Carmela Troncoso répond à El Salto par appel vidéo depuis la Suisse et dit qu’elle n’a presque pas pu dormir ces derniers jours. La raison est qu’elle dirige depuis des semaines l’équipe de conception d’un protocole visant à réaliser un système de prévention des infections au covid-19 basé sur des connexions bluetooth. DP-3P, le nom du protocole, a été commandé par le Pan-European Proximity Tracking Consortium for Privacy, Pepp-Pt, un conglomérat de sociétés et d’universités qui ont uni leurs forces pour développer une application anti-virus. Le gouvernement espagnol a annoncé son soutien au projet.

Troncoso, originaire de Galice, est ingénieur et professeur à l’École polytechnique de Lausanne (EPFL). « Le projet Pepp-Pt est une initiative de type ONG qui a débuté en Allemagne et se développe en Suisse. Pour autant que je sache, personne n’en tirera profit pour le moment », dit-elle. Cependant, le 16 avril, juste après la participation de Troncoso à ce média, un collègue du projet, Michael Veale, un avocat expert en droit numérique, a annoncé dans les réseaux sociaux que le groupe européen avait complètement abandonné le concept, en soulignant que « Pepp-Pt est maintenant un protocole opaque, qui centralise les données obtenues par le contact avec bluetooth. Elle représente désormais les intérêts industriels. C’est un cheval de Troie ».

Comment fonctionne exactement le protocole conçu par Troncoso et son équipe ? Le professeur explique que « notre protocole est totalement open source, il n’y a pas une seule ligne de code qui ne soit pas ouverte. Toute la documentation se trouve dans un dépôt Github. Elle est basée sur un respect maximal de la vie privée et un impact minimal sur la société ». Il existe une petite bande dessinée en anglais, produite par l’équipe elle-même, qui explique la conception et le fonctionnement par points.

Une fois qu’une personne a l’application sur son téléphone, elle génère une clé anonyme qui est rafraîchie et modifiée de temps en temps. C’est ce que Troncoso appelle les « identités éphémères ». L’appareil transmet ces identités éphémères par bluetooth à d’autres appareils à proximité et vice versa. Les numéros sont donc stockés dans le téléphone lui-même. Ainsi, un mobile génère une liste de tous les mobiles qu’il a rencontrés, la distance qui les sépare et le temps qu’ils ont passé ensemble. Si une personne est testée positive au covid-19, le système serait activé, de sorte que l’application, avec la permission de l’utilisateur, enverrait un message à un serveur, qui le transmettrait à tous les mobiles avec lesquels il a été en contact, au cas où une personne serait testée positive.

« Mais il serait impossible pour quiconque de savoir à qui est associée une identité éphémère. En outre, le serveur ne dispose d’aucune information pertinente, seulement des numéros des personnes infectées. C’est un canal de communication. C’est pourquoi il est totalement anonyme, c’est ce que nous appelons le »privacy by design« . Même si vous voulez faire un mauvais usage de l’application, vous ne pouvez pas », ajoute Troncoso. Elle souligne également que les protocoles d’action dépendraient de chaque pays, puisqu’il ne s’agit que d’un dessin et non d’une demande complète.

Le concept de « privacy by design » est essentiel lorsqu’il s’agit d’empêcher des tiers d’utiliser les informations obtenues par ces applications. C’est le moyen d’éviter de devoir faire confiance aux tiers ou aux entreprises impliquées dans le processus pour qu’ils fassent un usage éthique des informations qu’ils traitent ou qu’ils puissent protéger ces données de manière adéquate. « C’est le cas, par exemple, de la demande de Singapour. Dans ce cas, ils stockent toutes les données sur le serveur. Même s’ils sont anonymes, en s’accumulant, ils créent un réseau social dont on peut extraire des informations précieuses », ajoute-t-elle.

En raison de l’état d’urgence dans lequel se trouvent nos sociétés, il existe de nombreux exemples où nous avons cédé des droits sociaux afin de lisser la courbe de contagion. Est-il si pertinent de se préoccuper de la vie privée en ce moment ? « Absolument. C’est ce que je dis à mes amis lorsque nous discutons de la question. La liberté de circulation vous sera rendue, la vie privée que nous perdons est impossible à retrouver. La technologie peut être considérée comme un vaccin. Il faut être très sûr que ça ne va pas faire mal. Nous ne pouvons pas créer quelque chose qui entraînera de nouveaux problèmes à l’avenir. Les données que nous donnons à Google et à Amazon sont déjà là, mais ce n’est pas une raison pour en donner davantage. »

L’avenir du projet de l’équipe DP-3P est incertain maintenant que le conglomérat européen a décidé de s’en passer. Troncoso souligne que l’objectif est de ne l’utiliser qu’à titre d’exception pour la pandémie, puis, une fois qu’il aura rempli sa fonction, il devra être jeté. « L’idée est que lorsque tout cela sera terminé, nous retournerons dans nos universités. Mes propres étudiants n’ont plus de nouvelles de moi depuis un certain temps, je peux à peine les écouter, les pauvres. »

Cependant, un autre tremblement de terre a secoué les sections technologiques de tous les médias ces jours-ci : le 10 avril, Google et Apple ont annoncé un partenariat pour concevoir un système qui fonctionne exactement de la même manière que celui conçu par Troncoso et son équipe, mais avec un niveau de mise en œuvre plus ambitieux.

L’alliance Google et Apple bluetooth

Le mot « bluetooth » vient de la traduction anglaise du nom de famille de Haral Blàtand, le roi danois qui a unifié les territoires qui couvrent aujourd’hui la Suède et la Norvège, mettant ainsi fin à l’ère des Vikings dans la région. Les concepteurs du système ont pensé que c’était un bon nom car il faisait référence à l’« unification ».

Quand on parle de Google et d’Apple, il ne faut pas oublier qu’ils contrôlent pratiquement tout le marché des smartphones. Selon l’Internet Freedom Foundation (IFF), ils fournissent des systèmes d’exploitation à plus de trois milliards d’utilisateurs dans le monde. Cela les place sans aucun doute dans une position très privilégiée lorsqu’il s’agit de mettre en place un système qui fonctionne efficacement et globalement.

Malgré cela, personne n’a assuré que ces systèmes seront vraiment utiles, car de longues périodes d’essai sont nécessaires pour le vérifier. Cependant, l’application de Singapour n’a pas fonctionné en premier lieu parce qu’un grand nombre de personnes ne l’avaient pas téléchargée. Deuxièmement, même si vous l’aviez téléchargée, si vous ouvriez d’autres applications telles que Candy Crush ou si le téléphone était verrouillé, elle ne fonctionnerait pas correctement et n’enregistrerait donc pas les interactions entre les terminaux. Pour éviter ces problèmes, les deux géants ont présenté un projet divisé en deux grandes phases.

La première phase, qu’ils espèrent mettre en œuvre en mai 2020, consiste à remettre aux autorités sanitaires des différents pays une application à télécharger pour les utilisateurs de chaque pays qui établira un système de suivi des contacts par Bluetooth. À ce stade, selon le rapport, le consentement des gouvernements et des utilisateurs serait obligatoire pour l’utilisation des applications.

Dans une deuxième phase, qui sera développée au cours des prochains mois, la fonction de l’application sera reproduite dans une mise à jour de chaque système d’exploitation Android ou iPhone. C’est-à-dire qu’il serait installé sur tous les téléphones comme n’importe quelle mise à jour du système d’exploitation et fonctionnerait automatiquement. Le rapport note que, là encore, le consentement des utilisateurs serait nécessaire. Nous ne devons pas oublier à ce stade que les formulaires de consentement des principales technologies fonctionnent de telle manière que nous les acceptons sans avoir le temps de lire les petits caractères si nous voulons continuer à les utiliser.

Google et Apple ont particulièrement insisté sur le fait que l’application ne stockera pas les données des utilisateurs et qu’il s’agit d’un projet altruiste. L’IFF souligne que, bien que l’on ne puisse pas établir si cela sera vrai ou non avant la mise en œuvre du système, il y a des points qui devraient être soigneusement contrôlés pendant la mise en œuvre du processus.

Tout d’abord, pour examiner les négociations qui ont lieu entre les entreprises et les différents gouvernements, car il se peut que les gouvernements eux-mêmes, ayant accès à tant d’informations sensibles (relatives à la mobilité et aux données de santé privées agrégées) puissent en faire un mauvais usage en raison de leurs décisions politiques. L’extrémisme de droite se développe en Europe, et la politique frontalière se durcit.

Deuxièmement, nous devrions surveiller comment cette mise en œuvre peut fonctionner par rapport à d’autres alternatives existantes, par exemple celle du Royaume-Uni, qui est hébergée par Google et les magasins Apple. Troisièmement, en ce qui concerne la date de retrait des dispositifs électroniques du système. Une fois la situation exceptionnelle passée, selon les entreprises, les améliorations relatives au suivi seront éliminées, mais pour l’instant, il s’agit d’une ligne inexistante à l’horizon qui, en ce qui concerne l’utilisation du système, peut être tracée dans un an ou dix ans.

Dans une interview pour la BBC, Phil Booth, coordinateur de Medconfidential, une organisation dédiée à la préservation de la confidentialité des données médicales, note que « les demandes de contact et les passeports d’immunité fonctionnent dans de plus en plus d’endroits malgré le fait qu’ils soient en phase expérimentale ». Il est intéressant de noter la relation qui se crée dans certains pays entre ces demandes et l’idée d’un passeport. Selon ce que les gens disent, ils peuvent ou non y avoir accès en fonction des lieux. Comme elle devrait être mise en œuvre dans plusieurs pays du monde simultanément, si elle fonctionne correctement, cette application pourrait être un complément à notre passeport pour voyager entre les pays. Elle serait ainsi essentielle pour l’ouverture des aéroports et la récupération de la mobilité aérienne.

Souveraineté technologique pour les infrastructures publiques

Après avoir appris que son projet avait été abandonné par le groupe européen, Carmela Troncoso s’est attristée sur les réseaux sociaux : « Aujourd’hui est un jour fatidique pour la vie privée, j’espère que les Etats vont se réveiller face à cette vague de privatisation ».

Nos sociétés ont été énormément modifiées et de nombreuses voix prédisent déjà une crise économique bien plus grave que celle de 2008. En ce sens, la rapidité de la reprise des activités économiques pourrait dépendre dans une large mesure de l’utilité réelle que peuvent avoir ces applications qui, en revanche, ne doivent pas fonctionner sous cet aspect. Tout cela est en phase expérimentale au niveau mondial et il n’y a pas de certitudes concernant cette technologie.

Un autre point que nous ne devons pas oublier est celui de la population qui n’a pas accès à ces technologies. Selon un rapport de Hootsuite publié en 2018, environ 20 % de la population espagnole n’utilise pas de smartphones, en particulier les personnes âgées. Le fossé technologique joue également sur cet aspect et nous ne devons pas oublier que toutes les personnes possédant un téléphone portable ne savent pas comment accéder et utiliser les applications.

Où faut-il mettre Google et Apple ? Exactement là où veulent être deux entreprises qui dépendent de l’image qu’elles projettent au monde. Dans un article récent du Guardian, Evgeny Morozov utilise la métaphore du bon et du mauvais flic pour évoquer les mesures drastiques prises par certains gouvernements contre les solutionnistes, qui sont issus des plus hauts représentants du capitalisme numérique.

Dans ce cas, le rôle du bon flic est joué par les enfants de la Silicon Valley, qui retournent à leurs vêtements froids (technologiques) face au supposé totalitarisme (toujours pointé du doigt comme politique) des mesures drastiques. Pour Morozov, cette idéologie a transcendé les limites mêmes des entreprises et façonne la pensée des élites qui gouvernent, répétant le mantra selon lequel « la technologie déplace les décisions politiques ».

C’est pour cette raison que les gouvernements européens et américains ont conclu des accords avec la société Palantir, financée par la CIA, qui collabore avec la NSA - l’agence qui espionne les citoyens du monde entier, selon Snowden -, pour créer des systèmes de prévention de la contagion. Google et Apple font leur part pour « respecter pleinement la vie privée de l’individu ».

Ce n’est pas la première fois que Google et Apple cachent dans leurs applications des moyens de localiser et d’extraire des données. Il y a, par exemple, les cas d’Apple Health et de Google Fitbit, qui, sous prétexte de surveiller vos programmes d’exercices, ont pris des modèles de votre santé et de vos mouvements pour faire des prévisions.

Selon Sergio Soto, membre d’Ingénierie sans frontières (ISF), « il faudrait attendre de voir la candidature complète et fonctionnelle. Si ce n’est pas 100% open source, je ne lui ferais pas confiance. Si nous nous mettons dans le scénario qu’il est, qu’il anonymise totalement l’utilisateur et que le code est ouvert, devons-nous rester méfiants ? » Dans ce cas, nous sommes confrontés à la mise en place d’un nouveau système de localisation de manière globale et simultanée qui, bien qu’anonyme, est en cours de test. Il y a des données que vous pouvez obtenir et que les systèmes GPS ne peuvent pas obtenir, comme la hauteur à laquelle vous vous trouvez dans un bâtiment« , poursuit M. Soto. Troncoso est d’accord sur ce point : »Ce que ce graphique pourrait représenter, même Google avec la somme de toutes ses géolocalisation ne pourrait pas vous donner cette information.« »De plus, nous ne pouvons pas oublier tous les appareils qui fonctionnent avec Bluetooth et qui se trouvent dans de plus en plus de foyers, comme Alexa", ajoute Soto.

Outre le terrain de jeu et d’expérimentation que représente cette pandémie pour les systèmes promis par les grandes technologies, ainsi que le capital publicitaire et symbolique qu’elles peuvent générer dans le monde entier (en lavant les mains des États-Unis contre une Chine de plus en plus acceptée par l’Europe), nous avons le fait de devenir des éléments indispensables au sein de l’infrastructure publique des pays. Un danger contre lequel l’auteur de Despertar del sueño tecnológico et collaborateur régulier de Salto, Ekaitz Cancela, met en garde depuis quelque temps.

« Ici, on parle de »surveillance numérique passive« , mais il s’agit toujours de créer une infrastructure (basée sur des données ou une connexion par capteurs, peu importe) dont une institution publique dépend pour mener à bien son activité », explique M. Cancela. « En fin de compte, ces entreprises sont les seules capables de répondre à ces besoins, comme ceux de la crise du covid19 , en temps réel. Dans le même temps, les services publics ont vu leurs dépenses réduites au fil des ans. La seule façon de s’attaquer à ces problèmes est donc de s’appuyer sur leurs technologies. Au cœur de tout cela se trouve l’idée de privatiser (ils appellent cela numériser) les services publics », déclare Cancela.

Merci à Javier Sánchez pour son aide et sa contribution sur les questions techniques