Apple et Google savent qu'ils sont attendus au tournant avec leur initiative commune, désormais baptisée « Exposure Notification », sur les applications de traçage des contacts. Les gouvernements, notamment en Europe, demandent des garanties sur les données et la confidentialité. Alors que la première version de l'API devrait être disponible dès le 28 avril, les deux compères ont mis en ligne une foire aux questions qui donnent quelques précisions attendues.
Apple et Google détaillent le fonctionnement de la technologie de traçage : l'appareil — iOS comme Android — de l'utilisateur émet régulièrement un signal en Bluetooth comprenant un identifiant sécurisé (une suite de numéros aléatoire qui n'est pas liée à l'identité de l'utilisateur) qui change toutes les 10 à 20 minutes. Les autres téléphones environnants sont à l'affût de ce signal et émettent leurs propres signaux.
Au moins une fois par jour, le système va télécharger une liste des signaux qui ont été vérifiés comme appartenant à des personnes contaminées par le COVID-19. Chaque appareil va vérifier cette liste en la comparant avec une liste des diagnostics positifs récupérée depuis un serveur. S'il y a correspondance entre les signaux, l'utilisateur en sera notifié et il prendra connaissance de la marche à suivre pour casser la chaîne de transmission du coronavirus.
Cette technologie passera d'abord par une API qui permettra aux deux plateformes de communiquer. Le chiffrement de l'algorithme de l'API passe du protocole HMAC au AES. Beaucoup d'appareils intègrent des fonctions d'accélération matérielle pour le chiffrement AES, ce changement va donc améliorer les performances de traitement. Ensuite, et comme c'était prévu dès le départ, elle sera enchâssée dans les systèmes d'exploitation dans quelques mois. Il ne sera plus nécessaire de télécharger une application tierce ; lorsque l'utilisateur aura été en contact avec une personne contaminée, il sera invité par l'OS à télécharger une application. Il faudra posséder un iPhone 6s au minimum pour utiliser ce système.
L'accent est mis sur la confidentialité : le consentement de l'utilisateur est obligatoire, les applications utilisant l'API devront provenir d'organismes officiels. Par ailleurs, l'utilisateur peut désactiver la technologie de traçage à tout moment. Le système ne collecte aucune donnée de localisation, et il ne donne aucune information sur les contacts rencontrés. Apple et Google peuvent désactiver le système pays par pays quand il n'est plus jugé nécessaire.
Si un utilisateur accepte de participer au programme de prévention et d'alerte, les données seront stockées et gérées en local, sur l'appareil. Aucune donnée n'est partagée aux autorités de santé, à l'exception de ces deux scénarios :
- si un utilisateur choisit de signaler un diagnostic positif à son application, cette information — qui assure la confidentialité de l'utilisateur — sera ajoutée à la liste des diagnostics des autorités sanitaires ;
- si un utilisateur est informé quand son application est entrée en contact avec une personne contaminée au COVID-19, le système partagera la date du contact, la durée et la puissance du signal Bluetooth. Aucune autre information ne sera partagée.
Il reviendra aux autorités de santé de déterminer la durée minimale du temps d'exposition, par exemple 5 mn en présence d'une personne positive au COVID-19. La limite maximale pour le délai de détection est fixée à 30 minutes afin d'éviter les abus. La distance entre les deux personnes sera calculée en prenant en compte la force du signal Bluetooth entre les deux appareils. Plus ils sont proches, plus le signal est fort.
Enfin, ni Apple ni Google ne disposent des informations liées à un individu spécifique. Les données ne seront pas monétisées (ça va mieux en le disant…).
