General

COVID-19 et human tracking

Giorgio Griziotti 27/04/2020
Le but de ce document est de prendre un instantané de l’utilisation des technologies mobiles de tracking et contact tracing dans la lutte pour limiter la contagion au cours de la pandémie Covid-19 au moment où elles sont sur le point d’être introduites en Italie, en France et dans d’autres pays européens. Nous tenterons en outre de mettre en évidence les problèmes liés à l’utilisation et la diffusion des techniques de surveillance de masse. [1]

Tradotto da Vanessa De Pizzol
Il faut avant tout se demander si, dans le virage amorcé par l’urgence de la pandémie, le cadre d’interprétation des systèmes socio-technologiques de la société numérique est à mettre en relation avec les dynamiques préexistantes. Voire même, s’il ne devient pas une opportunité sinon un prétexte pour en concrétiser certaines.
À ce propos, la première question concerne la collecte des données et l’exagération d’une soi-disant toute-puissance des big data, même quand cela ne semble pas justifié. Dans la prolifération de comparatifs entre les données de la pandémie en provenance de différents pays, de fortes interrogations concernent la qualité et l’homogénéité de ces mêmes données. Souvent, même à l’intérieur de l’Europe, la collecte de données a mis en évidence, au plus fort de la crise et dans différents pays, de graves carences et imprécisions.
On peut, en outre, fortement soupçonner que dans certains cas les méthodes de mesure ne soient pas homogènes, comme pour le comptage des victimes de l’épidémie.
C’est dans ce contexte qu’émerge également la problématique des applications mobiles COVID-1.
Dès le mois de février 2020, dans quelques pays asiatiques, des applications logicielles mobiles ont été développées et diffusées : conçues pour faciliter de différentes manières le contrôle des processus de propagation intervenant par contact ou proximité avec des personnes contaminées et l’identification de personnes à risque.
L’utilité ou l’efficacité dépendent de différents facteurs au premier rang desquels le taux d’utilisateurs adoptant l’application dans un pays donné. Un autre aspect essentiel réside dans la contradiction, peut-être pas seulement apparente, entre leur rôle d’instruments de lutte contre le covid-19 et celui de surveillance numérique de masse.
Différents modèles d’applications de tracking aux caractéristiques technologiques et aux implications diverses concernant la vie privée ont émergé. Nous pouvons approximativement les diviser en deux grandes catégories : celles dites de tracking, sont basées sur des formes de géolocalisation de l’utilisateur tandis que celles dites de contact tracing impliquent le traçage des contacts entre utilisateurs. Nous prendrons en considération celles qui proviennent de Chine, de Corée du Sud et de Singapour et les principes fondateurs de celles qui seront prochainement introduites en Europe.
Le modèle chinois
Il ne s’agit pas d’une application en soi mais plutôt de la fonctionnalité de tracking par géolocalisation GPS : Health Code, ainsi nommée parce qu’elle permet à l’utilisateur d’obtenir un Code Santé. Cette fonctionnalité est intégrée dans deux des applications les plus répandues en Chine, avec environ un milliard d’utilisateurs chacune :
Alipay, le système de paiement mobile d’Alibaba, que les Chinois utilisent communément et majoritairement dans les métropoles à la place de l’argent liquide et des cartes de crédit
WeChat de Tencent, l’équivalent chinois de WhatsApp et Messenger
La fonctionnalité Health Code a comme caractéristique notable de faire partie, selon toute probabilité, du Système de Crédit Social (SCS), l’initiative tant décriée du gouvernement chinois visant à développer un système national de classification de la réputation des citoyens et des entreprises[2].
Pour obtenir son Code santé, l’utilisateur est invité à s’enregistrer par l’intermédiaire des applications Alipay ou Wechat et insérer les informations demandées. D’après l’analyse du programme, effectuée par le New York Times [3], il apparaît que l’application envoie toutes les informations de l’utilisateur directement aux serveurs de la police sans qu’il en soit par ailleurs informé. L’obtention d’un code vert permet de se déplacer librement dans les lieux publics comme le métro ou les centres commerciaux, mais aussi d’aller au restaurant ou de prendre un taxi. Un code jaune implique une quarantaine préventive de 7 jours, tandis que le code rouge indique une quarantaine standard de 14 jours. La couleur attribuée peut changer non seulement en fonction de l’état de santé de l’utilisateur, mais aussi, par exemple, si l’on habite dans une zone où un cluster de la maladie a été identifié. En fait, le code vert est un laissez-passer sans lequel on ne peut qu’être confiné.
Le programme a été lancé le 25 février 2020 dans 200 villes chinoises et il se trouve maintenant progressivement étendu à tout le territoire national.
Les autres modèles : Corée du Sud, Hong Kong, et Singapour
Le modèle de la Corée du Sud est différent du modèle chinois. Tout d’abord, il s’agit d’un système Open Data. Par conséquent, les données ne sont pas seulement à disposition de l’État, mais aussi des citoyens et ceux qui le souhaitent peuvent les utiliser en développant d’autres applications, ce qui, comme nous le verrons, peut aussi avoir des conséquences négatives. La Corée, peut-être parce ce qu’elle dispose de structures hospitalières efficaces et qu’elle s’était préparée à une éventuelle pandémie après les précédentes épidémies de SARS et de MERS, a concentré ses efforts sur le tracking des personnes positives et/ou malades.
L’autorité centrale reconstruit leur parcours grâce à la collaboration des opérateurs téléphoniques, qui, par triangulation, savent géolocaliser un téléphone, et celle des banques, du fait des transactions par carte de crédit. Le but est d’identifier les personnes ou les lieux susceptibles d’être contaminés.
Hong Kong, quant à elle, est en train d’imposer de véritables bracelets électroniques pour garantir que les personnes en provenance de l’étranger respectent les règles de la quarantaine.
Singapour utilise en revanche le modèle de contact tracing. Grâce à l’application Trace Together, on recherche au contraire les contacts entre personnes indépendamment de leur géolocalisation. C’est dans ce but qu’est utilisée la technologie Bluetooth qui permet des échanges de données à distance rapprochée (quelques mètres maximum) entre deux smartphones mais en excluant les simples téléphones qui n’ont pas de Bluetooth. En disposant des contacts entre personnes saines et contaminées, on peut procéder à des tests servant à fixer des mesures d’isolement des personnes saines risquant d’être contaminées. Il s’agit d’un système invasif au regard de la vie privée et qui brise un grand nombre des règles européennes sur la vie privée (RGPD [4]).
Ce qui se prépare en Europe
À partir du modèle contact tracing, contrairement au modèle chinois basé sur la géolocalisation, différents pays européens se sont engagés à ajouter la protection de l’identité des personnes impliquées.
C’est dans ce but qu’a été créé le consortium Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) pour définir les modalités d’un tracing de proximité qui utilise le Bluetooth en cherchant à protéger la vie privée [5]. À cettefin, le système enregistre anonymement les personnes avec lesquelles on a été en contact rapproché pendant au moins 15 minutes. De cette façon, si l’une de ces personnes se déclare malade, l’application enverra une notification sans révéler l’identité du malade et vice-versa. Cela permet de se soumettre à un test ou de se mettre spontanément en quarantaine pour limiter la diffusion du virus.
Il existe un certain nombre de limites qui, d’un côté, risquent de compromettre ces précautions, et de l’autre, de réduire de manière substantielle l’efficacité du système :
Un utilisateur qui se déclare positif ou malade perd l’anonymat et se voit identifié et fiché dans les serveurs centraux.
L’anonymat d’une personne infectée avec laquelle on a été en contact n’est pas toujours garanti [6].
Il y a un problème d’applications parasites, comme cela s’est par exemple produit en Corée du Sud. Dans ce cas, les Open Data ont permis aux développeurs sans scrupules de retrouver et rendre publics les déplacements des personnes contaminées, comme c’est le cas avec l’application Corona100m téléchargée par plus d’1 million d’utilisateurs. Pour les mêmes raisons, toujours en Corée, sont apparues des formes de discrimination sociale comme celle qu’on a pu observer à l’égard des membres d’une secte religieuse où s’était développé un cluster de la maladie après un grand meeting.
En Europe, contrairement à la Chine, l’utilisation de ces applications devrait être facultative. Deux risques opposés émergent ici. D’un côté, on estime que pour être efficace le système doit être utilisé par 50 à 60% de la population, ce qui n’est pas évident étant donné qu’environ 70% de la population en moyenne dispose d’un smartphone et que tous ne maîtrisent pas l’usage du Bluetooth qui, par ailleurs, n’est pas un protocole très fiable. De plus, le fait que des couches non négligeables soient exclues, essentiellement pour des raisons économiques et d’éducation, constitue, comme pour la distanciation, une discrimination de classe et comme cela a été le cas à Singapour, fragilise la lutte contre la pandémie. D’un autre côté, malgré le pouvoir discrétionnaire précédemment évoqué, des pressions et des interventions pourraient avoir lieu pour en « favoriser » l’utilisation concernant l’Italie et la France, comme nous le détaillons ci-après.
En Italie, l’application Immuni en cours de développement est critiquée, à juste titre à mon avis, car elle n’est pas en open source, est gérée par une société privée ayant des liens avec le pouvoir politique [7], et comporte de nombreuses failles techniques et sécuritaires [8]. De plus, les bruits courent dans les médias mainstream concernant la possibilité de limiter la mobilité de ceux qui ne l’utilisent pas, tandis qu’une des alternatives proposées serait le port de bracelets électroniques de contrôle, en particulier pour les personnes âgées mais pas uniquement bien entendu. En France, où l’application StopCovid rencontre des critiques du même ordre, des doutes ont été émis quant à une liberté d’utilisation qui ne serait que théorique mais deviendrait de facto une obligation [9], comme cela a déjà été le cas dans des situations similaires, surtout pour le plan antiterroriste Vigipirate.
Google et Apple entrent dans la danse
Apple et Google ont annoncé vendredi 10 avril leur collaboration dans la mise en œuvre d’une infrastructure logicielle pour des applications de “social tracking”, dans le cadre de la lutte contre l’épidémie de Covid-19.
Le nouveau système se base sur le modèle du Bluetooth, décrit plus haut, et promet de garantir la vie privée des citoyens.
Leur annonce spécifie que le projet se déroulera en deux phases :
La première inclut la fourniture d’une bibliothèque logicielle (API, Interface de programmation d’application) commune qui devrait permettre le développement des fonctionnalités de contact tracing de manière interopérable entre les smartphones Android et les iPhones.
Dans la seconde, Apple et Google intégreront ces fonctionnalités directement dans leurs systèmes d’exploitation respectifs et les futurs équipements de leurs appareils.
Cette annonce, qui à première vue semble constituer un pas en avant notoire, soulève cependant de nombreuses inquiétudes.
De telles préoccupations vont au-delà de l’aspect purement technique de cette annonce : Apple et Google sont respectivement la première et la troisième capitalisations mondiales. Elles détiennent, à travers leurs systèmes d’exploitation respectifs – iOS et Android – le contrôle de la quasi-totalité des milliards d’appareils mobiles utilisés par l’humanité.
Selon de nombreux observateurs [10], plusieurs risques se profilent à l’horizon :
Malgré les déclarations sur le respect de la vie privée, de nombreux doutes fondés peuvent être émis si l’on considère, par exemple, que Google a une histoire de violation systématique et durable de la vie privée et d’expropriation de l’excédent comportemental de ses utilisateurs. Ces comportements ont été largement analysés, présentés et documentés comme par exemple dans cet essai approfondi, qui fait référence en la matière : Un capitalisme de la surveillance de Soshana Zuboff [11].
Les caractéristiques d’une telle plateforme globale de développement commun des applications Covid-19 pourraient favoriser l’interface sinon l’intégration avec d’autres services de santé nationaux. Dans ce cas, les utilisateurs seront pris au piège et influencés, quand ils ne seront pas contraints d’adhérer au service. Ou bien comme cela s’est produit en Chine avec Wechat, l’application pourrait être intégrée à d’autres applications courantes et même dans ce cas, une pression psychologique poussant à son utilisation pourrait être exercée.
En 2019, l’administration Trump avait imposé à Google de retirer à Huawei, l’un des premiers producteurs mondiaux de smartphones, les licences et mises à jour Android (sauf la base open source) ainsi que l’accès aux applications Google. En pratique, cela impliquerait que sur la base des décisions d’un État étranger et d’une société privée usaméricaine, une partie des utilisateurs, par exemple européens, doivent changer de smartphone et devenir obligatoirement clients et utilisateurs d’Apple ou Google pour éviter l’exclusion d’un service de santé national financé avec l’argent public.
Les risques pourraient être plus élevés durant la phase 2 d’intégration du service dans les systèmes d’exploitation : les deux sociétés affirment que les technologies seront opt-in, c’est-à-dire optionnelles, laissant aux utilisateurs la faculté de les utiliser. Tout comme sur la vie privée, on peut également nourrir des doutes importants sur ce genre de promesses qui, souvent, ne sont pas respectées.[12].
Conclusions
Les applications de tracking et de contact tracing ont contribué à contrôler la pandémie de Covid-19 en permettant des actions d’isolement et de tests plus efficaces et en contribuant de ce fait à sauver des vies sous certaines conditions. Avec toutes les réserves que nous avons émises concernant les aspects du contrôle dans les pays asiatiques où elles ont été introduites, les applications ont fait la preuve de leur efficacité car ces pays ont démontré qu’ils disposaient d’un système de santé et/ou d’une capacité d’organisation en mesure de faire face à la situation. On peut aisément imaginer que si ces dernières conditions ne sont pas remplies, les applications ne permettront pas d’améliorations notoires.
Sur le plan de la surveillance, de nombreuses questions se posent et des problématiques de premier ordre émergent. Avec l’épidémie, les applications basées sur les appareils mobiles entrent de manière explosive dans le domaine de l’interopérabilité des technologies et des réseaux avec les humains que j’ai défini biohypermédia [13] où les machines du pouvoir étatique et financier exerçaient déjà une hégémonie forte.
Le caractère obligatoire de l’application Health Code en Chine, qui fait du smartphone un élément de survie, semble un pas décisif vers un contrôle, voire même une soumission de la vie à partir du biohypermédia.
En dehors de la Chine, on peut remarquer que l’accord Google-Apple constitue une étape de plus dans l’ascension de Silicon Valley & C. vers le pouvoir global. Les multinationales du capitalisme des plateformes ont l’habitude d’intervenir de manière directe dans la gouvernance mondiale avec leurs applications utilisées par des milliards d’utilisateurs. Ce cas spécifique est un exemple particulièrement parlant de leur attachement à la “DO-ocracy”, la logique de la société du “faire”. Le message implicite de leur annonce est « tandis que vous autres politiques vous perdez du temps à discuter de légalité et de détails, nous nous sommes en train de le faire concrètement »[14].
D’un côté, l’utilisation obligatoire et l’absence de protection de la vie privée de l’application chinoise Health Code est la marque indiscutable d’un régime et d’une société disciplinaires. De l’autre, il est assez surprenant que cette défense de la “liberté” vienne justement des représentants d’un système dont la Silicon Valley est l’emblème. Un système où la vie privée est violée au quotidien de toutes les manières possibles, non pas pour des raisons de santé publique mais uniquement dans le but d’une accumulation financière.
En Europe, et particulièrement en Italie et en France où l’on se prépare à lancer deux applications “nationales”, il y a des éléments qui ne jouent pas en faveur de ces opérations. En premier lieu, d’importants doutes techniques et culturels quant à leur efficacité existent. De plus, le fait que l’on commence à parler de bracelets électroniques comme alternative à l’application et des “incitations” pour son utilisation (Italie), confirme la crainte qu’il s’agisse d’un saut qualitatif sans précédent et sans retour dans la prise de contrôle du biohypermédia qui, plus que jamais, a mérité son nom. Face à ces initiatives, il faut mettre en avant le niveau d’impréparation et les modalités à revoir avec lesquelles la France, l’Italie (avec quelques circonstances atténuantes dans la mesure où elle a été touchée la première), l’Espagne, l’Angleterre et d’autres pays européens ont affronté la crise.
Il y a une impression diffuse que, après avoir été responsable des tragiques conséquences du démantèlement décennal de la santé publique et de la destruction de la santé territoriale, du manque désastreux de tests et de masques, après avoir stigmatisé les joggers et les familles dans les parcs tandis qu’on maintenait les élections (en France), le pouvoir politico-financier voudrait maintenant imposer les applications comme une (fausse) solution à bas coût alors qu’elles sont un réel instrument de contrôle dans le tsunami économique qui est sur le point de se déchaîner. Il faut ajouter à cela la dose de cynisme avec lequel les pouvoirs politiques nationaux ou régionaux et la finance ont décidé (sans le déclarer publiquement, à l’exception de Boris Johnson) de mettre le curseur entre économie et santé publique avec un coût dont l’ordre de grandeur sont les milliers de morts.
À ceux qui de bonne foi et à juste titre évoquent dans les applications un choix devenant éthiquement obligatoire parce qu’il ne concerne pas seulement l’individu, mais directement la responsabilité de l’individu envers la société et les autres, on pourrait répondre qu’il sera difficile de convaincre de cette nécessité des générations qui ont été élevées et éduquées dans l’éthique de l’individualisme et de la compétitivité, les briques de base du capitalisme néolibéral.
En conclusion, pour éviter de revenir sur l’éternel débat de la (fausse) neutralité de la technologie, la critique des applications anti-Covid devrait s’orienter non pas tant sur l’opportunité de leur utilisation dans certaines conditions que sur le contexte dans lequel elles sont employées et sur les modalités de contrôle social et politique qui sont utilisées. Ce dernier aspect, à nos yeux, pose problème aussi bien en Chine qu’en Europe et en Occident.
Notes
[1] Je tiens tout particulièrement à remercier Antonio Casilli : j’ai utilisé le brillant entretien accordé à Mediapart (citée en note 14) pour structurer une partie de ce document. Je remercie également Salvatore Iaconesi et Simone Pieranni pour leurs récents articles, que j’ai trouvé d’une grande utilité.
[2] Simone Pieranni, sinologue réputé, écrit dans le Manifesto du 17/4/2020 : « Le but ultime du Parti communiste est la création d’une unique et gigantesque base de données nationale dans laquelle chaque citoyen et chaque entreprise auront une note sociale déterminée par leur propre comportement en termes de fiabilité économique (paiement des amendes, remboursement de prêts), pénale, administrative (dépendant aussi de comportements de nature civique, comme par exemple klaxonner, effectuer le tri sélectif de manière correcte et diligente, etc.)…à ce propos, il est bon de faire un point : il n’existe pas encore en Chine de système de crédits sociaux national, une évaluation étant justement prévue en 2020. Différents types de crédits sociaux existent, lesquels connaîtront ou connaissent déjà des modifications à cause du coronavirus ».
[3] « Dès qu’un utilisateur autorise le logiciel à accéder à ses données personnelles, un élément dénommé “report Info And Location To Police” envoie au serveur de la police la position de la personne, le nom de la ville et un code d’identification ». Article en anglais ici.
[4] Règlement Général sur la Protection des Données (en anglais General Data Protection Regulation), officiellement règlement (UE) n° 2016/679
[5] Par exemple avec le nouveau protocole DP-3T, de nouveaux identifiants uniques, régénérables toutes les 15 minutes de manière aléatoire, qui ne seraient pas centralisés dans les serveurs institutionnels, sont créés.
[6] La contamination est difficilement identifiable lorsqu’on rencontre un nombre limité de personnes ou si le Bluetooth s’active uniquement dans des cas précis.
[7] La famille Berlusconi est dans le capital de la société Bending Spoons spa
[8] Voir à ce propos l’analyse de S. Iaconesi
[9] Voir ici.
[10] Voir en particulier l’article publié par Salvatore Iaconesi dans le Manifesto du 12/4/20
[11] S. Zuboff , Un capitalisme de surveillance, Le Monde diplomatique, janvier 2019
[12] Ibid. p. 170. C’est le cas des tracking pérennes installés sur des appareils mobiles et qui accèdent aux microphones, webcam, etc. avec des applications de type Alexa, Cortana, etc. sans que les utilisateurs n’en soient avertis. Dans un grand nombre de ces cas, les autorités de contrôle et judiciaires ont été tolérantes, quand elles n’ont pas été en connivence, avec de telles infractions, notamment aux USA.
[13] « Le biohypermédia, néologisme résultant de l’assemblage de bios/biopolitique et hypermédia, peut être défini au sens large comme le cadre dans lequel le corps dans son intégralité, se connecte aux dispositifs de réseau d’une façon si intime qu’ils entrent dans une symbiose dans laquelle se produisent des changements et des simulations mutuels. Alors que la fonction assumée par les machines des temps modernes est d’imiter et de reproduire les compétences humaines, comme [dans le cas de] de la ligne d’assemblage et des machines à commande numérique, le biohypermédia est un domaine dans lequel, selon Rosi Braidotti, ‘‘la pression principale de la séduction micro-électronique est, en réalité, neuronale dans la mesure où elle met au premier plan l’interpénétration de la conscience humaine avec le réseau électronique global. Les technologies actuelles de l’information et des communications extériorisent et dupliquent électroniquement le système nerveux humain’’ » (G. Griziotti, Neurocapitalisme. Pouvoirs numériques et multitudes, C&F éditions, 2018)
[14] A. Casilli dans l’entretien donné à Mediapart 15/4/20