Last Updated:

Tracer la population contre le covid-19, pas à n'importe quel prix !

En ces temps troublés de pandémie, nombreux sont les gouvernants qui souhaitent proposer un système de tracking des téléphones mobiles de la population afin d'éviter une seconde vague de contamination. Cependant un tel outil pose de nombreux doutes quant à la liberté et la garantie du maintien de la vie privée de chacun. Le Chaos Computer Club, célèbre association allemande de hackers, a publié une liste de contraintes auxquelles un tel outil se doit absolument d'obéir.

Actuellement, la "recherche des contacts", soutenue techniquement, est envisagée comme moyen de contrer la propagation du CoV-2 du SRAS de manière plus ciblée. La motivation générale est de permettre une plus grande liberté de mouvement pour le large spectre de la société en permettant un traçage rapide et l'interruption des chaînes d'infection. Les contacts des personnes infectées devraient être avertis plus rapidement et ainsi pouvoir se mettre en quarantaine plus rapidement. Cela devrait permettre d'éviter de nouvelles infections. Une "corona app" pourrait donc nous protéger, ainsi que nos contacts : Elle serait conçue pour briser les chaînes d'infection en protégeant les contacts de nos interlocuteurs.

La géolocalisation des contacts : une technologie à risques

Il existe un certain nombre de suggestions pour la mise en œuvre technique de ce concept. Ces propositions vont de systèmes dystopiques de surveillance complète à des méthodes ciblées et totalement anonymes d'alerte des personnes potentiellement infectées sans connaissance de la personne concernée.

En principe, le concept de "Corona App" implique un risque énorme en raison du contact et des données sanitaires qui peuvent être recueillies. En même temps, il y a une chance pour les concepts et technologies de "privacy-by-design" qui ont été développés par la communauté de la cryptographie et de la protection de la vie privée au cours des dernières décennies. Grâce à ces technologies, il est possible de développer le potentiel épidémiologique du traçage des contacts sans créer un désastre en matière de vie privée. Pour cette seule raison, tous les concepts qui violent ou même mettent en danger la vie privée doivent être strictement rejetés.

Dans ce qui suit, Le CCC expose les exigences sociales et techniques minimales pour ces technologies. Le CCC se voit confier un rôle de conseil et d'observation dans ce débat. Il ne recommandera pas d'applications, de concepts ou de procédures spécifiques. Il déconseille toutefois l'utilisation d'applications qui ne répondent pas à ces exigences.

I. Exigences sociétales

1. Sens et objectif épidémiologiques

La condition de base est que le "traçage des contacts" puisse contribuer de manière réaliste à réduire de manière significative et démontrable le nombre d'infections. La validation de cette évaluation relève de la responsabilité de l'épidémiologie. S'il s'avère que le "traçage des contacts" via l'application n'est pas utile ou ne remplit pas son objectif, l'expérience doit être interrompue.

L'application et toutes les données recueillies doivent être utilisées exclusivement pour lutter contre les chaînes d'infection par le SRAS-CoV-2. Toute autre utilisation doit être techniquement empêchée dans la mesure du possible et légalement interdite.

2. Volontariat et absence de discrimination

Pour une efficacité épidémiologiquement significative, une application de "traçage des contacts" nécessite un degré élevé de diffusion dans la société. Cette large diffusion ne doit pas être obtenue par la force, mais uniquement par la mise en place d'un système fiable et respectueux de la vie privée. Dans ce contexte, il ne doit y avoir aucune perception de frais d'utilisation ni aucune incitation financière à l'utilisation.

Les personnes qui refusent de l'utiliser ne doivent pas en subir les conséquences négatives. La politique et la législation doivent veiller à ce qu'il en soit ainsi.

L'application doit informer régulièrement les gens sur son fonctionnement. Elle doit permettre une simple désactivation temporaire et une suppression permanente. Des mesures restrictives, par exemple une fonction d' "entraves électroniques" pour contrôler les restrictions de contact, ne doivent pas être mises en œuvre.

3. Respect fondamental de la vie privée

Seul un concept convaincant basé sur le principe de la vie privée peut être accepté par la société.

En même temps, des mesures techniques vérifiables telles que les technologies de cryptographie et d'anonymisation doivent garantir la protection de la vie privée des utilisateurs. Il ne suffit pas de se fier à des mesures organisationnelles, à la "confiance" et à des promesses. Les obstacles organisationnels ou juridiques à l'accès aux données ne peuvent pas être considérés comme suffisants dans le climat social actuel de réflexion sur l'état d'urgence et d'éventuelles exceptions de grande portée aux droits constitutionnels par le biais de la loi sur la protection contre les infections.

Nous rejetons l'implication des entreprises développant des technologies de surveillance comme un "lavage de covidés". En principe, les utilisateurs ne devraient pas avoir à "faire confiance" à une personne ou une institution pour leurs données, mais devraient bénéficier d'une sécurité technique documentée et testée.

4. Transparence et vérifiabilité

Le code source complet de l'application et de l'infrastructure doit être librement disponible sans restriction d'accès pour permettre des audits par toutes les parties intéressées. Des techniques de construction reproductibles doivent être utilisées pour garantir que les utilisateurs puissent vérifier que l'application qu'ils téléchargent a été construite à partir du code source audité.

II. Exigences techniques

5. Aucune entité centrale à laquelle faire confiance

Une recherche de contact totalement anonyme sans serveur central omniscient est techniquement possible. Il n'est techniquement pas nécessaire que la protection de la vie privée des utilisateurs dépende de la fiabilité et de la compétence de l'opérateur de l'infrastructure centrale. Les concepts basés sur cette "confiance" doivent donc être rejetés.

En outre, la sécurité et la fiabilité promises des systèmes centralisés - par exemple contre la connexion d'adresses IP avec des identifiants d'utilisateurs anonymes - ne peuvent être effectivement vérifiées par les utilisateurs. Les systèmes doivent donc être conçus pour garantir la sécurité et la confidentialité des données des utilisateurs exclusivement par leur concept de cryptage et d'anonymisation et la vérifiabilité du code source.

6. Gestion des données

Seules les données et métadonnées minimales nécessaires à l'objectif de la demande peuvent être stockées. Cette exigence interdit la collecte centralisée de toute donnée qui n'est pas spécifique à un contact entre personnes et à sa durée.

Si des données supplémentaires telles que des informations de localisation sont enregistrées localement sur les téléphones, les utilisateurs ne doivent pas être forcés ou tentés de transmettre ces données à des tiers ou même de les publier. Les données qui ne sont plus nécessaires doivent être supprimées. Les données sensibles doivent également être cryptées de manière sécurisée localement sur le téléphone.

Pour la collecte volontaire de données à des fins de recherche épidémiologique qui va au-delà de l'objectif réel de la recherche des contacts, un consentement clair et distinct doit être explicitement obtenu dans l'interface de l'application et il doit être possible de le révoquer à tout moment. Ce consentement ne doit pas être une condition préalable à l'utilisation.

7. Anonymat

Les données que chaque appareil recueille sur les autres appareils ne doivent pas permettre de désanonymiser leurs utilisateurs. Les données que chaque personne peut transmettre à propos d'elle-même ne doivent pas être adaptées à la désanonymisation de la personne. Il doit donc être possible d'utiliser le système sans collecter ou pouvoir en déduire des données personnelles de quelque nature que ce soit. Cette exigence interdit l'identification unique des utilisateurs.

Les identifiants pour le "traçage de contacts" par technologie sans fil (par exemple, Bluetooth ou ultrasons) ne doivent pas pouvoir être reliés aux personnes et doivent changer fréquemment. Pour cette raison, il est également interdit de connecter ou de dériver des identifiants avec les données de communication qui les accompagnent, telles que les jetons, les numéros de téléphone, les adresses IP utilisées, les identifiants des appareils, etc.

8. Pas de création de profils de mouvements ou de contacts centralisés

Le système doit être conçu de manière à ce que les profils de mouvement (localisation) ou les profils de contact (modèles de contacts fréquents pouvant être attribués à des personnes spécifiques) ne puissent pas être établis intentionnellement ou non. Des méthodes telles que le GPS central/la localisation ou la mise en relation des données avec des numéros de téléphone, des comptes de médias sociaux et autres doivent donc être rejetées par principe.

9. Impossibilité d'établir des liens

La conception de la génération d'identifications temporaires doit être telle que les identifications ne puissent être interprétées et reliées sans la possession d'une clé privée contrôlée par l'utilisateur. Elles ne doivent donc pas être dérivées d'autres informations d'identification de l'utilisateur, directement ou indirectement. Quelle que soit la manière dont les identifiants sont communiqués en cas d'infection, il faut exclure que les données de "traçage des contacts" collectées puissent être enchaînées sur des périodes plus longues.

10. Inobservabilité de la communication

Même si la transmission d'un message est observée dans le système (par exemple via les métadonnées de communication), il ne doit pas être possible de conclure qu'une personne est elle-même infectée ou a été en contact avec des personnes infectées. Cela doit être garanti tant pour les autres utilisateurs que pour les opérateurs d'infrastructure et de réseau ou les attaquants qui ont accès à ces systèmes.

Rôle du CCC

Depuis plus de 30 ans, le CCC s'est engagée dans le bénévolat à l'intersection entre la technologie et la société. Leurs principes éthiques défendent le respect de la vie privée, la décentralisation et l'économie des données - et s'opposent à toute forme de surveillance et de coercition.

Sans prétendre à l'exhaustivité, le CCC cite dans cet article les exigences minimales de protection de la vie privée auxquelles une "Corona App" doit répondre pour être socialement et technologiquement tolérable. Le CCC ne fournira en aucun cas une mise en œuvre concrète avec une approbation, une recommandation, un certificat ou un sceau de test.

Il incombe aux développeurs de systèmes de recherche de contacts de prouver le respect de ces exigences ou de les faire prouver par des tiers indépendants.

Source : https://www.ccc.de/de/updates/2020/contact-tracing-requirements