API Apple-Google Exposure Notification: tout ce que vous devez savoir

Google et Apple se sont associés pour lancer leur système de suivi et de notification d’exposition COVID-19 le 20 mai, ce qui soulève de nombreuses questions dans le processus. Les gens veulent savoir comment fonctionne le système, ce qu’il signifie pour les individus, où et comment les données sont stockées et partagées, et bien plus encore.

Voici toutes les informations que vous devez savoir sur Google et le nouveau système de suivi d’exposition COVID-19 d’Apple.

Qu’est-ce que ce système et qu’est-ce qu’une API?

Google et Apple ont créé l’API Exposure Notification. Il est conçu pour aider le processus de recherche des contacts, qui a pour objectif de suivre le mouvement d’une maladie infectieuse entre les personnes afin de ralentir sa propagation. Les agences de santé publique sont souvent chargées de la recherche des contacts, employant des centaines ou des milliers de personnes pour suivre les personnes infectées connues, puis informer les autres personnes qui peuvent avoir été infectées afin qu’elles puissent se mettre en quarantaine et empêcher leur propagation. De toute évidence, cela est au premier plan compte tenu de la propagation continue du coronavirus.

Cette API n’est qu’un outil – c’est aux pays et aux États de créer des applications qui l’utilisent.

Avec un système tel que cette API de notification d’exposition, le suivi des contacts peut être effectué avec votre téléphone, automatisant une grande partie du processus afin qu’il puisse impliquer considérablement plus de personnes dans le public et moins de personnes dans les agences de santé.

L’API de notification d’exposition est un cadre d’utilisation de votre téléphone pour faciliter le suivi des contacts; c’est ne pas un système complet de recherche des contacts. Une API est simplement une prise dans votre téléphone à laquelle un développeur d’applications peut se connecter pour interagir avec une partie spécifique de votre téléphone directement et de manière standardisée. (Par exemple, il existe une API audio sur votre téléphone que les applications utilisent pour lire le son de l’application.) Dans ce cas, l’API de notification d’exposition est la même sur tous les téléphones Android et iPhones, ce qui est important pour le rendre plus efficace pour ce type d’utilisation.

L’API de notification d’exposition est déployée sur tous les téléphones Android via une mise à jour des services Google Play, qui se produit automatiquement, et sur tous les iPhones via la dernière version d’iOS 13.

Comment ça marche?

Au plus haut niveau, cette API facilite le suivi des contacts. Tout d’abord, vous devez installer une application sur votre téléphone qui utilise l’API Exposure Notification – il n’y a pas encore d’applications qui le font, mais Google et Apple les examineront et approuveront qu’elles seront distribuées via Google Play et l’App Store. Les applications proviendront d’une autorité de santé publique associée à votre gouvernement local ou fédéral.

Une fois installée, l’application utilisera Bluetooth LE (Low Energy) pour identifier les appareils Bluetooth LE à proximité exécutant la même application, et les deux téléphones garderont un journal des clés Bluetooth uniques qu’ils voient. C’est ce qu’on appelle le «balisage». La clé Bluetooth LE change fréquemment (environ toutes les 15 minutes), ce qui signifie qu’un individu ne peut pas être associé à, ni suivi par, une seule clé. Bluetooth LE ne fonctionne que sur une portée relativement courte, et Google et Apple ont choisi une puissance de signal que la radio Bluetooth devrait utiliser afin, espérons-le, d’échanger uniquement des clés avec des appareils suffisamment proches pour être associés à une transmission de coronavirus.

Si quelqu’un qui a installé l’application teste positif pour COVID-19, il entre ce résultat dans l’application. L’application télécharge ensuite les 14 derniers jours de clés enregistrées sur le téléphone, les identifiant comme potentiellement contagieuses pour cette période. Tous les autres téléphones sur lesquels l’application est installée téléchargent périodiquement cette liste des clés des personnes infectées connues, la comparent à sa liste de clés qu’il a stockées et informe l’utilisateur qu’ils auraient pu être proches d’une personne contagieuse. L’autorité de santé publique qui crée l’application choisira la façon dont elle enverra un message à la notification, contactera la personne et la conseillera sur ce qu’il faut faire des informations.

Quelles données sont collectées et qui peut les voir?

C’est principalement expliqué dans la section ci-dessus. Avec une application installée, votre téléphone diffusera et collectera les clés Bluetooth LE des personnes qui ont également la même application installée. L’application conserve un magasin de ces clés (qui tournent à nouveau toutes les 15 minutes), et si vous choisissez de vous identifier comme infecté, l’application téléchargera les 14 derniers jours de clés sur le service cloud de l’application.

L’API ne fournit à personne votre position et les autres utilisateurs de l’application ne reçoivent aucune information personnelle.

S’identifier comme infecté ne dit pas aux autres utilisateurs de l’application qui vous êtes ou qu’ils peuvent vous avoir été spécifiquement exposés – cela leur révèle seulement que Quelqu’un qui a été testé positif était près d’eux au cours des 14 jours précédents.

L’API n’utilise pas le GPS, la triangulation des tours cellulaires ou tout autre service de localisation pour identifier l’emplacement de votre téléphone – il seulement utilise la balise Bluetooth LE pour indiquer la proximité du téléphone avec un autre téléphone avec l’application. Vous avez le choix d’installer ou non l’application qui utilise l’API Exposure Notification. Vous avez également le choix de dire à l’application que vous avez été testé positif. L’API, simplement en étant sur votre téléphone, ne rend pas les clés Bluetooth LE du magasin de téléphone ni ne rend vos données disponibles pour d’autres applications ou services. Ni Google ni Apple ne reçoivent les données de votre téléphone.

Est-ce que cela décharge la batterie de mon téléphone?

Bluetooth LE est, par conception, une technologie à très faible consommation d’énergie. Vous gardez probablement Bluetooth activé sur votre téléphone 100% du temps déjà, et vous utilisez peut-être déjà Bluetooth LE pour une smartwatch. Votre téléphone recherche également régulièrement des appareils utilisant Bluetooth LE tout au long de la journée. Le balisage Bluetooth est utilisé pour de nombreuses autres fonctions, et nous savons tous que même l’utilisation de Bluetooth pour une transmission à haute puissance – comme la diffusion de musique vers un haut-parleur ou un casque – n’est pas une grosse décharge de batterie.

Si vous choisissez d’installer une application qui utilise l’API Exposure Notification, il y a très peu de chances que vous remarquiez une décharge de batterie. Et bien sûr, si vous n’installez pas une application qui utilise l’API, elle ne fera rien.

Y a-t-il des problèmes potentiels de confidentialité?

Il y aura toujours des problèmes de confidentialité avec tout ce qui recueille théoriquement des données sur votre téléphone, même s’il est rudimentaire. Mais comme je l’ai noté ci-dessus, les applications utilisant l’API Exposure Notification ne reçoivent pas de GPS ou d’autres informations de localisation – uniquement des touches Bluetooth LE roulantes, qui n’identifient pas réellement vous. Ce serait un gros problème de confidentialité, mais ce n’est pas le cas ici.

Il n’y a aucun problème de confidentialité ici – vous avez un contrôle total sur la fourniture de données.

Google et Apple y ont bien sûr réfléchi encore plus. Les clés Bluetooth LE sont cryptographiquement aléatoires, ce qui garantit que deux clés ne peuvent pas être associées l’une à l’autre, il est donc presque impossible de lier réellement ces clés roulantes de 15 minutes pour fournir une chronologie de l’emplacement d’un téléphone. Et c’est exponentiellement plus difficile, car une fois de plus, la seule façon de «localiser» une clé est sa proximité avec la clé d’une autre personne, qui est aussi changer toutes les 15 minutes.

Le seul problème de confidentialité ici est peut-être ce que l’autorité de santé publique qui fabrique l’application fera de vos données – mais cela dépendra de la politique de confidentialité de chaque application. Et encore une fois, vous avez le choix d’utiliser ou non l’application et de fournir vos données à l’application en premier lieu.

Dans quelle mesure ce système fonctionnera-t-il?

La réponse principale à cette question est « ça dépend » – ce qui est frustrant, je sais.

Cela dépend avant tout de la rapidité avec laquelle une ou plusieurs applications sont créées qui utilisent l’API Exposure Notification. S’il s’agit d’une application conçue par un pays, la possibilité qu’elle soit largement utilisée est plus élevée; si les applications sont gérées état par état ou région par région, l’adoption peut être beaucoup plus lente. Et dans les deux cas, puisqu’il s’agit d’une décision d’adhésion, les taux d’adoption seront probablement faibles.

Ce système pouvez fonctionne, mais il nécessite le déploiement d’une application et le téléchargement de personnes.

De nombreux États américains ont déclaré soit ils n’ont pas l’intention de créer une application, soit ils ne le feront pas explicitement. Quelques États ont indiqué qu’ils utiliseraient l’API Exposure Notification, dont le Dakota du Nord, qui avait déjà créé une application.

Secondairement, même s’il y a une forte adoption des applications des autorités de santé publique, il y a des problèmes inhérents à se fier aux signaux Bluetooth LE comme seul moyen de déterminer votre proximité avec quelqu’un. Les experts expliquent et la recherche montre que le coronavirus se propage par une proximité étroite et prolongée avec des personnes contagieuses – mais ce système n’a pas la précision nécessaire pour faire cette détermination.

Si vous croisez simplement quelqu’un qui marche sur le trottoir, que vous vous tenez derrière quelqu’un en ligne au magasin ou que vous rencontrez un chauffeur-livreur à votre porte, vous avez techniquement été en «contact» avec cette personne. Mais dans chacune de ces situations, vos chances d’être réellement infecté par un coronavirus sont très faibles. Le système n’a pas non plus de contexte pour savoir si vous ou l’autre personne portiez un masque au moment du contact, ce qui réduit considérablement vos risques d’infection.

Tout comme le suivi des contacts en personne, les informations sont imparfaites et auront des faux positifs.

Le système ne peut pas non plus prendre en compte les situations dans lesquelles vous êtes « proche » de quelqu’un mais pas réellement avec lui, comme lorsqu’il se trouve de l’autre côté d’une fenêtre, d’un mur ou d’une barrière. Si vous conduisez une voiture et êtes assis à un feu de signalisation, vous êtes techniquement à moins de 6 pieds de la personne qui marche sur le trottoir ou dans la voiture à côté de vous, mais vous n’êtes pas réellement en danger de propager ou de contracter le virus. La même situation s’applique si vous parlez à un commis de magasin derrière une barrière en plastique. Les personnes qui vivent dans des appartements sont également susceptibles de se trouver à moins de 6 pieds des autres, même lorsque chaque personne est dans sa propre maison.

Et bien sûr, cette application ne fait absolument rien pour expliquer le fait que vous pouvez attraper le coronavirus en touchant une surface, comme un panier, une poignée de porte ou une main courante. Mais cette situation n’est pas vraiment gérée par la recherche de contacts de toute sorte.

Sachant tout cela, dans quelle mesure je pense que l’API Exposure Notification fonctionnera? Cela peut aider, mais c’est loin d’être une solution miracle. Dans les zones à forte densité de population, d’appartements et de transports en commun répandus, il y aura un « bruit » considérable dans les données qui produira une abondance de faux positifs car la proximité les uns des autres n’est qu’une partie de la vie quotidienne. Et en tout cas, les données elles-mêmes ne peuvent pas arrêter la propagation du coronavirus – ces agences de santé publique et le grand public doivent agir de manière appropriée compte tenu des connaissances fournies.

Puis-je me désinscrire?

Oui! En fait, utiliser le système est adhérer pour commencer. Vous pouvez simplement choisir de ne pas installer une application qui utilise l’API, et aucune des données Bluetooth ne sera générée par votre téléphone ou identifier d’autres téléphones.

Quant au processus de désinscription avec les applications des autorités de santé publique, il est actuellement inconnu. Chaque application aura sa propre politique de conservation des données et son propre processus de désinscription.

Nous sommes là pour répondre à vos questions

Si vous avez une question spécifique à propos de quelque chose qui n’est pas abordé ci-dessus, assurez-vous de laisser un commentaire et nous serons là pour répondre. Nous mettrons également à jour régulièrement cet article avec des informations supplémentaires au fur et à mesure que les mises à jour sont mises à disposition des téléphones et des applications qui utilisent l’API Exposure Notifications.