Si on devait être cynique, on aurait presque tendance à dire qu’on sera – peut-être – prêt pour la deuxième vague… Les travaux, réflexions, débats, mi-politiques, mi-juridiques (et un troisième “mi-”technologique), s’éternisent en matière de solution numérique éventuelle de suivi des contacts Covid potentiellement contaminants.

Les signaux lancés ou “fuités” par les uns et les autres épaississent le brouillard. Une appli de “contact tracing” malgré tout d’ici deux ou trois semaines, concoctée du côté de la KULeuven? Un cadre légalo-juridique au fédéral avec liberté pour chaque Région de décider d’autoriser ou non une appli? Une validation qui ne serait accordée (avec autorisation de téléchargement et support) qu’à une seule appli du côté d’Apple et de Google? Ce qui semble devoir obliger les Régions à faire un choix unique…

A moins que l’on ne se passe de la possibilité de télécharger l’appli via les boutiques en-ligne des deux géants?

Le choix d’appli – laissé donc en théorie aux Régions – suivra-t-il l’impulsion (plus ou moins rapide) de la KULeuven (tout le monde se ralliant derrière ce panache blanc) ou, au contraire, en passera-t-on par un appel d’offres, avec, au mieux, un choix et un début d’implémentation en cours d’automne? Fort tard donc, de toute façon, pour avoir une utilité face à la “première vague”…

Déjà que tous ces débats-là n’ont pas été arbitrés et solutionnés, voici qu’une “troisième voie” est proposée par une société hennuyère – venant ajouter un scénario qui prend ses distances avec les deux principes qui s’affrontent sur le marché? A savoir, d’une part, le principe d’une appli faisant appel à un serveur et à un stockage de données public centralisé (Sciensano chez nous). De l’autre, le principe de l’appli “décentralisée”, sans serveur-Mr-BigBrother central mais avec des notifications qui seraient uniquement effectuées par les smartphones de chaque utilisateur ayant été confirmé comme contaminé par le Covid-19.

Cette “troisième voie” est proposée par la société Global Connection Apps, de Ghislenghien, spécialisée dans les solutions de suivi et de sécurisation de sites (centres commerciaux, sites industriels ou médicaux…). Nom de la solution: Indigouts_Contacts.

Le principe? Une application de traçage de contact minimisant le plus possible les données collectées, faisant l’impasse sur un serveur public central, et privilégiant un rôle accru de la part des médecins puisque la (nécessaire) preuve d’authentification des messages (“personne contaminée par le coronavirus”) émanerait des associations de médecins, faisant office pour la circonstance de tiers de confiance.

Explication…

Données minimalistes

“Si la finalité première de l’application de traçage de contact est bel et bien de pouvoir notifier, aux personnes que l’on a côtoyées ces deux dernières semaines, le fait qu’on a été contrôlé positif au virus, il n’y a aucune raison de lier l’appli à une quelconque base de données centrale publique”, raisonne Thierry Van Kerm, conseiller en business development chez Entreprendre.Wapi, l’accélérateur qui accompagne la société Global Connection Apps.

Indigouts_Contacts: n’enregistrer qu’un minimum d’informations.

Les seules données personnelles qu’enregistre l’appli Indigouts_Contacts sont destinées à l’ouverture d’un compte sur la plate-forme. A savoir: un nom et un mot de passe. Ainsi que le pays et la langue de l’utilisateur – dans l’optique d’une utilisation qui dépasserait nos frontières et d’une interopérabilité avec des solutions d’autres pays.

L’argument selon lequel ce serveur central (et l’autorité publique qui en est l’hébergeur et le gestionnaire) serait nécessaire pour garantir l’authenticité des notifications peut fort bien être satisfait, ajoute-t-il, si l’on passe non pas par Sciensano mais plutôt par les associations de médecins.

Selon le scénario Indigouts, voici le mécanisme à mettre en oeuvre. Un médecin qui constate la contamination d’un patient en signale le statut à la plate-forme Indigouts, après s’être lui-même identifié. Son “laissez-passer”, pour la circonstance, est un identifiant émis par une association de médecin ou l’Absym. Sans cet identifiant, il ne peut accéder à la plate-forme et donc ne peut ni inscrire un patient, ni envoyer le moindre message vers le smartphone de son patient.

Gaëtan Mukeba (Global Connection Apps): “L’association de médecins fait office d’organisme certificateur et envoie au médecin un identifiant unique qui lui sert de token d’accès à la plate-forme Indigouts.”

Après avoir assigné le statut “malade” à son patient sur la plate-forme, celle-ci, qui dispose de l’adresse mail dudit patient, lui envoie un message via l’appli de son smartphone.

L’appli de l’utilisateur, quant à elle, ne pourra déclencher des notifications aux personnes récemment croisées que sur base de ce message authentifié.

Par ailleurs, la notification n’est pas automatique en ce sens que c’est le patient confirmé comme ayant été contaminé qui décide de faire ou non envoyer par son smartphone une notification à toutes les personnes croisées au cours des deux semaines précédentes. L’appli, fonctionnant sur base de “repérages” Bluetooth, aura en effet gardé en mémoire les clés anonymes correspondant à ces personnes (mais donc ni leur nom, ni leur localisation).

La notification automatique via l’appli ne s’effectue que vers les personnes “à risque”, c’est-à-dire avec lesquelles un contact Bluetooth a été établi pendant minimum 30 secondes, à une distance égale ou inférieure à 1,5 mètre.

L’application fournit certaines informations à la personne courant le risque d’avoir été ainsi contaminée. Informations anonymes (pas de nom fourni, ni de lieu où la rencontre s’est produite) mais qui peuvent par contre la convaincre d’un réel risque. L’appli indique ainsi le nombre de personnes côtoyées, pendant tel laps de temps: x personnes considérées comme présentant un faible risque (contact rapproché entre 30 secondes et 15 minutes) et x personnes à haut risque (plus de 15 minutes). Avec le conseil de consulter un médecin pour vérifier s’il y a eu ou non contamination.

Autre information fournie par l’appli: la date de l’exposition.

Le serveur Inginouts, pour sa part, qui sert à enregistrer les médecins et les patients, ne conserve pas les coordonnées (adresse mail et nom) des patients, une fois que l’envoi de la première notification a été effectuée. 

En choisissant ce type de procédure décentralisée, le but des auteurs de la solution Indigouts_Contacts est de “redonner une place centrale au médecin dans son rôle de relais d’information vers la personne, celle-ci étant libre de notifier ou non le call centre “tracing Covid” [de sa contamination] ainsi que les personnes qu’elle a croisées”, souligne Gaëtan Mukeba, directeur de Global Connection Apps. “Le but est également de garantir à la fois l’anonymat des données et le fait que les données demeurent la propriété du patient.”

Bataille futile?

Les concepteurs de la solution Indigouts ont beau dire qu’ils se sont pliés à toutes les contraintes imposées par l’APD (Autorité de Protection des Données) et par les autorités législatives en regard du texte et des modifications apportées à l’Arrêté royal, le fait est que leur solution semble s’inscrire à contre-courant, ou en tout cas dans un courant parallèle, par rapport à la direction qui semble devoir être prise pour la – toujours hypothétique – appli belge de “contact tracing” Covid-19.

Des contacts ont été pris, pour signaler l’existence de la solution et le scénario imaginé, tant avec les autorités ministérielles – fédérales et régionales – qu’avec le monde des professionnels de la santé (Absym, Ordre des médecins…). Sans réelle réponse ou réaction à ce jour. Si ce n’est, du côté des responsables ministériels, un joli petit ballet de renvoi de patate chaude (“adressez-vous plutôt à X ou Y qui est en charge de la chose”).

Gaëtan Mukeba (Global Connection Apps): “Redonner une place centrale au médecin dans on rôle de relais d’information vers la personnes, celle-ci étant libre de notifier ou non le call centre “tracing Covid” [de sa contamination] ainsi que les personnes qu’elle a croisées.”Il est vrai que le scénario choisi par Global Connection Apps va à l’encontre de ce qui commence à se dessiner. Pas de stockage centralisé (de beaucoup de données) chez Sciensano mais passage plutôt par les associations de médecins, pour garantir d’authenticité des messages de notifications. 

Pas de stockage centralisé et données réduites au strict minimum et anonymisées, interdisant la finalité éventuelle de l’analyse épidémiologique ultérieure.

Possibilité, par ailleurs, de vendre l’appli par de multiples “distributeurs” (voir ci-dessous), là où certains privilégient la piste de la gratuité (moyennant investissement public). 

Notons encore au passage que des contacts devaient également être pris avec l’Union wallonne des entreprises, afin de tâter le terrain du côté des entreprises…

Liberté contre “diktat”

Que ce soit pour des raisons de logique sanitaire (toutes les Régions acceptent de déployer une appli, identique) ou pour respecter le “diktat” des plates-formes (une seule appli par pays dans les boutiques Apple et Google), nombreuses sont les voix qui, dans l’état actuel des choses, militent en faveur d’une appli unique.

La position défendue par les auteurs de la solution Indigouts_Contacts est différente. Certes, si on passe outre à l’injonction “one-app” du duo Apple-Google, on complique – un peu – la tâche des utilisateurs qui devront aller puiser leur appli à d’autres sources. Mais, raisonne Thierry Van Kerm, “pourquoi ne pas encourager la possibilité pour le citoyen de choisir entre plusieurs applis?” [Ndlr: pour autant qu’elles respectent le cadre légal défini et qu’elles puissent communiquer entre elles]

“Cela garantirait une couverture plus large, une “densité” de traçage plus importante en chaque endroit du territoire, puisque les acteurs qui la proposeraient seraient plus nombreux et plus motivés à la recommander et que cela multiplierait les chances que les citoyens aient bel et bien recours à une appli…”

Thierry Van Kerm (Entreprendre.Wapi): “La logique mise en oeuvre par le politique pose un problème dans la mesure où elle nous engage dans un chemin qui aboutit à l’effet inverse de celui qui est recherché et qui est de favoriser une diffusion la plus large possible de l’aptitude à tracer les risques de contamination.”

A ses yeux, le fait de permettre de se procurer l’appli auprès d’autres sources que les deux “app stores” peut même devenir un argument et un avantage. Ce qu’imagine Global Connection Apps, c’est de permettre à des acteurs tels que les entreprises, les commerçants, ou encore les associations culturelles, de proposer l’appli, à un coût modeste. Soit à prix coûtant, soit même en la procurant gratuitement aux citoyens ou chalands, après en avoir acheté un stock. 

Trois formules de téléchargement sont ainsi envisagées: achat d’une version individuelle, achat d’un “pack” de 5 ou 10 applis en mode “Family & Friends”, ou achat en volume, par exemple pour les entreprises ou les organismes en tous genres “en fonction de leur taille, nombre de visiteurs…”

“Cela pourrait avoir un effet positif, pour l’image d’une entreprise, pour le sentiment d’appartenance.

Pour les commerces, le secteur horeca ou les sites culturels, cela permettrait de rassurer les visiteurs et clients. Pour certains commerces, il ne sera évidemment pas possible d’offrir un ou plusieurs téléchargements à tous les clients. Global Connection Apps leur propose dès lors d’acheter des cartes à gratter Indigout_Contacts sur lesquelles se trouve un code de téléchargement…”