Quelle évaluation éthique des applications de traçage du Covid-19?

A l’heure où se déploient les stratégies de déconfinement dans les pays qui ont réussi à aplanir la courbe épidémique, le traçage des contacts continue de faire débat. Il fait certainement partie de la palette des politiques possibles pour maintenir le virus sous contrôle. Pourtant, diverses questions subsistent quant à sa place et ses modalités, mais aussi quant à son efficacité potentielle et aux risques qu’il présente pour nos libertés.

Ce texte vise à poser quelques balises dans le maquis de questions auxquelles le traçage nous confronte, en étant attentifs à ses dimensions éthiques et en nous concentrant en particulier sur les applications de traçage plutôt que sur le traçage par interview. Pensons par exemple à StopCovid (France), TraceTogether (Singapour), CovidSafe (Australie), Hamagen (Israël) ou aux applications qui se greffent sur l’interface de notification d’intensité d’exposition récemment publiée par Apple et Google1Voir https://www.apple.com/covid19/contacttracing (téléchargé le 2 juin 2020).. La Suisse a été la première à la déployer via l’application Swiss 2Voir  https://ethz.ch/services/en/news-and-events/solidarity/pilot-swiss-covid-app.html (téléchargé le 2 juin 2020).. Elle est aujourd’hui utilisée par une dizaine de pays.

Les applications de traçage se distinguent sous divers angles sur lesquels nous reviendrons. Mais elles nous confrontent aussi à une autre question difficile d’éthique appliquée : une fois comprises les modalités techniques possibles et une fois explicitées les valeurs en jeu, est-il possible d’aller au-delà d’un simple cadrage de ces enjeux et de parvenir à formuler des recommandations qui soient éthiquement étayées sans rester vagues, triviales ou excessivement contextuelles?

Définir les fonctions épidémiologiques du traçage

La première question posée par les diverses méthodes de traçage consiste à s’interroger sur leurs bénéfices potentiels pour la lutte contre l’épidémie. Si ces bénéfices étaient nuls, les risques encourus en termes de vie privée et de libertés en général ne se justifieraient pas. Pour évaluer l’efficacité potentielle du traçage, il faut le replacer au sein de la palette des mesures de lutte dont nous disposons. Celle-ci inclut le lavage de mains, les masques, la distanciation physique, l’étirement de nos espaces (par exemple, en installant des terrasses de cafés sur les rues) et de nos horaires (par exemple, en étendant les heures d’ouverture), le confinement et la quatorzaine, les tests PCR ou sérologiques, le passeport sérologique, le développement de traitements et de vaccins, et les méthodes de traçage3Sur le traçage : Ferretti, L., et al. (2020). “Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing.” Science, 368 (6491)..

L’existence d’une palette étendue de mesures possibles ne nous dit encore rien sur la question de savoir quelle combinaison de mesures est la plus souhaitable, y compris au regard des contraintes spécifiques de chaque contexte national. La première étape possible de l’analyse consiste à commencer par un examen des combinaisons de mesures possibles sous l’angle exclusif de leur capacité à contribuer au contrôle de la maladie, indépendamment de toutes autres considérations telles que le respect de la liberté de mouvement ou de culte, l’impact sur le secret médical ou la vie privée, la dimension économique et l’impact distributif des diverses mesures envisagées, etc. Le fait d’aborder l’enjeu de santé en premier lieu peut sembler accréditer l’idée selon laquelle c’est aussi l’enjeu le plus important, alors que l’ordre de l’analyse répond plus à une exigence analytique qu’à un a priori axiologique. Ce n’est pas parce qu’on traite du contrôle d’une maladie que la dimension d’efficacité épidémiologique doit dominer l’ensemble des autres préoccupations dans l’évaluation des moyens4Voir Segall, S. (2010), “Is Health (Really) Special? Health Policy between Rawlsian and Luck Egalitarian Justice”, J. of Applied Philosophy, 27(4): 344-358.

Pour quiconque s’intéresse aux applications de traçage, cette première étape de l’analyse exige alors d’évaluer le traçage au regard de différentes fonctions épidémiologiques possibles. On peut au moins en dénombrer quatre, qui constituent autant de manières différentes de relier le traçage et les autres mesures de lutte. Ceci a aussi des implications sur les modalités de traçage à envisager. On peut formuler ces quatre fonctions épidémiologiques comme suit : (1) informer les personnes du fait qu’elles ont été en contact (pendant un certain temps) avec une personne qui a été entretemps testée positive, et demander le cas échéant qu’elles se mettent à leur tour en quatorzaine ou se fassent tester, (2) informer les services de santé quant aux personnes potentiellement infectées en vue de pouvoir les contacter et, plus largement, quant aux zones à risque, en vue d’y accroître l’intensité des tests ou de mettre en œuvre des formes sélectives de reconfinement, (3) informer les autorités chargées du respect des mesures de confinement ou de quatorzaine de violations potentielles, (4) informer les chercheurs en épidémiologie sur les mécanismes de propagation de la maladie5Voir aussi http://d.mounirmahjoubi.fr/TracageDonneesMobilesCovidV1.pdf (téléchargé le 2 juin 2020)..

Le traçage ne peut être évalué seul

Chacune de ces fonctions implique de combiner le traçage avec d’autres mesures de lutte, à savoir, respectivement, contribuer aux politiques de tests et de re-confinement localisé en en magnifiant les bénéfices (1) ou en en orientant la distribution géographique (2), contribuer au respect des mesures de distanciation physique, de confinement ou de quatorzaine, permettant d‘évaluer le cas échéant la nécessité de mesures plus fortes ou alternatives (1 et 3), ou encore nourrir la recherche épidémiologique (4). Ainsi, contrairement au lavage des mains ou au port du masque, le traçage n’a d’efficacité épidémiologique qu’en combinaison avec d’autres mesures. Ceci rend aussi difficile l’évaluation de son efficacité propre, mais aussi de son caractère éthiquement souhaitable, plus complexe. C’est un premier point clef.

Considérons à cet égard la relation entre traçage et tests diagnostiques. Le rétro-traçage, effectué en vue d’informer les personnes ou les services de santé d’états infectieux, peut clairement être efficace au vu de la difficulté à détecter des personnes pré-symptomatiques6Ferretti, L., et al. (2020), op. cit.. On ne peut cependant sélectionner les personnes dont il faut retracer les contacts qu’au départ d’un patient testé positif. Dès lors, dans un système de santé où la disponibilité des tests serait faible, la justification d’un traçage par applications, qu’il soit de contact ou de localisation, perdrait le cœur de sa justification épidémiologique, et ce même si ce pays disposait d’un bon taux de pénétration en téléphones portables. Et plus les tests sont étendus, moins le traçage se justifie. C’est peut-être ainsi qu’on peut interpréter le fait que le 11 mai 2020, les autorités chinoises aient envisagé de procéder à une campagne massive de test des 11 millions d’habitants de la ville de Wuhan suite à la détection de seulement 6 nouveaux cas, alors même qu’ils disposaient de fortes capacités de traçage7Voir https://edition.cnn.com/2020/05/12/asia/wuhan-coronavirus-testing-china-intl-hnk/index.html (téléchargé le 2 juin 2020)..

Considérons aussi le choix entre traçage de localisation ou de contact (ou de niveau d’exposition). Si le traçage des contacts peut suffire pour vérifier le respect des règles de distanciation, celui des localisations est nécessaire si l’objectif est de veiller au respect des mesures de confinement ou de quatorzaine. Dans un pays où le confinement ou la quatorzaine seraient politiquement infaisables en raison de la grande pauvreté des populations, le traçage de localisation serait inutile. Et dans un pays où les règles de confinement ou de quatorzaine seraient à l’inverse très largement respectées en raison d’une forte adhésion par la population, la contribution du traçage de localisation au respect de ces règles serait nulle également. Il en va de même si les forces de police suffisent à faire respecter les règles ou s’il est peu réaliste d’attendre que chacun reste à tout moment en possession de son téléphone, en particulier lors d’une violation des règles de confinement.

On le voit encore, l’utilité épidémiologique du traçage de contact ou de localisation dépend de ses interactions avec les autres modes de contrôle de la maladie en place. En outre, les interactions avec les autres modes de contrôle sont analysées ici indépendamment d’un corpus plus riche de préoccupations normatives qui iraient au-delà de la question de l’efficacité épidémiologique. En ce sens, ce que cette première étape propose, c’est une analyse de l’efficacité épidémiologique d’une mesure particulière au regard de sa combinaison avec d’autres mesures de lutte, en prenant comme donnée l’acceptabilité de ces autres mesures dans un contexte donné. L’étape suivante doit enrichir notre approche en introduisant d’autres objectifs/contraintes possibles que l’efficacité épidémiologique, tels qu’une préoccupation pour les inégalités ou pour la vie privée.

Quels risques informationnels du traçage?

Une fois dépassée la seule préoccupation pour l’efficacité épidémiologique, on peut donc, pour chaque mesure envisagée, identifier l’une ou l’autre préoccupation éthique/sociétale prioritaire. Par exemple, dans le cas du confinement, on se préoccupera de son impact sur les inégalités, en particulier de genre, sur la violence familiale, sur le fait qu’il contraint mécaniquement notre liberté fondamentale de mouvement et ce que celle-ci rend possible (se mouvoir pour se rassembler, se mouvoir pour travailler, etc.). Pour le traçage, la préoccupation non-épidémiologique centrale est sans doute son intensité informationnelle et les droits informationnels qu’elle affecte potentiellement (vie privée, secret médical, …). Ceci a d’ailleurs conduit la Norvège à suspendre le 12 juin la récolte des données via l’App Smittestopp, en raison notamment de l’intensité informationnelle de l’outil (localisation) et de la très faible prévalence du virus dans ce pays8Voir https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/midlertidig-stans-av-appen-smittestopp/ (téléchargé le 22 juin 2020).. De manière similaire, le Royaume-Uni a annoncé le 18 juin l’abandon de la solution initialement mise au point par le service national de santé (NHS), pour une solution Apple-Google jugée moins intensive sur le plan informationnel9Voir https://www.theguardian.com/world/2020/jun/18/piloted-in-may-ditched-in-june-the-failure-of-englands-covid-19-app (téléchargé le 22 juin 2020).. D’autres pays ont opéré des mouvements similaires.

Remarquons deux choses à ce stade. D’une part, dans la ligne de ce que nous avons souligné plus haut, l’efficacité épidémiologique du traçage étant plus dépendante de la mise en place des autres mesures que pour les masques par exemple, son évaluation au regard de valeurs non-épidémiologiques sera aussi plus « contextuelle » que celle du masque. D’autre part, cette analyse va devoir combiner une prise en compte des bénéfices épidémiologiques des mesures envisagées, avec leurs enjeux sous l’angle d’autres valeurs, sans que les autres valeurs non-épidémiologiques les plus en jeu ne soient nécessairement les mêmes d’une mesure à l’autre, comme nous venons de l’indiquer en comparant les enjeux du confinement et du traçage. Ceci complexifie d’autant l’analyse, la comparaison des combinaisons de mesures devant se faire sous l’angle d’un nombre important de valeurs à soupeser.

Pour le traçage, on cherchera à déterminer la quantité minimale d’information personnelle nécessaire à la réalisation des objectifs visés. On visera aussi à évaluer si cette information nécessaire est proportionnée aux objectifs en question. On veillera enfin à juger de la capacité des personnes à accéder à et, le cas échéant, à obtenir la rectification des informations les concernant. Et on peut évidemment comparer les autres mesures sous ce seul angle aussi. Par exemple, l’intensité informationnelle du lavage des mains est nulle par rapport à celle du traçage. L’effet informationnel du port des masques pourrait quant à lui être négatif dans certains cas. Il permet en effet aux personnes de se déplacer de manière plus anonyme, ce qui pourrait potentiellement avoir un impact sur l’efficacité de dispositifs de sécurité basés sur des caméras de surveillance et de la reconnaissance des visages.

Lignes directrices sur l’intensité informationnelle

On peut donc se poser différentes questions quant à la minimisation de l’intensité informationnelle du traçage d’un point de vue combinatoire. En effet, on peut évaluer les modalités de traçage dans leur relation avec les autres mesures épidémiologiques, comme nous l’avons fait par exemple en examinant la nécessité du traçage de localisation au vu de l’objectif de respect des règles confinement ou de quatorzaine. Une telle analyse resterait cependant incomplète sans une explicitation de l’intensité informationnelle des différentes modalités de traçage elles-mêmes, indépendamment de leur combinaison avec les autres mesures épidémiologiques.

On distinguera ces modalités selon que le traçage vise des contacts ou de la localisation, selon qu’il soit automatique par application ou non-automatique par centre d’appel, selon qu’il engendre une identifiabilité des réseaux de contacts ou non, selon qu’il soit volontaire ou non, selon les modalités de contrôle de son fonctionnement (avec ou sans code source public par exemple), selon que les informations de traçage soient accessibles publiquement ou uniquement à un opérateur spécifique, etc. On peut les classer par ordre d’intensité informationnelle sur base d’une série de lignes directrices :

  • Tracer les contacts (ou les expositions) en dit moins que tracer les localisations. Les premiers peuvent être déduits des secondes. Par contre, on peut connaitre les contacts, leur durée et leur intensité sans devoir connaitre leurs lieux de ces contacts.
  • L’usage de pseudonymes aléatoires en dit moins que le recours à des identifiants explicites. Ainsi, un traçage plus high tech par une application ayant recours à des pseudonymes préserve mieux l’anonymat qu’un traçage plus low tech par centre téléphonique. Cela dit, une conversation téléphonique permettra d’obtenir des informations sur le port d’un masque par les personnes concernées ou sur la nature confinée du lieu de contact, ce qui est épidémiologiquement précieux.
  • Un traçage où les pseudonymes des personnes sont modifiés régulièrement présente une moindre intensité informationnelle qu’un système à pseudonymes immuables. En effet, un pseudonyme immuable permet de corréler les informations communiquées par une personne en différentes occasions (« Ai-je croisé la même personne plusieurs fois? »), alors que cette corrélation n’est pas toujours possible si les pseudonymes sont modifiés entre les observations. En outre, un changement régulier de pseudonymes présentera moins de garanties d’anonymat si on trace les lieux plutôt que les contacts, dans la mesure où un historique de lieux permet souvent de reconstituer les itinéraires de personnes indépendamment de l’existence d’identifiants uniques.
  • Un traçage volontaire (opt-in) présente une moindre intensité informationnelle qu’un système à participation automatique, avec ou sans opt-out. Cependant, le caractère volontaire, s’il répond à un contrainte légale et est fréquemment présenté comme un argument majeur de « vente », peut s’avérer très illusoire si la pression sociale pour l’adoption de l’application est forte (par exemple de la part des employeurs), si l’on prend au sérieux le caractère dynamique des règles (une app volontaire comme premier pas vers une imposition), et si l’on est réaliste sur les alternatives et sur la naïveté des utilisateurs, qui ne mesurent pas toujours les enjeux de vie privée.
  • Un traçage qui collecte moins d’information à la source présente plus de garanties qu’un traçage qui collecte davantage avant de procéder à une épuration et/ou protection ultérieure de l’information (idée de réduction à la source).
  • Une donnée communiquée à plus de destinataires est plus difficile à protéger, rectifier ou effacer (idée de non-prolifération). Cette distinction peut s’estomper si ces destinataires sont malhonnêtes ou incompétents: il est en effet difficile de s’assurer que des données sont réellement effacées, les prétendues mesures d’anonymisation étant prises en défaut de manière routinière, et la sécurisation de bases de données restant un problème complexe.

Application « centralisée » ou « décentralisée »?

Illustrons ces considérations sur les modalités de traçage en examinant de plus près deux grandes familles de systèmes de traçage que l’on trouve en Europe10Voir https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/ (téléchargé le 2 juin 2020).. Elles sont, soit déjà déployées, soit en projet et sont souvent désignées comme « centralisées » ou « décentralisées », selon l’ampleur du rôle des autorités.

Les systèmes dits « centralisés », actuellement minoritaires au niveau européen, incluent TraceTogether (Singapour), StopCovid (France), CovidSafe (Australie), ou la solution de la NHS (Royaume-Uni, récemment abandonnée pour une solution décentralisée). Le flux d’information y est globalement le suivant:

  • Une autorité génère des identifiants pseudonymisés et les distribue, tous différents, aux utilisateurs du système. Chaque utilisateur reçoit un certain nombre d’identifiants, à utiliser durant un intervalle de temps donné.
  • Les téléphones des utilisateurs émettent les identifiants reçus, à courte distance, par Bluetooth. En même temps, les téléphones enregistrent les identifiants auxquels ils sont exposés.
  • Lorsqu’une personne est testée positive, elle transmet à l’autorité la liste de tous les identifiants reçus, que son téléphone a enregistrés.
  • L’autorité, qui sait à qui elle a distribué chacun des identifiants, est alors en mesure de reconstruire la liste des contacts de la personne testée positive et d’avertir ces personnes.

Les systèmes dits « décentralisés », au nombre desquels on peut compter DP-3T, dont une variante proche a été développée par Apple et Google, et dont l’adoption est en vue notamment en Allemagne, Autriche, Estonie, Italie, et Suisse, présentent un flux d’information différent :

  • Les utilisateurs – et non l’autorité – génèrent des identifiants aléatoires, qu’ils renouvellent à intervalles de temps donnés.
  • Comme pour les systèmes centralisés, les téléphones des utilisateurs émettent, à courte distance, les identifiants produits. Et les téléphones enregistrent aussi les identifiants auxquels ils sont exposés.
  • Lorsqu’une personne est testée positive, elle transmet à l’autorité la liste de tous les identifiants qu’elle a émis – plutôt que reçus, dans le cas centralisé.
  • L’autorité publie la liste des identifiants émis par des personnes testées positives. Les utilisateurs téléchargent cette liste, et vérifient si leur téléphone a été exposé aux identifiants en question. Ce faisant, l’autorité ne peut ni connaitre les personnes qui ont été en contact, ni savoir qui a été potentiellement infecté.

L’arbitrage collecte-diffusion

On le voit, ces deux familles d’approches engendrent ainsi des flux d’information assez différents11Voir aussi S. Vaudenay (2020), Centralized or Decentralized? The Contact Tracing Dilemma — https://eprint.iacr.org/2020/531.. Sur base des lignes directrices décrites plus haut, plusieurs aspects méritent d’être mis en exergue. Observons d’abord que ces deux familles d’approches convergent sur les points concernés par les quatre premières lignes directrices: toutes se concentrent sur des mesures de contact plutôt que de localisation, toutes sont basées sur des pseudonymes modifiés régulièrement, même si les fréquences peuvent fortement différer (toutes les 15 minutes pour TraceTogether et proposé pour StopCovid, toutes les 2 heures pour CovidSafe, ou une fois par jour pour la NHS), et toutes sont réservées à un usage volontaire.  

Cela étant, ces deux familles d’approches présentent d’importantes différences quant à la combinaison de l’ampleur des informations collectées et de l’ampleur de leur diffusion, ce qui touche aux deux dernières lignes directrices énoncées plus haut.

Dans l’approche « centralisée », une autorité apprend qui a été exposé, et est susceptible de connaître une partie des contacts récents (ou graphe social) des personnes dépistées positives. Ce faisant, et pour autant qu’elle soit de confiance et capable de sécuriser les données, l’autorité est seule dépositaire des informations sensibles. Elle peut les épurer avant usage, les rectifier sur demande et les détruire après usage.

Si l’approche « décentralisée » collecte moins, elle diffuse plus, ayant une structure plus « horizontale ». L’information publiée par chacun est rendue disponible pour tous les usagers, pour l’Etat s’il en est un et pour l’acteur chargé de la diffusion des données (par exemple, Apple ou Google). Chaque usager découvre par lui-même s’il a été exposé à une personne dépistée positive et décide seul des conséquences à en tirer. Ce système est avantageux dans un environnement où l’on a des bonnes raisons de craindre une mainmise trop forte des Etats – ou une expertise déficiente de leur part dans la sécurisation des données – et où l’on peut compter sur un fort sens des responsabilités des personnes. Mais il est possible que ces deux caractéristiques n’aillent pas de concert, ce qui réactive la tension entre santé publique et protection des libertés.

Notons aussi que dans l’approche « décentralisée », mon choix d’utiliser le système ne révèle a priori que des informations relatives à moi-même et au fait que je sois infecté. L’approche « centralisée » m’expose cependant à révéler aux autorités des informations concernant des tiers. Ceci indique les limites du caractère volontaire d’une telle App. du point de vue de ces contacts. Et ceci peut devenir particulièrement problématique pour les professions tenues à un devoir de confidentialité, qu’il s’agisse de journalistes, de médecins ou d’avocats. Le problème se pose un peu différemment dans le cadre des centres d’appel. S’ils sont susceptibles aussi d’appeler les contacts d’un usager qui n’auraient pas choisi d’installer l’application, il reste possible pour l’usager d’omettre de mentionner ces contacts avec qui il serait lié par un devoir de confidentialité.

Soulignons enfin que l’approche « décentralisée » permet, plus aisément que l’approche centralisée, aux usagers d’identifier par recoupements les personnes qui l’ont potentiellement infecté: en liant la liste des identifiants anonymes reçus par son téléphone avec le nom des personnes se trouvant près de lui, il peut déterminer, sur base des données publiées par les dépistés positifs, si ces personnes ont été contaminées. Ceci peut évidemment être généralisé par des acteurs malveillants disposant d’un budget, par exemple en installant des capteurs de signaux Bluetooth à proximité de caméras de surveillance. On pourrait alors objecter qu’il y a au moins autant de raisons de craindre des organisations malveillantes qu’un Etat malveillant ou incompétent. Ce serait oublier que l’information collectée à la base est beaucoup plus réduite. Ce qui est potentiellement identifiable dans un système décentralisé, c’est la liste des personnes infectées, et non l’ensemble des usagers de l’App. avec qui je suis en contact. La prise en compte de la relation dynamique entre collecte et diffusion est ainsi essentielle.

Conclusion

Concluons d’abord qu’une évaluation des applications de traçage tant sur le plan épidémiologique que sur celui des autres valeurs en jeu est complexe. Elle passe d’une part par une bonne compréhension de ses modalités concrètes à la lumière des lignes directrices pointées plus haut, et d’autre part par une analyse de ses relations avec les autres mesures épidémiologiques envisagées, tels les tests diagnostiques ou les mesures destinées à faire respecter confinement et quarantaine. Le caractère high tech des applications de traçage ne doit ni nous faire surestimer leur capacité à empêcher toute dés-anonymisation des données.

La relation avec les tests semble dilemmatique: moins on teste, moins le traçage a de sens, et plus on teste, moins il semble rester nécessaire. Et la même chose semble se jouer avec la prévalence de la maladie: si elle est élevée, le traçage risque de conduire constamment à la paralysie, mais si elle devient très faible, une telle récolte massive de données en devient aussi moins proportionnée, comme l’ont suggéré les autorités norvégiennes. D’ailleurs, l’efficacité propre du traçage reste d’autant plus difficile à isoler qu’il n’est efficace que de concert avec d’autres mesures.

La comparaison entre les applications « centralisées » et « décentralisées » a permis de souligner l’arbitrage « collecte-diffusion » auquel nous sommes confrontés même si nous ne nous préoccupons que de l’enjeu d’intensité informationnelle, et a fortiori si nous l’abordons à partir d’un répertoire axiologique plus riche. Une collecte centralisée offre potentiellement un meilleur suivi au niveau santé. Et si les autorités de collecte sont à la fois bienveillantes et compétentes, elle offre aussi de meilleures garanties en termes de protection des données (filtrage, rectification, destruction). A l’inverse, une collecte décentralisée est plus transparente et minimaliste sur la collecte des données. Sur le plan épidémiologique, son efficacité dépend plus d’un sens des responsabilités des personnes, ce qui peut en favoriser l’adoption mais aussi en fragiliser l’utilité. Le caractère volontaire des applications rend également la question de l’adoption particulièrement importante: on la constate limitée dans les systèmes centralisés déployés jusqu’à présent12En Australie, un mois après le déploiement de l’app CovidSafe, seule une personne a indiqué avoir détecté via son App. qu’elle était infectée: https://www.theguardian.com/world/2020/may/24/how-did-the-covidsafe-app-go-from-being-vital-to-almost-irrelevant (téléchargé le 2 juin 2020). On constate des difficultés similaires ailleurs, par exemple en Inde, en Norvège, ou à Singapour — https://www.ft.com/content/21e438a6-32f2-43b9-b843-61b819a427aa (téléchargé le 2 juin 2020)., même si les perceptions semblent aussi favoriser ces systèmes centralisés par rapport aux décentralisés13Li et al. (2020), Decentralized is not risk-free: Understanding public perceptions of privacy-utility trade-offs in COVID-19 contact-tracing apps
https://arxiv.org/abs/2005.11957.
.

Le choix entre ces deux familles d’applications dépendra ainsi non seulement d’un choix axiologique quant à l’importance relative de la santé et de la vie privée par exemple, mais aussi d’hypothèses factuelles. L’une d’entre elles a trait à la question de savoir s’il existe des raisons de penser que plus les autorités sont malveillantes ou incompétentes, plus l’on peut supposer que leurs citoyens se comporteront de manière responsable, ce qui est loin d’être assuré. Par ailleurs, la publication partielle de code associée à certains déploiements a déjà permis la mise en évidence, en France14https://www.mediapart.fr/journal/france/150620/stopcovid-l-appli-qui-en-savait-trop (téléchargé le 22 juin 2020). et ailleurs, de sérieuses différences entre les concessions à la vie privée validées démocratiquement et celles que les Apps opéraient effectivement. Bugs ou indiscrétions? Il est évidemment difficile de l’établir.

L’interrogation sur les modalités peut aussi aboutir à une interrogation sur l’opportunité même du traçage, y compris par centres d’appels. Aucune des deux familles d’approches n’est à l’abri de risques pour notre vie privée et nos libertés informationnelles. Dans un Etat démocratique, la manière dont les décisions sont justifiées publiquement est à cet égard essentielle, car elle détermine la nature des considérations à délibérer collectivement. S’il est très différent de ne pas conseiller le port du masque en prétendant qu’ils sont inefficaces plutôt qu’en invoquant la crainte d’une pénurie, il est aussi très différent de promouvoir une application de traçage en prétendant qu’elle serait inoffensive sur le plan de la vie privée plutôt qu’en y voyant un moindre mal susceptible de nous prémunir d’un mal plus grand encore, que ce soit une récession accrue ou une réduction insupportable de notre liberté de mouvement. Dans le dernier cas, il faudra déterminer si le mal est moindre, au regard de quelles valeurs et si ce moindre mal est effectivement efficace dans la prévention d’un autre mal plus grand encore, au regard des mêmes valeurs. Si nous avons pointé la complexité d’une telle analyse et distingué les étapes nécessaires du raisonnement, nous espérons avoir aussi fourni une série d’éléments substantiels susceptibles de contribuer à en recomposer le puzzle.

Axel Gosseries

Axel Gosseries est philosophe, Chercheur FNRS et Professeur à l’UCLouvain.

Olivier Pereira

Olivier Pereira est cryptographe et Professeur à l’UCLouvain.

Références   [ + ]

1. Voir https://www.apple.com/covid19/contacttracing (téléchargé le 2 juin 2020).
2. Voir  https://ethz.ch/services/en/news-and-events/solidarity/pilot-swiss-covid-app.html (téléchargé le 2 juin 2020).
3. Sur le traçage : Ferretti, L., et al. (2020). “Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing.” Science, 368 (6491).
4. Voir Segall, S. (2010), “Is Health (Really) Special? Health Policy between Rawlsian and Luck Egalitarian Justice”, J. of Applied Philosophy, 27(4): 344-358
5. Voir aussi http://d.mounirmahjoubi.fr/TracageDonneesMobilesCovidV1.pdf (téléchargé le 2 juin 2020).
6. Ferretti, L., et al. (2020), op. cit.
7. Voir https://edition.cnn.com/2020/05/12/asia/wuhan-coronavirus-testing-china-intl-hnk/index.html (téléchargé le 2 juin 2020).
8. Voir https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/midlertidig-stans-av-appen-smittestopp/ (téléchargé le 22 juin 2020).
9. Voir https://www.theguardian.com/world/2020/jun/18/piloted-in-may-ditched-in-june-the-failure-of-englands-covid-19-app (téléchargé le 22 juin 2020).
10. Voir https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/ (téléchargé le 2 juin 2020).
11. Voir aussi S. Vaudenay (2020), Centralized or Decentralized? The Contact Tracing Dilemma — https://eprint.iacr.org/2020/531.
12. En Australie, un mois après le déploiement de l’app CovidSafe, seule une personne a indiqué avoir détecté via son App. qu’elle était infectée: https://www.theguardian.com/world/2020/may/24/how-did-the-covidsafe-app-go-from-being-vital-to-almost-irrelevant (téléchargé le 2 juin 2020). On constate des difficultés similaires ailleurs, par exemple en Inde, en Norvège, ou à Singapour — https://www.ft.com/content/21e438a6-32f2-43b9-b843-61b819a427aa (téléchargé le 2 juin 2020).
13. Li et al. (2020), Decentralized is not risk-free: Understanding public perceptions of privacy-utility trade-offs in COVID-19 contact-tracing apps
https://arxiv.org/abs/2005.11957.
14. https://www.mediapart.fr/journal/france/150620/stopcovid-l-appli-qui-en-savait-trop (téléchargé le 22 juin 2020).