screen covid-19 cases

Partage de données, coronavirus et souveraineté technologique

De David Schwertgen (collectif national allemand)
On ne reçoit pas tous les jours sur son smartphone une notification du ministère fédéral de la santé allemand (@BMG_Bund). Mais ce n’est pas non plus tous les jours que l’état d’urgence dû au Covid-19 est décrété. Le 9 avril – juste avant que tout le monde s’ enferme dans le confinement de Pâques – une invitation à une chaîne d’information Corona est apparue dans mon application Telegram. Après un bref message d’accueil, la chaîne d’information m’a fait l’annonce suivante :

« Offrez votre aide pour mieux comprendre la propagation du coronavirus ! Grâce à la nouvelle application de partage de données sur le coronavirus de l’Institut Robert-Koch [centre épidémiologique fédéral allemand sous la tutelle du ministère de la santé], vous pouvez contribuer en quelques clics à une estimation plus rapide et plus précise de la propagation des infections. »
(Chaîne Telegram du ministère fédéral de la santé)

La veille, le 8 avril, Christian Drosten, virologue à l’hôpital Charité de Berlin, et Dirk Brockmann, physicien à l’Institut de biologie théorique de l’Université Humboldt, avaient déjà informé les auditeurs de leur podcast d’actualités sur le coronavirus, de la création, par l’Institut Robert-Koch, d’une application de partage de données. Dans un premier temps, cette application permettrait de collecter et d’évaluer de manière anonyme les données provenant des fitness trackers (ou moniteurs d’activité) de différents fabricants (aujourd’hui : Apple, FitBit, Garmin, Polar, Withings et Nokia) :

« L’idée était avant tout de créer un système permettant aux gens de donner, de manière totalement volontaire et transparente, des informations de toute sorte, afin qu’on puisse mieux appréhender cette crise sanitaire. Le principe était que ces données (provenant des fitness trackers) soient offertes, transmises sous forme cryptée et anonymisée ou sous  pseudonyme . Et qu’à partir de ces données, on puisse ensuite obtenir des informations sur les symptômes légers. Il s’agit en effet d’une application qui ne peut pas déterminer  si l’on est infecté par le Covid-19, mais qui mesure simplement les symptômes, en quelque sorte un thermomètre clinique pour tout le pays. »
L’idée est qu’à partir de maintenant (début avril), des concentrations plus importantes de personnes présentant des symptômes de fièvre pourraient être le signe d’une activité accrue de l’épidémie. L’application est censée utiliser les codes postaux pour déterminer ces concentrations géographiques ou foyers. L’Institut Robert-Koch est une agence fédérale et évaluera les données en coopération avec le prestataire de services techniques Thryve (mHealth Pioneers GmbH).
En principe, DiEM25 se félicite de l’utilisation de données suffisamment anonymisées, stockées de manière sécurisée et cryptées, à des fins médicales par exemple, ou même pour mieux surveiller et contrôler une pandémie telle que celle de Covid-19.
Dans notre document “Souveraineté technologique – Démocratiser la technologie et l’innovation” (t1p.de/diem25techpolicy), nous décrivons en détail une démarche de « démarchandisation » des données, qui limiterait fortement l’utilisation des données en tant que marchandises et renforcerait leur utilité pour, par exemple, les institutions publiques.
Notre vision est celle d’un registre commun européen de données publiques (European Data Commons) qui pourrait être utilisé de manière sûre, anonyme, transparente et sous contrôle démocratique par les institutions européennes dans l’intérêt du public.
Ce registre commun de données pourrait rassembler des données personnelles, des données publiques d’institutions municipales et locales et des données provenant de recherches financées par des fonds publics. Il est important que ces données publiques puissent être utilisées dans un cadre politique comme l’Union européenne, pour promouvoir l’innovation technologique ; ceci pourrait ainsi être un élément indispensable dans la lutte pour la souveraineté technologique de l’UE. En fin de compte, ce combat est en effet celui de la souveraineté et de l’indépendance vis-à-vis de la grande collection de données des entreprises de la Silicon Valley.
De nombreux citoyens seront réticents à donner leur consentement à ce partage de données. Avec de bonnes raisons. Les révélations et les scandales de ces dernières années ont fait prendre conscience à un grand nombre de personnes du manque de scrupules avec lequel chacune de nos actions numériques est contrôlée, stockée et vendue. L’utilisateur individuel est complètement submergé par l’averse quotidienne de contrats de cookies, de contrats d’utilisation et de conditions générales. Pour ne citer qu’un exemple au hasard :
Pour jouer à un jeu en ligne avec ma fille sans donner nos données à des centaines d’annonceurs, il faudrait que je lise- pour la seule liste des annonceurs commençant avec la lettre « A »- 31 différentes politiques de confidentialité / conditions d’utilisations et puis que je les désélectionne manuellement. Même sans avoir un enfant de 5 ans en train de se plaindre et de remuer sur vos genoux, c’est une tâche presque impossible.
Si nous voulons que des projets tels que le partage de données sur le coronavirus et d’autres projets ambitieux voient le jour à l’avenir, nous devons prendre des mesures techniques, juridiques, de politique de concurrence et d’organisation efficaces, dans l’UE, pour faire en sorte que l’utilisation des données provenant d’appareils individuels ne devienne pas un cauchemar mais une ressource.
Un premier pas consisterait à introduire des normes réglementaires minimales :
  • un niveau élevé, par défaut, de protection de la vie privée . En d’autres termes, ce ne devrait pas être une option supplémentaire que, par exemple, un smartphone soit sécurisé, mais une condition préalable nécessaire. Par exemple : les données de localisation sont privées et doivent être protégées, par défaut. Les ceintures de sécurité dans les voitures sont aussi obligatoires et ne constituent pas un supplément payant.
  • des exigences élevées en matière de déclaration de consentement de l’utilisateur. Il n’est pas acceptable qu’une application ne remplisse pas sa fonction si l’utilisateur ne renonce pas à tous ses droits dès le début (ce qu’on appelle le consentement « tout ou rien”, all-or-nothing consent)
  • en particulier, les utilisateurs doivent être protégés contre le suivi par des tiers et l’écoute des données de communication sans leur consentement, et tout ceci, sans exception.

Ces mesures ne sont pas de la responsabilité des utilisateurs, qui doivent être protégés du « dumping numérique » par une réglementation au niveau européen, dans l’intérêt de tous.
Parce que ce n’est que lorsque les utilisateurs se sentent en sécurité sur les appareils numériques qu’ils utilisent à titre privé et professionnel que la confiance nécessaire peut être établie, condition fondamentale pour un traitement responsable de leurs propres données.

Notre vision :

Une réalisation idéale de l’ « European Data Commons » serait que :

  • les utilisateurs voient leurs données regroupées sur un dispositif de stockage de données personnelles – dispositifs sécurisés de leur choix – et aient un contrôle total sur qui évalue leurs données, quand, comment et dans quel but.
  • une copie de sauvegarde dans un réseau peer-to-peer décentralisé, anonyme et crypté offre une sécurité supplémentaire.
  • grâce à des « Smart Rules », les utilisateurs puissent décider de manière simple et transparente qui est autorisé à évaluer leurs données et quand. Par exemple, des données sensibles sur la santé pourraient être communiquées aux services de secours en cas d’urgence médicale.
  • les données fournies par les utilisateurs ne puissent être utilisées qu’aux fins mentionnées ci-dessus, ou mises à la disposition de l’ « European Data Commons » sous une licence libre et gratuite.

Cela ressemble encore à un rêve d’avenir. Non pas parce que c’est techniquement impossible, mais parce que jusqu’à présent, la volonté politique et la prise de conscience nécessaires ont fait défaut. La crise du Covid-19 et les connaissances qu’elle nous a permis d’acquérir pourraient peut-être aussi amorcer une réflexion sur ce sujet : voulons-nous prendre des décisions responsables concernant nos données personnelles, ou préférons-nous les sacrifiier aux programmeurs les plus ingénieux et aux plus offrants – parce que c’est plus pratique, et que nous préférons éviter d’y penser ?

(Les mesures mentionnées dans le texte ne constituent qu’une petite partie de notre programme politique. Pour plus de détails, voir les propositions de DiEM25, chapitre 2 – Un Commonwealth numérique pour le 21ème siècle)
Crédit photo: KOBU Agency sur Unsplash

Mise à jour 11.4.2020:

L’utilisateur Twitter @psycon a souligné dans un tweet que l’institut Robert Koch et donc le développement de l’application sont financés par des fonds publics, et donc que l’application et son code source devraient être accessibles à tous les citoyens. Cela correspond également à notre point de vue et au principe suivant: Argent public, Code public. En aucun cas, les logiciels développés avec l’argent public ne doivent devenir la propriété privée de la société Thryve !

Update 05.05.2020:

Dès le 20.04., le Chaos Cmputer Club (CCC) a analysé l’application de don de données Corona.

Voulez-vous être informés des actions de DiEM25 ? Enregistrez-vous ici!