans les connaissances sur le virus corona. Mais jusqu'à présent, les données suggèrent qu'environ la moitié de toutes les infections surviennent avant l'apparition des symptômes typiques tels que la toux ou la fièvre. Il ne suffit donc pas de mettre les personnes en quarantaine lorsqu'elles présentent des symptômes. Afin de rompre la chaîne de l'infection, il faudrait contacter toutes les personnes immédiatement après un diagnostic corona qui se trouvaient à proximité immédiate de la personne infectée. Selon les connaissances actuelles, un séjour dans un rayon d'environ 1,5 à 2 mètres autour d'une personne infectée présente un risque particulièrement élevé d'être infecté. S'il était possible de déterminer quelles personnes étaient si proches, on pourrait trouver des personnes fraîchement infectées mais pas encore symptomatiques et les empêcher d'infecter d'autres personnes par le biais de leur quarantaine. Les modèles mathématiques de l'épidémie montrent qu'un suivi rapide des contacts, combiné à un programme de dépistage viral à grande échelle, pourrait non seulement retarder l'épidémie, mais aussi la contenir complètement. Le suivi des contacts suffisamment rapide n'est pas possible par analogie, mais ne peut être atteint que numériquement.

Des données inutiles et dangereuses

La disposition qui a été suspendue pour le moment dans le projet de loi modifiant la loi sur la protection contre les infections n’apporte cependant rien de reconnaissable à cet objectif raisonnable.
Il est incompréhensible que les données de trafic et de localisation que les autorités sanitaires devraient pouvoir collecter auprès des prestataires de services de télécommunications contribuent au suivi des contacts. Les entreprises de télécommunications ont essentiellement deux catégories de données: les données des cellules radio et les données de trafic des connexions de télécommunications individuelles. À l'aide des données des cellules radio, les téléphones cellulaires peuvent être localisés grossièrement – mais beaucoup trop imprécis pour identifier réellement les personnes de contact qui peuvent avoir été infectées: les cellules radio couvrent une superficie d'au moins plusieurs milliers de mètres carrés, dans les zones rurales, même plusieurs kilomètres carrés. Ils parlent donc peu des contacts physiques qui présentent un risque d'infection. Si l'on devait avertir et mettre en quarantaine toutes les personnes qui se trouvaient en même temps dans la même cellule radio qu'une personne infectée, le verrouillage général serait presque rétabli en très peu de temps. Les données sur les connexions de télécommunications, à leur tour, permettent, par exemple, des déclarations personnelles et liées au groupe sur les réseaux sociaux des individus, mais pas nécessairement sur les contacts physiques qui sont importants pour le suivi des contacts.

Dans la mesure où le projet de règlement devrait autoriser l'utilisation de "moyens techniques", il est totalement difficile de savoir ce que cela pourrait être et quelles données devraient être collectées avec eux. La chose délicate est que le suivi des contacts peut être implémenté techniquement de différentes manières et que les différentes modalités techniques impliquent des risques de protection des données très différents. Une évaluation constitutionnelle sérieuse d'un tel "chèque en blanc" légal ne peut donc guère être entreprise. Les empiètements sur les droits fondamentaux rendus possibles par cela pourraient aller très loin. Par exemple, le modèle sud-coréen mis en évidence dans le projet de loi devrait être basé sur la liaison d'un grand nombre de sources de données. En plus des données mobiles, cela comprend également les données des sociétés de cartes de crédit et les données d'image des systèmes de vidéosurveillance. En outre, les informations de localisation précédentes des personnes infectées sont publiées, ce qui a abouti dans plusieurs cas à la divulgation d'informations sensibles (non liées à la maladie) sur des personnes identifiables. Pour lutter contre la pandémie corona, la population locale devrait accepter la collecte de données à grande échelle et des risques importants pour sa vie privée.

Une alternative économiquement efficace et privilégiée sur le plan des données

On pourrait penser que le cas exceptionnel de la crise corona justifie également des contre-mesures extrêmes. Après tout, il s'agit de protéger la vie et la santé d'un grand nombre de personnes. En outre, l'interférence avec la protection des données dans le système sud-coréen de suivi des contacts semble être moins grave que les restrictions de grande liberté et les contraintes économiques que le verrouillage actuel entraîne. Cependant, même dans les situations à risques existentiels, il est important de choisir parmi plusieurs moyens également appropriés pour éviter les risques qui portent le moins atteinte aux droits fondamentaux.

Figure 1: Une liste des téléphones portables qui ont été situés à moins de 2 m de distance pendant au moins 15 minutes est enregistrée localement sur chaque téléphone portable. Les identifiants sont temporaires, mais peuvent être déchiffrés par le serveur.
Figure 1: Une liste des téléphones portables qui ont été situés à moins de 2 m de distance pendant au moins 15 minutes est enregistrée localement sur chaque téléphone portable. Les identifiants sont temporaires, mais peuvent être déchiffrés par le serveur.

Nous pensons qu'un suivi des contacts rapide et efficace est possible sans collecter une énorme quantité de données sensibles dans une base de données centrale.
Un système de suivi des contacts peut être conçu de telle sorte que la plupart des traitements de données requis ne se déroulent pas de manière centralisée, mais locale sur les téléphones mobiles des participants. Seule la notification en cas d'infection devrait être lancée de manière centralisée, et les données pourraient également être utilisées ici, ce qui empêche pratiquement la personne de contact de l'utilisateur infecté d'être identifiée par le point central de notification. Le système se passerait également des données de localisation particulièrement sensibles.

Le concept d'application du gouvernement de Singapour, qui prend déjà largement en compte le principe de confidentialité par conception, et que nous présentons ici avec quelques modifications, peut servir de modèle pour un système de suivi corona économiseur de données.

L'idée centrale est simple: peu importe où vous êtes entré en contact avec une personne infectée. Que ce soit dans le bus ou au travail, la toux est expectorée. Cela signifie que vous n'avez pas besoin de données particulièrement sensibles telles que GPS, cellule radio ou autres données de localisation. Au lieu de cela, la seule chose qui compte, c'est que deux personnes se rapprochent d'une manière dangereuse. Cela peut être déterminé en utilisant la technologie Bluetooth Low Energy, en gardant une trace des autres téléphones portables à proximité physique. L'inconvénient du Bluetooth, qui ne peut entrer en contact que sur quelques mètres, devient ici un avantage.

Figure 2: Si l'utilisateur envoie ses données d'application au serveur après un diagnostic corona, toutes les personnes de contact peuvent être contactées via l'application. La personne de contact doit informer l'autorité sanitaire locale, car son identité n'est pas liée à l'application.
Figure 2: Si l'utilisateur envoie ses données d'application au serveur après un diagnostic corona, toutes les personnes de contact peuvent être contactées via l'application. La personne de contact doit informer l'autorité sanitaire locale, car son identité n'est pas liée à l'application.

Concrètement, le suivi fonctionnerait comme ceci: autant de personnes que possible installent volontairement une application sur leur téléphone portable. L'application génère un nouvel ID temporaire toutes les demi-heures à l'aide de moyens cryptographiques. Dès qu'un autre téléphone portable avec l'application se trouve à proximité immédiate, les deux téléphones portables reçoivent l'ID temporaire de l'installation de l'autre application et l'enregistrent. Cette liste d'ID provenant d'autres installations d'applications est enregistrée localement et chiffrée sur les deux téléphones mobiles (voir figure 1). Dès qu'un des utilisateurs de l'application est diagnostiqué avec une infection à coronavirus, le médecin diagnostiquant demande à l'utilisateur de transférer les données stockées localement vers le serveur central (voir figure 2). Si l'utilisateur est d'accord, le serveur central découvre avec quels autres identifiants temporaires ce téléphone portable était en contact. Le serveur ne peut pas utiliser ces identifiants pour déchiffrer les personnes qui se cachent derrière, mais il peut informer tous les téléphones portables concernés. Cette notification peut être envoyée sans regarder les personnes utilisant les téléphones portables. Parce que pour pouvoir afficher un message sur le téléphone portable, aucune donnée personnelle n'est requise. Au contraire, un soi-disant jeton push, une adresse numérique du téléphone portable, est suffisant pour envoyer un message push à l'appareil. Ce PushToken est généré lorsque l'application est installée sur le téléphone mobile. Dans le même temps, l'application stocke à la fois le PushToken et les identifiants temporaires qu'elle envoie au fil du temps sur un serveur central – en Allemagne, par exemple, à l'Institut Robert Koch. De cette façon, les téléphones portables peuvent être adressés en utilisant uniquement des identifiants temporaires et des PushTokens, sans que l'identité de la personne portant ces téléphones portables soit vérifiable.

Si un téléphone portable se trouvait à proximité d'un téléphone portable «infecté», l'utilisateur du téléphone portable reçoit une alarme, accompagnée d'une instruction de mise en quarantaine immédiate. La personne devra alors contacter son service de santé local pour faire rapidement un test corona afin de pouvoir soit mettre en quarantaine, soit informer ses contacts (voir figure 2).

Dans tout le processus, personne ne découvre l'identité des personnes de contact: ni les personnes avec lesquelles les utilisateurs de l'application ont été en contact, ni l'autorité sanitaire locale ni même le serveur central, car l'application n'est pas liée à une identité. Les données de localisation ne sont jamais collectées ni enregistrées.

Figure 3: Les raisons les plus courantes contre l'installation d'une application de suivi des contacts (enquête représentative, collecte de données du 25 au 27 mars 2020, plus d'informations ici)
Figure 3: Les raisons les plus courantes contre l'installation d'une application de suivi des contacts (enquête représentative, collecte de données du 25 au 27 mars 2020)

Comme mentionné, ce concept n'est pas notre idée – Singapour a lancé une application très similaire il y a une semaine, et plusieurs pays européens travaillent sur des applications comparables. Nous ne sommes pas d'accord avec tous les détails de l'application Singapour et le suivi des contacts qui y sont pratiqués. Par exemple, chaque installation d'application est connectée au numéro de téléphone de l'utilisateur et peut donc être identifiée, ce qui n'est pas nécessaire et doit donc être rejeté pour des raisons d'économie de données. Le concept de base nous semble convaincant. Une telle application pourrait implémenter le suivi des contacts beaucoup plus efficacement qu'un système basé sur des données de cellule ou des données de localisation, car les deux catégories de données ne permettent pas de déterminer la position avec la précision requise d'au plus deux mètres. Et en même temps, un tel concept serait sans faille en vertu de la loi sur la protection des données.

L'économie des données crée l'acceptation

Dans le cas du suivi des contacts, comme décrit ci-dessus, la solution d'économie de données est également susceptible d'être plus efficace sur le plan épidémiologique, car elle permet une détection plus précise que quiconque pour déterminer réellement qui s'est approché de 1,5 à 2 mètres. En outre, tous les systèmes prometteurs pour le suivi des contacts numériques à l'aide de données mobiles dépendent des utilisateurs pour jouer en installant une application ou au moins en emportant leur téléphone mobile avec eux. L'efficacité de tels systèmes dépend donc également de l'acceptation du public. Cette acceptation peut être augmentée par une solution efficace en termes de données. Une enquête représentative réalisée la semaine dernière a montré que 70% des personnes interrogées installeraient une telle application sur leur téléphone mobile (Divulgation: cette étude est dirigée par le co-auteur Johannes Abeler). La raison la plus souvent invoquée contre l'installation est la crainte que l'application ne puisse servir de prétexte à une surveillance accrue après la fin de l'épidémie (voir figure 3). Si le gouvernement fédéral souhaite que l'application soit installée par de nombreuses personnes, il devrait prendre cette préoccupation au sérieux et s'abstenir de suivre les données de localisation ou les données cellulaires. C'est techniquement possible.

Conclusion: proportionnalité plutôt que rhétorique sur l'état d'urgence

Dans la crise actuelle, nous devrons accepter dans un avenir prévisible une ingérence de plus en plus importante dans les droits fondamentaux par rapport à ce à quoi nous sommes habitués en temps normal. Néanmoins, il n'y a aucune raison de déclarer l'état d'urgence avec une couverture «tout ce qu'il faut» et de jeter par-dessus bord les mécanismes de protection traditionnels. Même sous une pression temporelle élevée, des solutions aussi libres et aussi économiques que possible doivent être développées. Cela s'applique au cadre juridique du verrouillage actuel ainsi qu'au traitement des données, ce qui devrait permettre de libérer ce verrouillage. Pour le suivi des contacts, nous avons essayé de le montrer comme exemple ci-dessus. Il est tout à fait concevable qu'au cours de la gestion de la crise, en plus du besoin déjà prévisible de suivre les rencontres des gens, d'autres objectifs cognitifs se poseront. Il faudrait ensuite examiner quel traitement supplémentaire des données est nécessaire pour y parvenir et lequel peut être supprimé.

La recherche d'une solution d'économie de données aussi économique que possible n'est pas seulement une exigence de protection des droits fondamentaux. Dans de nombreux cas, il contribuera même à l'efficacité et à l'efficience du système de traitement des données respectif: seul un système auquel les gens peuvent faire confiance car il ne les espionne pas et ne les soumet pas à des représailles a le potentiel d'un soutien vraiment large parmi la population. Le gouvernement fédéral doit emmener le peuple allemand avec lui.

Johannes Abeler est professeur agrégé au Département d’économie de l’Université d’Oxford et chargé de cours au St. Anne’s College.

Matthias Baker (Twitter) est professeur de droit public et de droit de l'information, en particulier du droit de la protection des données à l'Université Johannes Gutenberg de Mayence.

Ulf Buermeyer (Twitter) est président d'honneur de la Gesellschaft für Freiheitsrechte e.V. (GFF) et son poste principal est celui de consultant auprès du département sénatorial de la justice, de la protection des consommateurs et de la lutte contre la discrimination dans l'État de Berlin, où il élabore un système de transparence pour les requêtes de cellules radio. L'article ne reflète que son opinion personnelle.