A quelle sauce (numérique) allons-nous être mangés? En Suisse comme en Europe, la bataille des données fait rage dans une hâte de mauvais augure pour la protection des données individuelles. Le traçage de l’épidémie justifie-t-il la violation massive de notre vie privée?

Je n’ai jamais rencontré Jacques Attali. Il s’en est fallu de peu, il y a de cela quelques années, lorsque j’aspirais à participer au développement du numérique en France. Une soirée avec un tel cerveau me ravirait, d’autant plus qu’il semble l’auteur de cette phrase prophétique:

«Une pandémie majeure fera alors surgir, mieux qu’aucun discours humanitaire ou écologique, la prise de conscience de la nécessité d’un altruisme, au moins intéressé. Et, même si, comme il faut évidemment l’espérer, cette crise n’est pas très grave, il ne faudra pas oublier, comme pour la crise économique, d’en tirer les leçons, afin qu’avant la prochaine — inévitable — on mette en place des mécanismes de prévention et de contrôle, ainsi que des processus logistiques de distribution équitable des médicaments et de vaccins.»

Parmi les mécanismes de lutte et de prévention d’une deuxième vague dont il nous est dit qu’elle s’avère inévitable figurent les applications de traçabilité. Sans vouloir entrer dans des détails techniques, deux modèles sont en cours de développement: le modèle centralisé et le modèle décentralisé. Avec le modèle centralisé, lorsqu’une personne est diagnostiquée malade, elle prévient un serveur central et c’est lui qui informe les autres téléphones. Le hic avec ce système, c’est que les données figurant sur le serveur central vont susciter des appétits divers et variés, tant des pirates informatiques que de tous ceux qui voudront exploiter ce véritable trésor.

Exit donc la belle entente européenne qui avait prévalu aux prémices de la pandémie pour développer un système unique de traçabilité. La Suisse s’est retirée de ce projet dès la mi-avril 2020 et développe actuellement une application basée sur le modèle décentralisé. Dans cette configuration, sans passer par une base de données centralisée, ce sont les téléphones des personnes diagnostiquées atteintes du COVID-19 qui contactent directement les autres téléphones. Jusqu’ici donc, aucun grief ne peut être émis à l’endroit de ceux qui souhaitent pouvoir effectuer un suivi de la pandémie.

La situation se corse lorsque durant le développement de l’application Swiss PT (auparavant intitulée DP-3T), des voix s’élèvent pour critiquer la sécurité des données. Et ces voix dont celle des Professeurs Serge Vaudenay et Solange Ghernaouti émanent des milieux scientifiques, respectivement de personnalités reconnues pour leur sérieux. De collègues des équipes qui développent l’application. S’engage alors une querelle d’experts que je suis bien incapable d’arbitrer.

Dans une situation aussi sérieuse avec des données de millions de citoyens, données de surcroît sensibles, je suis d’avis que le principe de précaution doit s’appliquer. Cette appréhension est confortée par le fait que nous dépendons technologiquement de Google et d’Apple pour le fonctionnement de cette application. Permettez-moi également de faire part de mes doutes lorsque je lis dans un récent article de l’Illustré que l’équipe de recherche travaille de manière collaborative au moyen de l’application contestée Zoom, partage des documents sur Google Docs et qu’elle reconnaît textuellement que l’attente est trop grande, que la technologie utilisée (Bluetooth) n’est pas parfaite et qu’elle va passer à côté de certaines personnes. Bref, que l’application n’est pas la solution, mais un complément au traçage manuel.

https://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/hackers/actualite-891576-500-000-comptes-zoom-vendus-dark-web-forums-hackers.html

https://news.sophos.com/fr-fr/2017/06/15/donnees-personnelles-apple-vendues-par-distributeurs/

https://www.businessinsider.fr/apple-accuse-davoir-vendu-les-donnees-personnelles-dutilisateurs-itunes/

https://www.usine-digitale.fr/article/google-est-accuse-de-pister-illegalement-les-utilisateurs-d-android-en-europe.N964411

D’aucuns m’objecteront que l’actuelle pandémie génère des risques supérieurs. C’est statistiquement faux, à l’aune du nombre de personnes infectées et en regard des potentialités d’accès à des données qui concernent un nombre bien supérieur de citoyens. De surcroît, en matière de sécurité informatique, l’innocuité d’un système ne doit en aucun cas être présumée en comptant sur l’honnêteté des acteurs. N’oublions jamais que les données de santé sont particulièrement attractives pour les pirates qui peuvent les vendre à prix d’or sur le darkweb.

À cet égard, la Confédération a tenté de juguler la critique en invitant les pirates informatiques à tester la robustesse de l’application. Sans toutefois promettre de récompenser ceux qui y parviendraient ainsi que cela est l’usage en matière de bug bounty (chasse aux bugs). Qui va dès lors consacrer du temps à cette application alors qu’il pourrait être rémunéré par des acteurs du domaine de la sécurité informatique? Nous en saurons vraisemblablement plus prochainement, mais le temps est compté, car contrairement à la désormais mythique phrase d’Alain Berset, le Conseil fédéral souhaite aller aussi vite que possible, mais pas aussi lentement qu’il serait nécessaire pour préserver la sécurité des données des citoyens helvétiques. Ce qui est évidemment regrettable.

Le traçage anonyme est un dangereux oxymore: ne sacrifions pas la défense de nos données personnelles sur l’autel de la pandémie.

(Traçage Covid-19 en Suisse: une coupable improvisation, 2)

La mise en place de SwissCovid, l’application de traçage en Suisse, révèle des lacunes surprenantes à tous les étages. Hormis les motifs liés à la sécurité des données, une série d’objections touchant à plusieurs domaines renforce le sentiment d’une gabegie en chorus. Le citoyen ne l’utilisera qu’à ses risques et périls.

Le Groupement d’intérêt eHealth qui réunit des acteurs majeurs du domaine de la santé numérique en Suisse s’est adressé au Parlement ainsi qu’au Conseil fédéral le 14 mai 2020. Deux problèmes légaux ont été mis en exergue.

Où est l’appel d’offres?

On a d’abord observé qu’en optant pour la solution des Écoles polytechniques fédérales, le Conseil fédéral a porté atteinte à la liberté de commerce et d’industrie, garantie constitutionnellement. Ce groupement a donc demandé que l’Office fédéral de la santé publique autorise tous les fournisseurs à proposer leur application en ligne pour autant que celle-ci respecte toutes les prescriptions légales. Le Conseil fédéral devrait alors désigner un organe de contrôle chargé de préparer rapidement à l’intention de l’OFSP des recommandations pour la mise en circulation.

Il est vrai que le choix de ne pas procéder à un appel d’offres interpelle. Il exclut de facto des acteurs spécialisés qui auraient pu, à tout le moins, challenger l’équipe de développement des Écoles polytechniques fédérales. Ces acteurs sont en droit d’être informés sur les motifs qui ont concouru à ce choix. Si la loi sur les marchés publics a été sciemment ignorée et la liberté de commerce et d’industrie violée, la gestion du Conseil fédéral ne pourrait plus être qualifiée d’adéquate en situation extraordinaire, mais reviendrait à du dirigisme illicite.

Un dispositif médical autorisé sans vérification?

Le deuxième motif d’insatisfaction d’eHealth concerne l’application elle-même qui pourrait être considérée comme un dispositif médical et devoir ainsi être autorisée en application de différentes dispositions légales (Loi sur les produits thérapeutiques et Ordonnance sur les dispositifs médicaux). Cette vérification de conformité n’est pas une sinécure et elle pourrait considérablement retarder la mise en service. A titre d’exemple, la commercialisation d’une application visant à déterminer les périodes de fertilité ou d’infertilité de son utilisatrice dans un but de contraception ou au contraire d’aide à l’enfantement, a été interdite par Swissmedic, l’autorité qui autorise et contrôle les produits thérapeutiques en Suisse.

Selon Swissmedic, cette application constituait un dispositif médical dans la mesure où elle calculait une fenêtre de fertilité, à partir des données personnelles par l’utilisatrice. Il convient d’ajouter que les exigences légales varient en fonction des risques que chaque dispositif médical peut présenter. L’objection d’eHealth est donc pertinente et il est permis de s’interroger sur la nécessité d’une autorisation préalable à délivrer par le régulateur.

Une étrange désinvolture

Ces deux motifs indiquent que les autorités ont agi sans appréhender toutes les problématiques et surtout sans consultation préalable des acteurs. Les récentes modifications de la loi sur les épidémies permettant à l’application de traçage de disposer d’une base légale topique démontrent que ces garde-fous n’ont singulièrement pas été pris en considération. Le système a été reconnu constitutif d’une application médicale et il est indiqué que les exigences réglementaires applicables en vertu de la législation sur les produits thérapeutiques sont respectées. Cela signifie-t-il que Swissmedic a donné son aval à l’utilisation de l’application de traçage? Dans l’affirmative pourquoi ne pas le mentionner?

Mais il y a plus. Le principe de transparence qui doit être la règle pour chaque autorité de ce pays n’a pas été respecté. La transparence ne porte en effet que sur le code source et les spécifications techniques de tous les composants. Les conditions d’octroi de ce marché public aux Écoles polytechniques fédérales ne sont pas connues. Quelles sont les sommes allouées à ce titre? Comment a été résolue la question de la responsabilité? Qui va en définitive assumer un fiasco s’il devrait survenir? Tout au plus sait-on que l’application a été développée sur les budgets ordinaires des Écoles polytechniques fédérales. Lorsque l’on sollicite la confiance de 65 % de la population d’un pays (soit le pourcentage à atteindre pour que l’application soit efficiente), il faut se montrer beaucoup plus clair et proactif. Une nouvelle fois, depuis le début de cette pandémie, le manque de sérieux interpelle et inquiète. Objectivement.

Gare à l’autolicenciement!

La lecture du Message concernant la modification urgente de la loi sur les épidémies en lien avec le coronavirus (Système de traçage de proximité́) du 20 mai 2020 n’est guère plus rassurante. En termes de droit du travail, la participation au processus de traçage génère un souci et non des moindres. Voici ce que dit précisément le message:

« Si un participant au système TP ressent des symptômes typiques du COVID-19, il peut se faire tester. Si le résultat est positif, le service du médecin cantonal le contacte et lui demande s’il utilise l’application. Si c’est le cas, il génère le code d’autorisation correspondant. L’utilisateur de l’application peut ensuite envoyer l’information de manière anonyme en utilisant ce code. Cette étape est également volontaire. Les participants au système sont informés qu’ils ont été en contact avec elle durant la période où elle était contagieuse. Ils ne reçoivent toutefois aucun détail quant à l’identité́ de la personne qui a envoyé́ l’information. Ils sont cependant informés du jour — mais pas de l’heure et du lieu — où l’infection a pu avoir lieu. Ensuite, la personne informée par l’application SwissCovid reçoit les recommandations suivantes: éviter si possible tout contact physique avec d’autres personnes au cours des dix prochains jours, appeler une infoline coronavirus et, dès l’apparition des premiers symptômes, même légers, consulter un médecin et se faire tester. Si la personne informée est active professionnellement, elle peut volontairement transmettre à son employeur les avertissements qu’elle a reçus, afin que, si nécessaire, des mesures puissent être prises pour protéger les autres collaborateurs (télétravail ou mesures de protection sur place, tel que port d’un masque d’hygiène ou poste de travail isolé). Si la personne se place volontairement en quarantaine sur la seule base de l’information, elle n’a pas droit au maintien de son salaire, conformément à̀ l’art. 324a du code des obligations (CO)».

En d’autres termes, le droit au salaire n’est pas absolument garanti. Cette information devrait être clairement communiquée à chaque personne qui envisage de télécharger l’application du moment qu’elle peut avoir un sérieux impact économique sur sa vie, éventuellement fondé sur de fausses alertes — considérant que des faux positifs sont tout à fait possibles. En l’état, comme cette conséquence est mentionnée dans le message du Conseil fédéral, le participant qui subirait un dommage professionnel ne pourrait s’en prendre qu’à lui-même! Nul n’est censé ignorer la loi…

Cette analyse très partielle des risques et des conséquences du recours à l’application proposée par les autorités suisses nous porte à une conclusion sans équivoque: vous ne l’utiliserez qu’à vos propres risques et périls!

Le traçage anonyme est un dangereux oxymore: ne sacrifions pas la protection de nos données personnelles sur l’autel de la pandémie. Personne ne peut nous obliger à adopter une application qui viole la sphère privée, les lois et les procédures de l’Etat de droit.