A quelle sauce (numérique) allons-nous être mangés? En Suisse comme en Europe, la bataille des données fait rage dans une hâte de mauvais augure pour la protection des données individuelles. Le traçage de l’épidémie justifie-t-il la violation massive de notre vie privée?
Je n’ai jamais rencontré Jacques Attali. Il s’en est fallu de peu, il y a de cela quelques années, lorsque j’aspirais à participer au développement du numérique en France. Une soirée avec un tel cerveau me ravirait, d’autant plus qu’il semble l’auteur de cette phrase prophétique:
«Une pandémie majeure fera alors surgir, mieux qu’aucun discours humanitaire ou écologique, la prise de conscience de la nécessité d’un altruisme, au moins intéressé. Et, même si, comme il faut évidemment l’espérer, cette crise n’est pas très grave, il ne faudra pas oublier, comme pour la crise économique, d’en tirer les leçons, afin qu’avant la prochaine — inévitable — on mette en place des mécanismes de prévention et de contrôle, ainsi que des processus logistiques de distribution équitable des médicaments et de vaccins.»
Parmi les mécanismes de lutte et de prévention d’une deuxième vague dont il nous est dit qu’elle s’avère inévitable figurent les applications de traçabilité. Sans vouloir entrer dans des détails techniques, deux modèles sont en cours de développement: le modèle centralisé et le modèle décentralisé. Avec le modèle centralisé, lorsqu’une personne est diagnostiquée malade, elle prévient un serveur central et c’est lui qui informe les autres téléphones. Le hic avec ce système, c’est que les données figurant sur le serveur central vont susciter des appétits divers et variés, tant des pirates informatiques que de tous ceux qui voudront exploiter ce véritable trésor.
Exit donc la belle entente européenne qui avait prévalu aux prémices de la pandémie pour développer un système unique de traçabilité. La Suisse s’est retirée de ce projet dès la mi-avril 2020 et développe actuellement une application basée sur le modèle décentralisé. Dans cette configuration, sans passer par une base de données centralisée, ce sont les téléphones des personnes diagnostiquées atteintes du COVID-19 qui contactent directement les autres téléphones. Jusqu’ici donc, aucun grief ne peut être émis à l’endroit de ceux qui souhaitent pouvoir effectuer un suivi de la pandémie.
La situation se corse lorsque durant le développement de l’application Swiss PT (auparavant intitulée DP-3T), des voix s’élèvent pour critiquer la sécurité des données. Et ces voix dont celle des Professeurs Serge Vaudenay et Solange Ghernaouti émanent des milieux scientifiques, respectivement de personnalités reconnues pour leur sérieux. De collègues des équipes qui développent l’application. S’engage alors une querelle d’experts que je suis bien incapable d’arbitrer.
Dans une situation aussi sérieuse avec des données de millions de citoyens, données de surcroît sensibles, je suis d’avis que le principe de précaution doit s’appliquer. Cette appréhension est confortée par le fait que nous dépendons technologiquement de Google et d’Apple pour le fonctionnement de cette application. Permettez-moi également de faire part de mes doutes lorsque je lis dans un récent article de l’Illustré que l’équipe de recherche travaille de manière collaborative au moyen de l’application contestée Zoom, partage des documents sur Google Docs et qu’elle reconnaît textuellement que l’attente est trop grande, que la technologie utilisée (Bluetooth) n’est pas parfaite et qu’elle va passer à côté de certaines personnes. Bref, que l’application n’est pas la solution, mais un complément au traçage manuel.
D’aucuns m’objecteront que l’actuelle pandémie génère des risques supérieurs. C’est statistiquement faux, à l’aune du nombre de personnes infectées et en regard des potentialités d’accès à des données qui concernent un nombre bien supérieur de citoyens. De surcroît, en matière de sécurité informatique, l’innocuité d’un système ne doit en aucun cas être présumée en comptant sur l’honnêteté des acteurs. N’oublions jamais que les données de santé sont particulièrement attractives pour les pirates qui peuvent les vendre à prix d’or sur le darkweb.
À cet égard, la Confédération a tenté de juguler la critique en invitant les pirates informatiques à tester la robustesse de l’application. Sans toutefois promettre de récompenser ceux qui y parviendraient ainsi que cela est l’usage en matière de bug bounty (chasse aux bugs). Qui va dès lors consacrer du temps à cette application alors qu’il pourrait être rémunéré par des acteurs du domaine de la sécurité informatique? Nous en saurons vraisemblablement plus prochainement, mais le temps est compté, car contrairement à la désormais mythique phrase d’Alain Berset, le Conseil fédéral souhaite aller aussi vite que possible, mais pas aussi lentement qu’il serait nécessaire pour préserver la sécurité des données des citoyens helvétiques. Ce qui est évidemment regrettable.
Le traçage anonyme est un dangereux oxymore: ne sacrifions pas la défense de nos données personnelles sur l’autel de la pandémie.
- Article de Sébastien Fanti paru dans la rubrique «Futurisk» de l’Antipresse n° 233 du 17/05/2020.