BUT ÉTHIQUE ET AVANTAGE POUR LA SOCIÉTÉ

MILA – Institut québécois d’intelligence artificielle Application COVI Canada

CRITÈRE 1 BUT ÉTHIQUE ET AVANTAGE POUR LA SOCIÉTÉ

• L’application DP‑3T, telle qu’elle a été concep‑ tualisée, peut être considérée comme étant compatible avec les principes d’intervention et d’autonomie humaine, puisqu’elle a été conçue pour que la participation se fasse sur une base volontaire. Toutefois, cela dépendra de la mise en œuvre au niveau national.

• Même si la conception de DP‑3T est compatible avec les principes d’intervention et d’autonomie humaines, nous recommandons l’élaboration de règles nationales de mise en œuvre pour favoriser l’intervention et l’autonomie humaines et le respect des droits fondamentaux. Le cadre législatif actuel qui s’applique à l’utilisation de

ce qui ne protège pas le citoyen. À cet égard, nous recommandons au lecteur de se reporter au projet de loi intitulé Coronavirus Safeguards Bill, qui a été suggéré à titre de mesure de protection au Royaume‑Uni.

• Nous recommandons que des mesures de protection additionnelles soient adoptées en ce qui a trait à la suppression des données. Selon le protocole DP‑3T proposé actuellement, les données doivent être supprimées des serveurs après 14 jours, et la solution va se décomposer elle‑ même lorsqu’elle ne sera plus requise et que les utilisateurs cesseront de téléverser leurs données dans le serveur Autorisation, ou cesseront de l’utiliser. Nous proposons d’ajouter une disposition d’extinction en vertu de laquelle les données seront automatiquement supprimées lorsqu’un organisme externe (comme l’OMS) déclarera la fin de la pandémie.

• Nous recommandons que toute application DP‑3T soit contractuellement conforme aux conditions d’utilisation standards de l’App Store d’Apple ou du Play Store de Google. Ces conditions comprennent des conditions distinctes relatives à la protection des données personnelles (le Play Store de Google fait entre autres référence à la politique de confidentialité de Google ; se reporter à la rubrique 9 de ces conditions ; se reporter également à la rubrique 5.1 du contrat de développeur d’Apple). Ces conditions peuvent avoir une incidence considérable sur le traitement des données personnelles par l’application DP‑3T, et le compromettre.

• Le risque principal que présente cette application (comme toute application de traçage de contacts ou de proximité) est qu’elle peut être utilisée à d’autres fins après la pandémie (comme à des fins de surveillance par l’État). Le consortium DP‑3T a fait preuve d’une très grande prudence (voire de méticulosité) pour faire en sorte que ce risque ne se matérialise pas pour DP‑3T, notamment en prenant des mesures de conception particulières importantes dans l’élaboration de l’architecture DP‑3T afin de conserver une structure décen‑ tralisée et de réduire au minimum les cas où les données personnelles sont utilisées ou peuvent être inférées.

• L’utilisation d’applications comme DP‑3T offre des avantages indéniables pour le public. L’utilisation de l’application pourrait permettre à des États d’aplatir la courbe de l’épidémie locale de COVID 19. Il se pourrait que le niveau de granularité du traçage de contacts et des observations améliore de façon générale la science de l’épidémiologie. Ces informations pourraient aider les scientifiques à comprendre le graphique de proximité d’un utilisateur infecté en fournissant des précisions sur son interaction avec d’autres personnes et sur la transmission de l’infection qui en a découlé.

• Nous continuons d’être préoccupés par la possibilité que ces solutions technologiques donnent lieu à des comportements de « masse » indé sirables dans la société, ce qui se tradui‑ rait par un biais d’automatisation (confiance inconditionnelle dans les résultats fournis par l’application), faussant ainsi la confiance à une extrémité et entraînant l’ostracisation des personnes les unes par rapport aux autres. Ces

comportements peuvent bien sûr toucher les personnes infectées, mais peuvent également toucher les personnes qui ne possèdent pas de téléphone intelligent et qui sont donc « privés de leurs droits ».

CRITÈRE 2 — RESPONSABILITÉ

• Comme il a été mentionné précédemment, l’évaluation des risques liés au protocole DP‑3T dépend de la mise en œuvre de la technologie à l’échelle nationale, qui peut avoir une incidence considérable sur l’évaluation plus large des risques liés à la solution (par exemple, en imposant des installations obligatoires ou des quarantaines obligatoires après une notification positive à la COVID 19). Nous ne sommes pas en mesure de faire des recommandations définitives en l’absence de telles mises en œuvre, mais nous avons formulé des observations sommaires sur la base de notre connaissance actuelle qui pourraient avoir une incidence sur ces mises en œuvre.

auxquelles l’utilisation de DP‑3T serait assujettie, et qui pourraient servir de lignes directrices pour assurer la coopération internationale entre les gouvernements, la cohérence de l’utilisation et de l’application à l’échelle nationale et l’optimisation de l’interopérabilité entre les pays. Ces règles nationales standards devraient permettre à tous les citoyens de corriger les erreurs contenues dans leurs données qui sont conservées sur le serveur dorsal de DP‑3T.

• Les dépendances envers des tiers pourraient également nuire considérablement à la respon‑ sabilité à l’égard de la solution. À cet égard, nous devons identifier les principaux fournisseurs de plateforme de système d’exploitation : Apple et Google. Nous recommandons que ces fournisseurs soient tenus de réaliser des analyses d’impact relatives à la protection des données distinctes et accessibles au public et de fournir un engagement irrévocable (ou autre engagement juridiquement exécutoire similaire) de conformité aux règles nationales relatives au traçage dans le cadre de la pandémie de COVID 19. Ces engagements exigeront non seulement la conformité à des cadres reposant sur des règles nationales, mais également de la transparence pour permettre de réduire au minimum (et de corriger) les erreurs contenues dans les solutions technologiques de chaque plateforme.

CRITÈRE 3 — TRANSPARENCE ET

EXPLICABILITÉ

• Nous sommes convaincus que l’exploitation du système en termes de catégories de données et de fonctionnalité est clairement définie dans le livre blanc et la documentation connexe. Le serveur dorsal et le serveur Autorisation devraient être pleinement auditables, sous réserve que l’accès soit fourni par les organismes locaux chargés de la mise en œuvre. Nous remarquons que ce système n’est pas centralisé, mais plutôt hautement décentralisé. Les données locales détenues sur les téléphones intelligents ne seront pas visées par la portée de l’inspection et de l’audit, sauf si l’accès à celles‑ci est accordé (ou si une ordonnance du tribunal est demandée).

risques propres à cette technologie. Ces risques ne sont pas uniques au DP‑3T, mais sont des risques génériques propres aux solutions décentralisées de cette nature. Nous énumérons certains de ces risques ci‑après, dans le contexte du critère 5 (Sécurité et fiabilité) qui suit. Selon nous, la documentation contient peu d’informations permettant de présumer que le système DP‑3T est plus robuste que tout autre système reposant sur la technologie BT LE.

CRITÈRE 4 — ÉQUITÉ ET

NON‑DISCRIMINATION

• L’application DP‑3T est conçue de manière à ce que la participation se fasse sur une base volontaire. Nous sommes toutefois préoccupés par la possibilité qu’un segment de la population nationale (près de 40 % des personnes âgées de plus de 65 ans et de celles âgées de moins de 16 ans) puisse ne pas pouvoir participer pour la seule raison qu’ils n’ont pas accès à un appareil intelligent ou n’en possèdent pas un.

• Nous avons déjà indiqué que l’application DP‑3T (comme d’autres solutions similaires) pourrait donner lieu à des comportements de « masse » indésirables dans la société, ce qui se traduirait par un biais d’automatisation (confiance incon‑ ditionnelle dans les résultats fournis par l’appli‑ cation), faussant ainsi la confiance à une extrémité et entraînant l’ostracisation des personnes les unes par rapport aux autres.

• Nous sommes d’avis qu’il faudrait un système bien établi de redressement des faux positifs et des faux négatifs, ainsi que des risques de réidentification, des risques de colocalisation et des risques liés aux variables proxy. Comme nous l’avons mentionné dans le critère 2, nous recommandons que le consortium DP‑3T publie un cadre de règles nationales standards auxquelles l’utilisation de DP‑3T serait assujettie et qui pourraient servir de lignes directrices pour assurer la coopération internationale entre les gouvernements, la cohérence de l’utilisation et de l’application à l’échelle nationale et l’optimisation de l’interopérabilité entre les pays. Ces règles nationales standards devraient permettre à tous les citoyens de corriger les erreurs contenues dans leurs données qui sont conservées sur le serveur dorsal de DP‑3T.

CRITÈRE 5 — SÉCURITÉ ET FIABILITÉ

• Tous les systèmes de traçage de proximité qui avisent les utilisateurs qu’ils sont à risque permettent à un adversaire motivé d’identifier la personne infectée (que ce soit en raison de comptes multiples, d’un enregistrement manuel, de délais d’enregistrement ou d’identification (intervalles de temps), ainsi que d’identification par photo ou vidéo). Par ailleurs, Il existe des faiblesses inhérentes à la technologie Bluetooth Low Energy qui peuvent être exploitées à des degrés divers de sophistication, comme l’injection de bruit, le traçage d’utilisateurs utilisant des projections orthogonales du traçage de contacts (p. ex. adresses MAC), la conduite guerrière et le vol de cellulaires.

• Selon nous, ces risques dépendent de l’intervention de spécialistes de la technologie et d’acteurs malveillants agissant dans l’intention de nuire. Le protocole DP‑3T cherche à protéger le plus possible les renseignements personnels et à réduire au minimum les risques de réidentification (notamment dans le protocole de conception 2). Comme il a été mentionné au critère 3 qui précède, la documentation contient peu d’informations permettant de présumer que le système DP‑3T est plus robuste que tout autre système reposant sur la technologie BT LE.

• Les points ci‑dessus doivent être considérés dans le contexte de l’utilisation de l’application par le grand public. Les niveaux de connaissances

technologiques doivent être considérés comme faibles. Les utilisateurs traiteront l’application comme n’importe quelle autre sur leur téléphone. Toutefois, des niveaux de confiance supplémentaires peuvent être présumés (en fonction de la culture), car l’application sera diffusée par les autorités nationales de santé publique (et les États). Les attentes en matière de sécurité, de protection contre les risques et de fiabilité de l’application seront donc extrêmement élevées. Nous sommes donc préoccupés par le risque de décalage entre les niveaux réels de sécurité et de fiabilité et les attentes du public.

• Nous recommandons qu’un programme de sensibilisation et de formation du public soit mis en place en relation avec la mise en œuvre du DP‑3T dans chaque pays. À cet égard, une bande dessinée explicative en plusieurs langues peut être consultée sur une autre page Web GitHub publiée par le consortium DP‑3T pour faciliter la participation du public.

CRITÈRE 6 — DONNÉES OUVERTES,

CONCURRENCE LOYALE ET PROPRIÉTÉ

INTELLECTUELLE

• Comme il a été mentionné précédemment, l’application DP‑3T a été diffusée comme source ouverte. Les catégories de données sont des identités éphémères compactes pouvant être transmises au moyen des protocoles de la technologie BT LE. La publication complète a supplanté l’architecture système pour permettre cette portabilité. Compte tenu de la nécessité d’évaluer la mise en œuvre actuelle de DP‑3T à l’échelle nationale, nous sommes dans l’incapacité d’examiner les normes d’interopérabilité actuelles. • À la lecture de l’analyse d’impact relative à la pro‑

tection des données distincte, nous comprenons que les données sur la localisation peuvent être traitées aux seules fins de permettre à l’application d’interagir avec des applications similaires dans d’autres pays. Nous ne savons pas si cet énoncé se rapporte à la mise en œuvre dans certains pays du système ou à d’autres données de contrôle du traçage décentralisé. D’autres évaluations techniques sont nécessaires pour évaluer cette capacité, et pour comprendre la mesure dans laquelle les données doivent être partagées entre les applications de traçage centralisées et décentralisées.

des raisons de protection des renseignements personnels, le partage de graphiques de proximité avec les épidémiologistes, bien que nous notions que cette fonctionnalité pourrait être activée dans des versions ultérieures.

• La nature de source ouverte de la solution DP‑3T est confirmée par le fait que la licence pour la solution a été obtenue en vertu du cadre d’octroi de licences en source ouverte MPL 2.0. Le cadre MPL 2.0 est une simple licence de partage à l’identique qui encourage les personnes qui contribuent à partager leurs modifications au code, tout en leur permettant de combiner leur propre code avec les codes assujettis à d’autres licences (en source ouverte ou exclusifs), avec des restrictions minimales. Compte tenu de ce contexte, nous ne prévoyons pas qu’il y aura des risques complexes liés à la propriété intellectuelle, bien que nous soyons tenus de signaler les dépendances du protocole à l’égard des technologies exclusives, comme le système d’exploitation IOS d’Apple ou Android de Google. Dans une moindre mesure, nous voulons également mentionner que la technologie BT LE est elle aussi une technologie brevetée.

CRITÈRE 7 — PROTECTION DES DONNÉES

Dans le document Gouverner la technologie en temps de crise: aide à la décision dans le cadre du Covid-19 (Page 118-122)