B-Fence: contact tracing à la belge?

Article
Par · 27/04/2020

Application mobile de “traçage de contact” ou pas? Recours à la technologie GPS ou Bluetooth? Aux smartphones ou à des bracelets connectés ou encore à des badges? Utilisation sur base volontaire ou obligatoire? Centralisation des données et des alertes ou modèle décentralisé? 

Tous les scénarios de surveillance (numérique) du déconfinement sont sur les tables, partout dans le monde.

En Belgique, on ne sait pas encore quelle décision sera prise (ou non, d’ailleurs) par le gouvernement. Ou d’ailleurs par tel ou tel niveau de pouvoir. Fédéral? Régional? On attend… Nous aurons très certainement l’occasion d’en reparler.

Côté solutions, plusieurs choses se préparent ou sont dans les starting blocks. Parmi elles, l’appli B-Fence développée par une équipe d’Inforius. Elle s’inspire de la solution qu’a développée et déployée Singapour mais en y ajoutant une bonne dose de tonalités de respect de vie privée, davantage en accord avec les modalités européennes (RGPD…).

Ce que pourrait être la solution

Comme cella a été fait à Singapour et comme le préparent par exemple le duo improbable Apple-Google, l’appli B-Fence s’appuie elle aussi sur des communications Bluetooth entre smartphones pour collecter et relayer des signalements de contamination. Mais avec des nuances plus ou moins importantes par rapport à ces deux autres démarches. 

Principes appliqués? Transfert de données anonymisées, remontée d’informations limitée à trois paramètres (identifiant pseudonymisé, date et durée du “contact”, force du signal lors de cette rencontre), consentement de l’utilisateur, avertissement des personnes entrées en contact via SMS, durée de préservation des données limitée dans le temps.

Passons tout cela en revue.

Le premier principe est en fait la démarche volontaire. En principe (à moins que d’autres décisions ne soient prises par les autorités), l’installation de l’appli se fera sur base volontaire par chacun. Par ailleurs, le consentement de la personne sera nécessaire pour que le professionnel qui a effectué le constat de contamination (médecin ou hôpital) relaye l’information vers le serveur central, d’où partira la notification à toutes les personnes croisées (équipées d’un smartphone ayant installé une appli de corona-traçage) pendant la période précédente le diagnostic.

Voyons maintenant en détail les autres principes sur lesquels repose l’appli B-Fence.

➤➤ Transfert de données anonymisées

L’identité du détenteur du smartphone n’est pas enregistrée, pas plus qu’un numéro de téléphone ou une autre donnée personnelle. Seul l’identifiant généré de manière aléatoire servira à “tracer” son propriétaire.

Par contre, d’autres métadonnées seront utiles, en ce compris le type de mobile – et cela en raison du fait que la force du signal Bluetooth généré peut quelque peu varier d’un constructeur ou d’un modèle à l’autre (impact limité mais devant néanmoins être pris en considération).

La protection de l’identité des personnes concernées (l’individu contaminé et ceux qu’il a “croisés” les semaines précédant son diagnostic ou, évidemment, ceux qu’il continue de croiser s’il ne se confine pas…), cette protection est présentée comme garantie par l’application B-Fence tout au long de la chaîne: depuis la collecte des identifiants (code anonyme) jusqu’au signalement de possible contamination par les autorités (seules les personnes autorités à ce niveau pourront déchiffrer l’identifiant temporaire de l’usager via recours à une clé privée).

Le message SMS envoyé par ces dernières l’est sans qu’elles sachent qui sont les destinataires puisque les identifiants des personnes ne sont pas accessibles – ils sont masqués ou pseudonomisés par le biais du code qui est attribué lors de l’enregistrement pour utilisation de la solution.

➤➤ Remontée d’informations limitée à trois paramètres: identifiant pseudonymisé, date et durée du “contact”, force du signal lors de cette rencontre

L’application ne conserve et n’utilise donc pas les données de géolocalisation. “La seule chose qui importe, c’est la date du contact afin de pouvoir supprimer les données au-delà des 21 jours, la durée et la distance du contact”, insiste Guy Wauthier, directeur général d’Inforius. “Savoir que ce contact s’est produit à Liège ou à Namur n’a vraiment aucune importance.”

Mais est-ce bien le cas? Ce genre d’information ne serait-elle pas utile pour détecter des foyers potentiels de contamination ou de “cartographier” plus précisément l’évolution de l’épidémie et de sa propagation? Dans l’absolu, oui mais, déclare le patron d’Inforius, “d’autres modèles [lisez: d’autres méthodes et acteurs] s’en chargeront. Par exemple, via l’analyse des données des opérateurs ou, sans doute via les actions de traçage que seront chargés d’effectuer les enquêteurs nommés par les autorités [2.000 en Belgique, dont 600 en Wallonie]. On verra, évidemment, ce qu’il adviendra. Mais un minimum de coordination et de cohérence sera impératif, sans parler de la transparence et de la proportionnalité – tout un débat encore à démêler ces nous…

Autre argument qui a poussé Inforius à renoncer à exploiter la géoloc’, selon Guy Wauhtier: le caractère énergivore qu’il induit pour l’autonomie du portable.

La durée et la distance du contact (cette dernière pouvant être déduite de l’intensité du signal Bluetooth) sont par contre cruciales pour l’analyse des possibilités de contamination. Par défaut (avec possibilité de modification de ce paramétrage lors du lancement effectif de l’application), la solution B-Fence tient compte de tous les contacts de plus de 10 minutes, intervenant à une distance d’un mètre cinquante ou moins. Voir plus loin la manière dont Inforius dit s’attaquer aux “faux positifs”.

➤➤ Avertissement via SMS des personnes entrées en contact

Avec certains applications, qui ont opté pour un modèle (plus) décentralisé, c’est l’appli qui diffusera la notification à la liste des personnes ayant été repérées comme ayant été en contact avec l’individu infecté. Pas avec B-Fence. Le signalement se fera à partir du serveur central, contrôlé par les autorités compétentes (voir plus bas), et sous forme de SMS.

Pourquoi ce choix du SMS? “Le principe est bien maîtrisé depuis une vingtaine d’années et est celui qui respecte le mieux les contraintes de respect de la vie privée”, déclare Guy Wauthier. “Il a donc l’avantage de simplifier et de raccourcir le processus de certification de l’application en vue de sa mise à disposition.”

➤➤ Durée de préservation des données limitée dans le temps: 21 jours

Cette durée a été choisie par défaut par l’équipe d’Inforius par référence à la période supposée d’incubation virale. Mais cette durée pourra être modifiée, par paramétrage, sur base des avis des autorités ou des scientifiques, pour redescendre par exemple à 14 jours (comme semble par exemple vouloir le faire le duo Apple/Google).

➤➤ Accès uniquement pour les “autorités compétentes”

Reste à préciser qui seront ces “autorités compétentes”. En la matière, estime Guy Wauthier, un flou total subsiste actuellement. Fédéral et entités fédérées semblent engagés dans un petit exercice de ping pong. Mais, estime-t-il, la situation n’est guère meilleure en France, un pays avec lequel l’équipe d’Inforius a déjà établi quelques contacts (au niveau parlementaire) afin de faire la promotion de sa solution. A voir ce que le gouvernement français décidera en la matière: une préconisation de la seule solution StopCovid, concoctée avec le soutien de l’Inria notamment, ou place pour d’autres solutions?

En Belgique, on ignore si une ou plusieurs applications seront recommandées, préconisées ou promues? Voire même si la piste de l’ampli mobile sera finalement retenue, certaines déclarations récentes du ministre Philippe De Backer, qui a la Protection de la Vie privée dans ses attributions, jettent un doute en la matière… Et les dernières déclarations officielles, de fin de semaine dernière, ne semblent pas évoluer dans ce sens.

Revenons-en à ces personnes qui seront (seraient) dûment autorisées à accéder aux données pour enclencher le processus de notification. Leurs droits d’accès seront vérifiés par la solution B-Fence. Les personnes habilitées devront s’identifier afin d’obtenir l’accès aux données du patient. Méthode d’authentification? Inforius affirme que sa solution peut opérer selon divers schémas, selon – une fois encore – les choix qui seraient faits par les autorités: authentification mot de passe, CZam, carte d’identité électronique, Itsme…

L’écueil des “faux positifs”

Le recours à la technologie Bluetooth (BLE, Bluetooth Low Energy, en l’occurrence) présente quelques difficultés et risques de production de “faux positifs”. Autrement dit, des signalements de contacts qui n’en sont pas réellement ou qui, en réalité, d’un point de vue épidémiologique, ne prêtent pas à conséquence. Ou encore enclenchent un traçage qui n’est pas tout-à-fait pertinent.

Exemples? Deux personnes sont “repérées” comme proches et en contact alors qu’un mur, qu’une paroi ou qu’une vitre les sépare. Deux personnes localisées au même endroit pour un certain temps alors qu’elles sont simplement arrêtées à un feu rouge, dans deux véhicules différents…

Autres aléas: le port du masque. Comment déterminer si un contact proche n’est pas risqué dans la mesure où les personnes concernées portaient un masque, chose qu’ignorera l’application?

On peut sans doute pas multiplier les cas et exemples…

Pour parer ou atténuer l’importance de ces “faux positifs”, l’analyse précise de la force du signal Bluetooth sera un début de réponse tandis que la qualité, la précision et la pertinence des règles métier, définies par les concepteurs de l’appli, sont essentielles. L’un des critères d’atténuation qu’a choisi l’équipe B-Fence est de ne tenir compte que des contacts d’assez longue durée (10 minutes), de quoi éliminer les scénarios du genre feu rouge. La durée, toutefois, pourra être paramétrée de manière moins généreuse sur base d’injonctions sanitaires (encore à définir).

Le scénario de la centralisation

Dans le modèle de fonctionnement choisi pour B-Fence, les données sont centralisées, autrement dit envoyées vers un serveur central. En ce compris pour l’envoi des notifications aux personnes ayant été en contact avec le sujet diagnostiqué positif.

D’autres solutions optent pour une décentralisation des données – confiant un rôle nettement plus actif à l’application installée sur chaque smartphone. C’est aussi l’option prise par le modèle DP-3T (Decentralised Privacy-Preserving Proximity Tracing) qui est né d’une petite rébellion de certains établissement scientifiques par rapport au modèle PEPP-PT (Pan European Privacy Preserving Proximity Tracing) qu’adoptera la solution française StopCovid. Voir encadré.

Les deux modèles divergent aussi sur la manière dont les données personnelles sont gérées et peu ou prou anonymisées.

B-Fence, elle, s’aligne davantage sur le modèle centralisé PEPP-PT. “C’est une solution qui permet mieux d’effectuer la corrélation entre l’identifiant et le téléphone.”

PEPP-PT
Pan European Privacy Preserving Proximity Tracing

Projet européen qui regroupe une série d’acteurs scientifiques, parmi lesquels l’IMEC belge, le Fraunhofer allemand, l’INRIA français, l’Université technique de Berlin, celles de Dresden, de Munich, l’université d’Oxford… A l’origine, le projet bénéficiait également du soutien de l’École polytechnique fédérale de Lausanne et de l’École polytechnique fédérale de Zurich mais ces deux acteurs ont depuis revu leur position et préconisent désormais le modèle DP-3T (voir ci-dessous).
Objectif du PEPP-PT: “proposer des technologies et des standards pour une approche de suivi numérique des contacts de proximité (contact tracing) fondée sur le consentement, l’anonymat et le respect de la vie privée, en totale conformité avec la réglementation RGPD. Les technologies qui seront proposées permettront de garantir une interopérabilité au niveau européen”.
Accusé de manque de transparence, le groupe à l’origine de ce modèle PEPP-PT a entre-temps publié un document (sur GitHub) expliquant le type d’architecture de données et de sécurité mis en oeuvre.

DP-3T
Decentralised Privacy-Preserving Proximity Tracing

Modèle préconisé et supporté notamment par les Écoles polytechniques fédérales de Lausanne et de Zurich. Le schisme avec PEPP-PT est intervenu lorsque plusieurs centres scientifiques et universitaires ont reculé devant le principe de centralisation des données (même collectées et gérées par un organisme de santé national), estimant que PEPP-PT manquait d’ouverture et de transparence. A noter que plusieurs organismes ont sauté sur ce train en marche. Parmi eux, la KULeuven.
Selon le module DP-3T, le système est donc décentralisé, les informations restent dans les téléphones. L’évaluation du risque (sur base de données de proximité, de durée de contact…) est également faite sur le smartphone (et non sur le serveur central) et les mécanismes de notification sont initiés par le mobile.
Il y aura toutefois un serveur central. Il sera situé en Suisse et ne stockera que les clés, anonymes, des individus identifiés comme ayant été infectés, ne permettant pas de remonter jusqu’à l’identité des personnes concernées.

Le débat entre les tenants de l’une ou l’autre méthode se poursuit – y compris dans les milieux scientifiques. Comme en atteste cette lettre ouverte récente, anti-centralisation,  co-signée par quelque 300 universitaires (dont une quinzaine de Belges, appartenant à la KULeuven et à la VUB).

“Nous attendons décisions et directives”

L’équipe de développement de B-Fence affirme que l’appli est opérationnelle et n’attend plus que le feu vert des autorités pour être mise à disposition (gratuitement). Mais, une fois enciore, avec toutes les réserves d’usage – pas sûr en effet que l’option appli soit retenue…

En dehors de l’aspect plus institutionnel des choses (appli ou pas? quel niveau de pouvoir sera compétent pour autoriser ou avaliser l’usage d’une telle appli de contact?), des modifications pourraient intervenir dans la manière dont l’appli fonctionne, compte tenu des désidératas et directives venant du pouvoir public ou du monde médical. Et ce, à différents niveaux…

Tout d’abord pour paramétrer l’application, notamment pour la durée de conservation des données ou encore pour la distance exacte séparant deux personnes, justifiant un signalement. Par défaut, dans l’état actuel des choses, l’appli ne tient compte que d’une distance de 1,5 mètre ou inférieure. Donc, à 1,6 ou 1,8 mètre, le “contact” n’est pas retenu ou signalé. Peut-être en viendra-t-on à revoir ces critères de distance. En ce compris pour les rallonger. Idem, potentiellement, pour la durée de contact.

L’équipe attend aussi des précisions – essentielles – afin de connaître l’identité des personnes qui, côté “autorités compétentes”, qui seront autorisées à envoyer les notifications aux personnes ayant été en contact avec une personne contaminée. S’agira-t-il du niveau fédéral ou la compétence en incombera-t-elle aux Régions? Côté wallon, si ce scénario est retenu, il s’agira sans doute de l’Aviq (Agence wallonne de la Santé, de la Protection sociale, du Handicap et des Familles)…

Plus fondamentalement encore, des indications sont attendues pour mettre en oeuvre le modèle de collecte et de relais de l’information. “Nous avons imaginé un modèle spécifique mais nous sommes ouverts et prêts à intégrer tout autre modèle”, souligne Guy Wauthier. Ce pourrait être le PEPP-PT ou le DP-3T (voir encadré ci-dessus). A moins que – est-ce un scénario envisageable? – l’on n’adopte ce que Apple et Google disent préparer (et qui se rapproche plus du modèle décentralisé DP-3T) mais en abdiquant ainsi toute souveraineté sur les données, le paramétrage et les algorithmes (ou règles de gestion). “Ne faisons pas la même erreur que pour les masques, en attendant que la solution vienne de l’étranger”, milite Guy Wauthier. “Nous avons tout ce qui est nécessaire au niveau local, en Belgique, pour décider du cadre que l’on veut. C’est un vrai débat de société, avec la problématique de vie privée en toile de fond.”

Traçage sociétal, traçage périmétrique

La solution B-Fence (comme d’autres similaires) est imaginée pour une utilisation par le citoyen lambda, au gré de ses déplacements et activités. C’est la version “traçage sociétal”. Un autre scénario consisterait à déployer la solution dans le cadre de “collecivités” ou d’enceintes spécifiques – par exemple, une entreprise, une administration ou un hôpital. Ce que l’équipe d’Inforius qualifie de “modèle standalone”.

“Différentes institutions pourraient avoir besoin d’une solution interne pour mettre en place la sécurité de leurs travailleurs. Chaque institution peut ainsi disposer de son propre système de “traçage” afin de protéger au mieux ses employés.

Le principe est de pouvoir tracer au sein d’une institution les contacts entre les travailleurs. Si un travailleur devait être testé positif Covid-19, l’institution pourrait prendre les mesures de précaution adéquates envers les travailleurs qui auraient été en contact avec cette personne.

C’est vrai pour les entreprises mais aussi pour les administrations publiques”, souligne Guy Wauthier. “Le fonctionnement de ces organisations repose sur des schémas souvent précis, qui permettent un traçage et une analyse efficace des risques et modes de contamination. Les fonctionnaires de la Région, par exemple, travaillent souvent dans de grands bâtiments, se croisent par “hubs” [lisez service, compétence…]. Il devient ainsi possible de savoir qui a croisé qui et de déclencher des actions de protection pour les individus.

 

Guy Wauthier (Inforius): “Nous avons tout ce qui est nécessaire au niveau local, en Belgique, pour décider du cadre que l’on veut. C’est un vrai débat de société, avec la problématique de vie privée en toile de fond.”

 

Certains hôpitaux veulent, eux aussi, équiper les membres du personnel et leurs patients. Dès qu’un cas Covid-19 est détecté, l’application leur permettrait de prendre toutes les mesures de protection adéquates.”

Smartphone ou bracelet?

Pour le traçage au sein d’une entreprise ou d’un organisme quelconque, d’autres pistes qu’une appli de traçage sur smartphone sont envisagées. Par exemple celles du bracelet connecté (ou de la montre connectée) et du badge.

Inforius dit également plancher sur des solutions utilisant ces autres dispositifs, que ce soit en milieu hospitalier ou d’entreprise. Chacun a toutefois ses contraintes… L’idée d’un signalement de contamination ou de contact à risque via bracelet connecté implique de trouver une solution pour à la fois stocker les données dans ce bracelet et les transmettre.

Source: Andaman7.

Soit cela se fait de bracelet à bracelet mais la notification est alors ponctuelle et la procédure d’alerte de tous les individus ayant été en contact avec la personne signalée positive ne peut se faire. Soit on trouve en effet une solution pour consolider, voire centraliser, l’historique des identifiants et des contacts…

Une solution intermédiaire, qui est envisagée par certains hôpitaux, affirme Guy Wauthier, est celle des tags passifs qui permettraient aux membres du personnel de recevoir des alertes mais sans que la communication puisse se faire entre patients.

Le bracelet connecté (ou sa variante montre connectée) présente un autre inconvénient: la nécessité de le décontaminer régulièrement. Porté au poignet, il est particulièrement exposé à la contamination en raison des gestes faits en permanence par son porteur.

Voilà pourquoi, l’idée des badges, portés à un endroit moins “sensible” et ne nécessitant donc pas des opérations aussi systématiques de décontamination, tiendrait la corde dans certains environnements…