L’application SwissCovid en question

La période de quarantaine a été marquée par des polémiques liées entre autres à la protection des données privées. On pense à la fiabilité incertaine offerte par l’application vidéo Zoom, à l’obligation initiale de fournir ses coordonnées pour retourner au restaurant, ou encore à l’affaire de la géolocalisation par Swisscom des attroupements à l’aide des données mobiles de ses abonnés.

A l’occasion du déconfinement, la Confédération lance SwissCovid, une application de traçage de proximité pour smartphones, actuellement en phase de test. Le système complétera le «dispositif d’endiguement» actuel, à savoir les procédures de traçage existantes, liées aux cantons, aux institutions médicales ou aux établissements privés devant tenir des listes de fréquentation, dans le but d’interrompre les chaînes de transmission du virus par identification et mise en quarantaine des malades.

Si une personne est testée positive, les autorités médicales vont en effet tenter de retracer avec elle ses contacts récents. Ceux-ci seront ensuite informés par les autorités et devront, en l’absence de symptômes, se placer en quarantaine pendant dix jours. Un tel traçage est possible maintenant que le nombre de cas est en baisse constante.

Dans ce cadre, l’application, d’usage libre et gratuit, aura pour rôle de faciliter cette phase de recherche de contacts. Les entreprises Apple et Microsoft ont en effet modifié les systèmes d’exploitation de leur téléphone (iPhone et Android) pour qu’une entité tierce, en l’occurrence en Suisse les Ecoles polytechniques fédérales sous mandat étatique, puisse développer une application ayant accès aux données Bluetooth des téléphones portables, accès auparavant limité à d’autres usages précis.

Ces données Bluetooth permettent de déterminer les contacts récents entre téléphones possesseurs de l’application, en enregistrant les contacts de plus de quinze minutes à moins de deux mètres, caractéristiques d’une présomption suffisante de contamination, au moyen d’un code aléatoire, et donc «anonyme».

Il ne s’agit donc pas, comme dans l’affaire Swisscom, d’un dispositif de localisation de type GPS, mais plutôt d’un registre ou d’un historique des contacts passés. Ces informations sont stockées dans le téléphone et non pas sur le serveur central géré par l’OFSP. Elles ne devraient donc être consultées que lorsqu’une personne testée positive tente, avec les autorités médicales – il s’agira le plus souvent des services du médecin cantonal –, de retracer ses contacts récents. Ceux parmi eux qui utilisent aussi l’application pourront alors, au choix de la personne testée positive, recevoir une notification les avertissant de leur possible contamination, notification qui n’indiquera pas l’identité de la personne testée positive mais seulement l’occurrence d’un contact potentiellement contagieux. Après quoi, elles suivront la procédure habituelle: dépistage ou mise en quarantaine de dix jours en l’absence de symptômes¹.

Reste qu’aucune technologie n’est entièrement fiable et exempte de bugs. Le système actuellement développé est totalement dépendant de l’accès aux données des téléphones permis par Google et Apple à l’occasion de la crise. Et les experts en cryptologie savent qu’aucun anonymat ne protège contre les risques de ré-identification, notamment par recoupement d’autres informations.

Pourtant le projet est notamment défendu par l’ancien conseiller national socialiste Jean-Christophe Schwaab², que l’on ne soupçonnera pas d’obscures allégeances aux lobbys technologiques. M. Schwaab vante la décentralisation et l’anonymat de la gestion des données, ainsi que la nature open source du développement de l’application. Il rappelle que les autorités fédérales de protection des données, d’éthique et de cybersécurité se sont prononcées en faveur du projet, et que celui-ci représente même une avancée vers la souveraineté numérique, en étant développé en pionnier, à la sauce helvétique, par les pouvoirs publics. Enfin, il précise à juste titre que ce n’est pas un algorithme qui prendra la décision de transmettre aux contacts l’information concernant l’éventuelle contamination, mais bien l’utilisateur. Ces caractéristiques sont selon lui propres à inspirer la confiance nécessaire à l’utilisation de l’application par 65% de la population, taux d’efficacité nécessaire du point de vue épidémiologique.

M. Schwaab est conscient des risques. Il évoque l’accentuation de la fracture numérique, aspect spécialement important ici étant donné que les personnes âgées sont particulièrement touchées par le virus, ou encore le risque d’utilisation par l’Etat ou par des multinationales des données récoltées à d’autres fins que celles prévues par la base légale actuelle, même pour la défense d’un autre intérêt public; ces données doivent en effet être effacées définitivement après vingt et un jours de stockage dans l’application.

Le préposé valaisan à la protection des données, M. Sébastien Fanti, dans l’Antipresse n°234 du 24 mai 2020, ne se montre pas optimiste³. Il remarque tout d’abord que le développement de l’application a été confié aux EPF sans appel d’offre et sans procédure d’homologation par Swissmedic, démarche pourtant obligatoire lors de la mise en circulation d’applications thérapeutiques. Certains pays, dont l’Allemagne et la Corée du Sud, ont très tôt commencé à tester et à tracer leur population, ceci permettant une bonne maîtrise de la pandémie, et on imagine donc qu’un sentiment d’urgence a poussé le gouvernement fédéral à passer outre les procédures habituelles dans le cadre de ses pleins pouvoirs.

M. Fanti déplore néanmoins un manque général de transparence quant à la mise en place de l’application et s’inquiète d’une grande incertitude juridique quant à son utilisation – notamment du point de vue de la responsabilité en cas de mauvaise utilisation ou de piratage, ou encore sous l’angle du droit du travail. Le Conseil fédéral a en effet précisé qu’en cas d’auto-quarantaine, le droit au salaire n’était pas garanti, conformément au droit en vigueur⁴.

Nous nous rallions donc à M. Fanti lorsqu’il estime qu’on n’utilisera cette application qu’à ses risques et périls, en précisant toutefois que, au vu de ce qui a été présenté ci-dessus du point de vue technique et juridique, et bien qu’on ne puisse exclure telle attaque informatique malveillante ou telle faille de sécurité malencontreuse, ces risques et ces périls nous apparaissent assurément minimes.

Notes:

¹    Pour de plus amples informations sur les aspects techniques et légaux de l’application SwissCovid, on se rapportera avec profit à la «déclaration de confidentialité durant l’essai pilote du 13 mai 2020», aux «conditions d’utilisation» ainsi qu’à la «Foire aux questions», disponibles sur le site de l’OFSP.

²    Voir sa tribune dans Le Temps du 12 mai 2020: https://www.letemps.ch/opinions/soutiens-jutiliserai-lapplication-tracage-proximite

³    Sa prise de position complète est actuellement en libre accès: https://antipresse.net/swisscovid-un-curieux-manque-dapplication/

⁴    Voir le Message du Conseil fédéral du 20 mai 2020 relatif à la base légale régissant l’application SwissCovid, page 4: https://www.admin.ch/gov/fr/accueil/documentation/communiques/communiques-conseil-federal.msg-id-79204.html