Le système Apple et Google va suivre les cas potentiels de COVID-19 via des signaux Bluetooth Low Energy, permettant des notifications d'exposition rétroactives tout en utilisant des clés chiffrées pour préserver la confidentialité des utilisateurs non exposés. Les entreprises se sont engagées à mettre fin au système dès que la crise de santé publique sera passée. De plus, elles prévoient de n'autoriser que les autorités de santé publique à utiliser cette technologie.
Les nouveaux exemples d'interface donnent une idée de la façon dont ces notifications fonctionneront en termes pratiques et exactement comment les entreprises prévoient d'assurer un consentement proactif. Destinés aux développeurs, ils montrent comment des alertes spécifiques apparaissent et quand des appels API particuliers doivent être effectués.
Les sociétés ont aussi partagé une bibliothèque de codes de référence (un SDK pour Android et une boîte à outils Xcode pour iOS), que l'équipe espère servir de «coup d’envoi » pour le développement d'applications par les agences de santé publique. Pourtant, les représentants ont précisé que le code lui-même n'était pas censé être livré en tant qu'application.
Les sociétés ont refusé de nommer des partenaires spécifiques du secteur public, mais ont déclaré avoir été approchées de manière proactive par plusieurs gouvernements en raison de leur accès unique au niveau du système d'exploitation aux systèmes Bluetooth des smartphones.
Les entreprises ont également énoncé six principes spécifiques que les partenaires du secteur public devraient respecter :
Les applications doivent être créées par ou pour une autorité gouvernementale de santé publique et ne peuvent être utilisées que pour les efforts de réponse COVID-19.
- Les applications doivent exiger le consentement complet de l'utilisateur avant de pouvoir utiliser l'API de notification d'exposition.
- Les applications doivent obliger les utilisateurs à consentir avant de partager un résultat de test positif et les «clés de diagnostic» associées à leurs appareils, avec l'autorité de santé publique.
- Les applications ne doivent collecter que le minimum de données nécessaires et ne peuvent utiliser ces données que pour les efforts de réponse de COVID-19. Toutes les autres utilisations des données utilisateur, y compris le ciblage publicitaire, ne sont pas autorisées.
- Il est interdit aux applications de demander l'autorisation d'accéder aux services de localisation.
- L'utilisation de l'API sera limitée à une application par pays pour promouvoir une forte adoption par les utilisateurs et éviter la fragmentation. Si un pays a opté pour une approche régionale ou étatique, les entreprises sont prêtes à soutenir ces autorités.
Pourquoi se tourner plutôt vers des applications ?
Les experts de la santé ont déclaré que le contact tracing, ce processus de traçage de toutes les personnes avec lesquelles une personne infectée a été en contact physique au cours des 14 derniers jours, est l'un des moyens les plus efficaces de limiter l'exposition au nouveau coronavirus. Une fois identifiées, les personnes exposées peuvent être surveillées ou mises en quarantaine pendant les deux prochaines semaines.
Bien que ce moyen soit vu comme l'un des meilleurs espoirs pour maintenir les chiffres aussi bas que possible, il demande un travail de longue haleine, car, d’ordinaire, il nécessite un grand nombre d'agents de santé pour effectuer des entretiens. La pratique est également sujette à l'erreur et à l'incertitude, car les personnes interrogées ont des souvenirs erronés et ne peuvent signaler que des contacts avec d'autres personnes connues de la personne infectée.
Les applications téléphoniques pourraient fournir un moyen de traçage beaucoup plus efficace et précis qui n'était pas encore disponible lors des pandémies précédentes. Mais cela s'accompagne d'effets secondaires potentiellement dystopiques à moins que les développeurs - des applications et en particulier des interfaces que les applications appellent - ne les conçoivent avec le plus grand soin.
Comment certains pays comptent s’y prendre
En Allemagne et dans d’autres pays de l’Union européenne, les autorités ont fini par adopter l’approche décentralisée prônée par l’API proposée conjointement par les deux sociétés, qui vise à faciliter le développement des différentes applications gouvernementales. La démarche centralisée – qui stocke les données des utilisateurs en un seul endroit – précédemment soutenue par l’Allemagne s’est attiré les critiques sévères de la part de la communauté scientifique et d'associations qui craignent que les libertés individuelles soient inutilement sacrifiées sur l'autel de l'urgence sanitaire. De plus, plusieurs centaines de scientifiques européens et de militants ont publié une lettre ouverte pour mettre en garde contre les dérives potentielles de l'approche préalablement préconisée par le gouvernement allemand.
Selon Reuters, les solutions de rechange des gouvernements, qui se soustrairaient du système des deux sociétés, manqueraient probablement certaines rencontres, car les iPhone et les appareils Android désactivent les connexions Bluetooth après un certain temps pour économiser la batterie et pour d'autres raisons, à moins que les utilisateurs ne se souviennent de les réactiver à chaque fois. Mais certaines applications ont déclaré qu'elles prévoyaient de s'en tenir à leur propre approche.
L'entreprise de logiciels Twenty, qui a développé l'application de recherche de contacts Healthy Together dans l'Utah avec GPS et Bluetooth, a déclaré lundi que l'application « fonctionne efficacement » sans le nouvel outil proposé par Apple et Google, a rapporté Reuters. « Si leur approche peut être plus efficace que notre solution actuelle, nous intégrerons volontiers leurs fonctionnalités dans notre application existante, à condition qu'elle réponde aux spécifications des partenaires actuels et futurs de la santé publique », a déclaré Twenty.
Bien que la France n’utilisera pas la localisation dans l’approche décentralisée prônée dans son application de traçage Covid-19, le gouvernement refuse l’API Apple-Google, « car dans son format actuel, elle contraint le choix technique : seule une solution « décentralisée » peut fonctionner parfaitement sur les téléphones équipés d’iOS », a déclaré dimanche dernier le ministre des Affaires numériques Cédric O. Le ministre a déclaré être conscient que faire confiance à un organisme central créait un risque d'abus, mais il considérait le contrôle français de la politique de santé comme une « prérogative souveraine » qui ne devait pas être confiée à des entreprises privées.
Le ministre a également faire remarquer que la solution décentralisée soutenue par iOS aurait eu des protections de données inférieures par rapport à la solution centralisée et aurait conduit à une perte de maitrise en termes de santé publique, comme l’impossibilité de limiter le nombre total de notifications par jour compte tenu du caractère décentralisé de la décision de notification. Les autorités françaises ont demandé à Apple le mois dernier de lever certaines restrictions liées au Bluetooth dans les iPhone, afin de permettre à l'application StopCOVID française de fonctionner. Les discussions sur la question sont en cours.
Source : communiqué Google et Apple
Et vous ?
Êtes-vous pour ou contre une implémentation d'une API par Apple et Google pour les applications de contact tracing ?
Que pensez-vous des restrictions imposées par ces entreprises ?
Que pensez-vous de la perspective française qui voudrait se passer de cette API ?