Anonyme, l’application Coronalert ? Oui et non

L’application de tracing du coronavirus va être lancée en Belgique. Les infos échangées entre utilisateurs seront anonymes, pas celles envoyées à la base de données de Sciensano. Gênant pour le respect de la vie privée?

Tout le monde est d’accord. Une app de tracing, permettant de suivre nos contacts, dont certains pourraient être infectés, s’avère nécessaire pour couper les chaînes de transmission de la Covid. Il s’agit d’un outil complémentaire à ceux déjà mis en place pour étouffer la propagation du virus. Ce n’est pas neuf. Plusieurs pays asiatiques l’ont éprouvé avec un certain succès. Il n’empêche, ce genre d’application pose des questions en matière de vie privée, d’autant que les informations en jeu sont particulièrement sensibles puisqu’elle concernent notre état de santé individuel. Bien sûr, la Belgique n’a rien d’une dictature. Ce n’est pas une raison pour ne pas être vigilant par rapport à un outil numérique qui sera relié à une gigantesque base de données personnelles et épidémiologiques. Explication.

Technologie Bluetooth

Pour développer leur appli de traçage, de nombreux pays européens, dont la Belgique, ont choisi de suivre le protocole DP3T qui, mis au point par un panel d’experts européens, privilégie la technologie Bluetooth, plus respectueuse de la vie privée que la géolocalisation (GPS) qui, comme en Chine, permet de suivre les utilisateurs à la trace. Le principe est assez simple : équipé de l’application, le smartphone de l’utilisateur va générer tous les quarts d’heure une clé aléatoire sous forme de pseudonyme. Lorsque deux GSM sont proches, pendant un moment suffisamment long, ils s’échangent leur clé via l’émission Bluetooth. Si un des contacts se révèle positif à la Covid, tous les utilisateurs avec lesquels il a échangé une clé aléatoire dans les deux semaines précédentes reçoivent une notification via l’appli. Cet échange entre téléphones est anonyme : on ne peut pas savoir quel contact a contracté le virus.

Entre le médecin et Sciensano

Ce qui n’est pas anonyme, par contre, c’est l’échange d’informations entre le médecin et la banque de données principale de Sciensano, dès lors qu’on est testé pour la Covid. Une variante du protocole DP3T a été écrite en ce sens par le réputé cryptologue de la KUL Bart Preneel. Concrètement : lorsqu’un utilisateur de l’app soupçonne qu’il peut être infecté, il va cliquer sur un bouton « test-covid » affiché par son smartphone et recevra un code aléatoire de 17 chiffres, appelé « R1 ». Le médecin chez qui il se fait tester enregistrera désormais ce code R1 et l’enverra à Sciensano, en même temps que le numéro de gsm et le numéro de registre national du patient. Cela permettra à Sciensano de communiquer le résultat du test via l’appli et, si le test est positif, de demander à l’utilisateur l’autorisation d’utiliser ses clés aléatoires (pseudonyme) pour informer anonymement ses contacts ultérieurs qu’ils auront côtoyé une personne infectée. L’utilisateur peut refuser et le R1 disparaîtra de l’application.

Sciensano sait qui utilise l’app ou pas

Cela signifie que Sciensano peut savoir quel patient positif utilise l’app ou pas, en fonction des infos fournies par le médecin contenant ou non un R1. En principe, cela ne devrait pas servir à l’institut scientifique de santé publique, puisque l’arrêté-royal qui règle l’application Coronalert stipule clairement que « la décision d’installer et d’utiliser une application numérique de traçage de contact appartient au citoyen et à lui seul ». Uniquement sur base volontaire. Aucun danger, donc? « Sciensano peut savoir qui utilise l’app ou pas, puisque le R1 est associé au test, reconnaît Axel Legay, professeur à l’UCLouvain et coconcepteur de Coronalert. Mais cela s’arrête là. Sciensano n’en fait rien. » Mais pourquoi ne pas avoir anonymisé le test en utilisant uniquement un code aléatoire, sans le gsm ni le numéro de registre national ? « Sans ces données personnelles, le système d’autorisation d’envoi de clés en cas de test positif ne serait pas possible, explique le Pr. Legay. Or il fallait éviter que quelqu’un puisse envoyer ses clés, sans y avoir été invité, alors qu’il n’est pas positif. C’est une sécurité. »

Juriste à la Ligue des droits humains, Frank Dumortier, lui, n’est pas si sûr que Sciensano ou une autre autorité ne puisse rien faire. « Si je refuse d’autoriser l’envoi de clés après avoir reçu la notification de mon test positif, cette info est-elle transmise par l’appli à Sciensano ? Je ne sais pas, dit-il. En outre, contrairement à ce qui est dit, la base de données de Sciensano n’est pas accessible aux seules autorités de soins de santé. Selon le code d’instruction criminelle, un juge d’instruction peut très bien y mettre son nez, s’il l’estime nécessaire pour une enquête. Avec quelles conséquences ? On sait que le non-respect de la quarantaine constitue une infraction punissable d’une amende ou d’une peine de prison. »

Contrôle des quarantaines?

Elise Degrave, spécialiste du droit des nouvelles technologies à l’UNamur, est, elle aussi, perplexe quant à l’utilisation de la base de données de Sciensano où toutes les infos sur les patients sont rassemblées : « Est-on vraiment certain que ces données personnelles mêlées avec l’identifiant R1 (NDLR : lesquelles resteront chez Sciensano pendant 60 jours avant d’être anonymisées) ne vont pas permettre de contrôler notamment les quarantaines ?, demande-t-elle. Quels verrous sont prévus ? C’est très flou. » Par ailleurs, la mention du numéro de registre national, cet identifiant unique également pour la sécu et le fisc, pose également question. « Etait-ce bien nécessaire de l’ajouter ? », s’interroge le Pr. Degrave. « La loi de 2019 sur le « dossier patient » oblige de l’indiquer », répond Axel Legay. « Le RGPD (NDLR : nouveau règlement européen sur la protection des données à caractère personnel) prévoit le principe de minimisation selon lequel il ne faut l’utiliser que s’il est strictement nécessaire, rétorque Dumortier. Or l’est-il ? »

Complément au tracing manuel

L’application Coronalert vient en complément du tracing manuel, à savoir le suivi téléphonique des contacts via les call-centers lorsqu’on a été testé positif. Lesquels pourront toujours, lorsqu’ils vous appellent, demander d’identifier vos contacts. Désormais, il faudra aussi signifier au call-center si on utilise l’app ou pas. In fine, c’est au niveau du tracing manuel que les données personnelles (numéro de gsm, numéro de registre national, début de l’infection, date du test et son résultat et code R1) sont transmises à Sciensano. C’est davantage ce mélange entre tracing manuel et tracing numérique, combiné à la centralisation dans la base de données de Sciensano, qui peut poser problème au niveau de la vie privée. A chacun de se faire son idée.