La Suisse ne dispose pas d'une plateforme sécurisée supervisée par le gouvernement pour stocker les coordonnées. Pourtant, les restaurants et autres exploitations sont tenus de récolter des informations sur leurs clients en vertu des dispositions légales (loi Covid-19). C'est pourquoi, des entrepreneurs privés se sont engouffrés dans la brèche et commencent désormais à avoir des doutes concernant la protection des données. Cet article traite des questions et des réponses les plus importantes à ce sujet.
Des experts en informatique suisses indépendants mettent en garde contre le risque que le traçage numérique des contacts ne conduise qu'à un «chaos des applications cantonales». Ils visent les applications de traçage non gouvernementales, qui stockent les coordonnées des clients des restaurants dans une base de données centrale. Ce système est censé faciliter la vie quotidienne des patrons et des organisateurs d'événements, mais il comporte des risques.
La semaine dernière, le magazine en ligne Republik a parlé d'un «véritable cauchemar pour la protection des données». En effet, les plus grands fournisseurs suisses d'applications de traçage ont uni leurs forces pour stocker les données des utilisateurs dans une base de données commune (plus d’informations à ce sujet ci-dessous).
Nous avons récemment appris que Berne est devenu le premier canton à créer une base légale pour le stockage centralisé des données. L’exécutif bernois a décidé que les restaurants, bars et clubs devraient collecter les données de leurs visiteurs à l'aide d'applications de traçage à partir du lundi 10 mai. Et que ces données de contact «devraient être transférées de manière permanente dans une base de données centrale du canton.»
D'autres cantons seraient sur le point de le faire également, selon les recherches menées par les journalistes spécialisés dans les technologies, Adrienne Fichter et Florian Wüstholz. Les principes d'adhésion à des normes élevées de protection des données et ce malgré la pandémie, seraient jetés par-dessus bord, craint le magazine Republik. Les scientifiques et les représentants de la société civile sont du même avis.
La nouvelle association CH++, qui compte parmi ses fondateurs l'épidémiologiste et co-inventeur de SwissCovid Marcel Salathé, critique dans un communiqué l'attitude hésitante de la Confédération, ou plutôt de l'Office fédéral de la santé publique (OFSP). Il en résulte un «vide numérique» dans lequel s'engouffrent désormais divers cantons et applications.
L'organisation à but non lucratif, qui veut accompagner la Suisse dans le courant de la numérisation, a publié jeudi une prise de position sur le traçage numérique des contacts. Elle y indique que les bases de données centralisées présentent un risque considérable d'utilisation abusive. Les utilisateurs d’applications remettraient leurs données personnelles et en perdraient ainsi le contrôle.
La professeure de l'EPFZ, Carmela Troncoso, qui fait partie, tout comme Marcel Salathé, de l'équipe de développement de SwissCovid, rappelle que l’on ne devrait pas établir d'«infrastructures de surveillance numérique». Celles-ci pourraient être détournées pour créer des profils de déplacement des gens, par exemple.
L'association CH++ avertit que l'utilisation ultérieure des données à d'autres fins reste possible à tout moment:
Les cantons sont confrontés au dilemme suivant: exploiter leur propre plateforme numérique pour les données de contact, ou s'en remettre aux solutions du secteur privé. Cela est dû au fait que la Confédération ne fournit pas de solution sûre.
Parce que l'État est hésitant, mais que le secteur privé a un intérêt justifié pour les solutions numériques, de nombreuses entreprises s'y sont essayées. L'association Gastro Suisse recense environ 16 apps sur son site Internet. Le stockage des données sensibles est le principal problème.
Des représentants influents du secteur de la gastronomie et des fournisseurs d'apps d’enregistrement de contact se sont mis d'accord sur un procédé commun à la fin de l'année 2020. Ils ont lancé une base de données appelée «Swiss Contact Tracing Database» (SCTdb), dans laquelle les coordonnées sont stockées de manière centralisée. Cela devrait faciliter le travail des restaurateurs et des autorités sanitaires. Les cantons devront payer s'ils veulent accéder à la base de données dans le but de lutter contre les épidémies.
Le projet est dirigé par Jean-Paul Saija, codirecteur de la société suisse Mindnow, dont l'application de traçage «Mindful» est déjà utilisée dans plus de 6000 établissements.
Saija est l'un des défenseurs du stockage centralisé des données en ce qui concerne la recherche numérique des contacts. Cette approche présente de grands avantages par rapport aux solutions décentralisées, car les autorités sanitaires peuvent accéder aux données de contact rapidement et efficacement. Ceci est crucial pour ce qu'on appelle le Backward-Tracing, c'est-à-dire lorsqu'il s'agit d'identifier les clusters de Covid et de contenir les super-propagateurs. Les préoccupations relatives à la protection des données doivent être prises au sérieux, mais elles doivent être contrebalancées avec les risques de la crise du Covid.
Sous pression, la Confédération travaille à l'intégration d'une fonction d’enregistrement des coordonnées conforme à la protection des données dans son application de traçage SwissCovid. Marco Stücheli, de l'OFSP, explique à watson:
Il s'agit d'une fonction qui respecte la protection des données, censée correspondre au protocole CrowdNotifier développé par l'École polytechnique de Lausanne (EPFL) et la société informatique Ubique. Cela signifie que comme pour SwissCovid, aucune donnée utilisable ne sera stockée sur les serveurs et son utilisation doit être absolument volontaire. Cette fonction ne peut donc pas remplacer les applications privées de traçage déjà mises en place.
La nouvelle fonction ne remplace pas l'obligation de collecter les coordonnées telle que stipulée dans la loi Covid-19 sur la situation particulière. Selon la stratégie de l'OFSP, l'application SwissCovid élargie devrait désormais être utilisée en particulier là où «des personnes se rencontrent, mais où il n'y a pas d'obligation de collecter des coordonnées». Les lieux d'utilisation possibles seraient les réunions privées, les événements de clubs ainsi que les environnements professionnels (salles de réunion, amphithéâtres, cantines, etc.).
L'ajout d'une telle fonctionnalité à l'application SwissCovid se fait attendre, et la technologie est testée à l'EPFL depuis le début de l'année. Cette fonctionnalité devrait également relancer la popularité de l'application, dont le nombre d'utilisateurs a récemment stagné à un peu moins de 1,8 million d'utilisateurs actifs par jour.
Alors que l'application allemande de traçage du Covid dispose d'une fonction similaire depuis Pâques, les utilisateurs suisses de smartphones devront encore patienter.
Ainsi, alors que les appels à de nouvelles ouvertures se font de plus en plus pressants, la nouvelle fonction de SwissCovid tarde encore à voir le jour. Et pour les établissements de restauration qui doivent enregistrer les données de contact des clients, l'OFSP ne propose pas de solution.
En octobre 2020 déjà, l'OFSP avait déclaré que la Confédération n'avait «aucune base légale» pour exploiter un système centralisé de traçage des contacts, dans lequel les coordonnées étaient stockées dans une base de données centrale.
Toutefois, les établissements de restauration et les organisateurs d'événements sont toujours tenus de saisir les coordonnées des visiteurs et de les conserver en toute sécurité à des fins de traçabilité pendant 14 jours d'une manière conforme à la législation sur la protection des données.
La Confédération ne souhaitant pas fournir une plateforme sécurisée pour la collecte des coordonnées, des fournisseurs privés tels que Mindnow.io se sont engouffrés dans la brèche.
Mindful, l'application de traçage de contacts développée par l'agence numérique zurichoise Mindnow.io, est «l'application de traçage de contacts la plus utilisée pour lutter contre le Coronavirus en Suisse», selon son site web. Depuis décembre dernier, elle appartient à l'organisateur d'événements Ticketcorner, une filiale du groupe Ringier.
L'Office fédéral de la santé publique n'était pas intéressé par l'application de traçage, a souligné Jean-Paul Saija dans une interview pour watson. «Nous voulions la vendre à la Confédération pour le montant symbolique d'un franc.»
En Suisse, personne ne gagne de l'argent avec les coordonnées des clients des restaurants, affirme le patron de la société informatique. Entre-temps, ses employés ont mis au point trois moyens de lutte contre la pandémie, au prix d'innombrables heures de travail. «Pour être honnête, nous serons heureux lorsque nous pourrons nous consacrer davantage à d'autres projets informatiques passionnants.»
En revanche, il est évident que les organisateurs d'événements et les autres acteurs du secteur de la restauration ont tout intérêt à offrir aux clients une certaine sécurité. Le secteur privé exerce ici une pression non négligeable pour proposer des solutions aussi pratiques que possible. Les gens devraient pouvoir s'enregistrer lors d'événements et dans les cafés avec leur smartphone, sans avoir à remplir de fastidieux papiers.
Depuis l'été et l'automne derniers, le public sait que le fédéralisme entrave et, parfois même, rend impossible le suivi efficace des cas de Covid. Typiquement lorsqu'il s'agit d'alerter rapidement, à travers les cantons, les personnes susceptibles d'avoir été touchées par le Covid 19.
Le traçage des contacts étant du ressort des cantons, la Confédération, ou plutôt l'OFSP, ne propose pas de solution technique pour l'enregistrement des coordonnées dans les établissements de restauration et lors de manifestations. Le gouvernement fédéral prescrit le stockage temporaire des données, mais en ce qui concerne la mise en œuvre de celui-ci, les cantons sont livrés à eux-mêmes.
L'application SwissCovid ne peut et ne doit pas être utilisée pour collecter les données personnelles des utilisateurs et les transmettre aux autorités sanitaires. Cela serait en contradiction avec les prescriptions légales votées par le parlement à l'été 2020. Et les géants de la technologie Apple et Google s'y opposeraient également. Ils mettent à disposition des interfaces techniques importantes pour les applications de traçage – pour les téléphones portables Android et les modèles Iphone.
Quoi qu’il en soit, la pression publique s'accroît sur l'OFSP pour qu'il ajoute à l'application SwissCovid une fonction d'enregistrement conforme à la protection des données. Apparemment, d'autres clarifications sont encore en cours avant que l'Office puisse lancer l'intégration de la fonction de traçage via une mise à jour de l'application.
Et même lorsque la version 2.0 de SwissCovid sera disponible dans les App Stores d'Apple (iOS) et de Google (Android), cela ne résoudra pas les risques de protection des données des applications privées de traçage avec stockage centralisé des données.
Les applications de traçage privées n'auraient pas été soumises à des tests de sécurité publics et n'auraient pas indépendamment fait l'objet d'une vérification des risques liés à la protection des données, d’après la critique des journalistes du magazine Republik. Et il y aurait aussi un manque de transparence: le code source ne serait pas librement accessible. Cela signifie que, contrairement à SwissCovid, le droit à l’Open source n'est pas octroyé. (À noter que certaines parties des systèmes d'exploitation Android et iOS, qui sont indispensables pour les applications de traçage décentralisées, ne sont pas non plus accessibles).
Le patron de Mindnow a souligné que seul un très petit nombre de personnes autorisées pouvait voir les données cryptées stockées dans la base de données. Tous les accès à celle-ci seraient également enregistrés, de sorte qu'il serait possible de clarifier toute utilisation abusive.
Bien entendu, ces solutions de stockage centralisé des données sont en contradiction avec le principe d'économie des données (privacy by design). Comme le gouvernement fédéral n'a pas développé sa propre plateforme, les citoyens doivent maintenant vivre avec le risque d'une utilisation abusive de leurs données, où l'on se demande qui est nommé responsable dans des cas concrets.
L'épidémiologiste Marcel Salathé commente à ce propos:
Dans une autre déclaration, Jean-Paul Saija souligne qu'il est également un défenseur absolu de l'économie des données et qu'il préfère généralement la solution décentralisée à la solution centralisée. Comme toujours, cependant, il faut garder à l'esprit les avantages et inconvénients. Exiger une seule chose sans comprendre l'autre est, selon lui, toujours une mauvaise solution.