Traçage (ex: appli StopCovid), solution indispensable, complémentaire ou inutile au déconfinement ? Quelle démarche pour un déconfinement progressif ?

Est-ce que le traçage des individus est indispensable au déconfinement lié à la pandémie coronavirus Covid-19 ?

Sinon quelle démarche pourrions nous avoir pour déconfiner progressivement ?

Concernant l'utilisation du traçage individuel pour déconfiner, cela me semble beaucoup trop simpliste de répondre Oui car le traçage n'est qu'un dispositif potentiel parmi d'autres, qui peuvent être bien plus simples à mettre en oeuvre avec une efficacité prouvée.

La solution StopCovid annoncée par Cédric O en cours de développement pourrait aider mais est loin d'être la panacée car il y a beaucoup de trous dans la raquette, il faut s'assurer que le Bluetooth est toujours allumé, que la détection entre terminaux Bluetooth (grâce à leur identifiant unique : adresse Mac ) soit fiable (d'autant que cet identifiant change régulièrement pour éviter le traçage 😉 ) et que le nombre de personnes ayant cette solution soit suffisant (au moins 60 % de la population l'installe ce qui exclut des populations). Cela fait beaucoup de « Si » et donc il est très dangereux de se fonder dessus au risque sinon de nombreuses déconvenues. [MAJ 17/4/20]  La solution apportée par Apple / Google  résoudrait en partie certains problèmes car ils peuvent accéder aux couches basses de l'OS et peuvent garder actif le Bluetooth ce qui n'est pas possible par des autres éditeurs (cf. ci-dessous) [Fin MAJ]

A ce titre, la tribune de 15 députés contre le traçage même volontaire peut aussi éclairer à ce sujet.

Revenons aux basiques :

La 1^ère question est pourquoi veut-on tracer ? Pour prévenir les potentielles victimes avant qu'ils ne contaminent à leur tour (backtracking) ? Pour s'assurer du respect du confinement a posteriori voire en temps réel ?

La bonne question à répondre ne serait-elle pas plutôt : Comment déconfiner par paliers en réduisant les risques de propagation ?

Après, nous pourrons déterminer si le traçage est pertinent ou non !

Il vaut mieux partir du problème pour trouver la solution que de partir d'une solution pour résoudre un problème.

Au préalable, il faut déterminer ce que signifie déconfiner. A mon sens, cela signifie desserrer progressivement la ceinture, donner plus de liberté de déplacement (accès à des parcs, retrouver des proches, accéder à des commerçants non essentiels...).

Il faut donc commencer à lister les cas de déconfinement autorisables à faible risque (ex : retrouvailles familiales en petit comité, accès à des espaces ouverts contrôlés comme des parcs ...) en interdisant les cas à haut risque au prime abord ( concerts, sport au Stade de France, manifestations ...)

Déconfiner en réduisant les risques de propagation implique trois conditions à respecter :

• les personnes les plus à même d'être contaminées et de propager le virus (personnel de santé, forces de l'ordre, commerçants de produits de 1^re nécessité, transporteurs..) doivent être prioritairement les plus protégées (cela paraît évident mais c'est mieux en le disant !)

• les personnes pouvant être déconfinées doivent être soit saines (et n'ayant pas de contacts avec des personnes connues pour être contaminées) soit immunisées pour éviter la propagation du virus
• si jamais ces personnes étaient contaminées, elles doivent maintenir un comportement réduisant les risques de contamination (respect des règles de déconfinement / confinement, gestes barrières, masques et potentiellement traçage individuel)

On pourrait classifier les populations selon deux dimensions : sont-elles en contact avec des personnes qui sont très probablement contaminées et sont-elles en contact en général avec beaucoup de personnes durant une journée.

Cette matrice illustre que le personnel de santé étant le plus exposé doit évidemment être protégé pour éviter de contaminer et d'être contaminé avec des masques protecteurs pour eux et évitant qu'elles contaminent d'autres.

Les personnes qui sont en contact avec de nombreuses personnes (par ex : plus de 20 par jour, forces de l'ordre, commerces de nécessité, livreurs, éboueurs...) ou qui sont en contact avec des personnes certainement contaminées (infirmiers/infirmières se déplaçant à domicile...) devraient bénéficier d'une protection renforcée des masques pour protéger les autres et si possible qui les protège eux (en fonction de la disponibilité des masques correspondants)

Enfin pour la majorité des personnes, chaque personne sortant de son espace de confinement devrait porter au minimum des masques protégeant les autres au cas où elles seraient contaminées.

Compte tenu de la quantité de masques disponibles, des masques alternatifs sont indispensables dans un premier temps.

Comme il n'y a pas assez de masques et de tests de dépistage, on pourrait décider de choisir des communes ou territoires « tests », proches d'hôpitaux, assez peu denses avec peu de cas de contamination relativement aux autres territoires, puis tirer au sort parmi une base de volontaires habitant ces communes (en déclaratif et/ou contactés par les communes à l'image de la Convention citoyenne pour le climat).

Sur ces territoires, toute personne en dehors de chez elle qui ferait partie de ce test de déconfinement, devrait respecter sous peine d'une amende en cas de non-respect, les règles de confinement / déconfinement, être équipée d'un masque (empêchant de contaminer autrui mais pas nécessairement protecteur pour elle en raison de la pénurie des masques) , de gel hydroalcoolique et potentiellement d'une solution de traçage active locale sans accès à distance.

On augmenterait progressivement le nombre de déconfinés et le nombre de communes avec un suivi fin des cas additionnels. On garderait la possibilité d'arrêter le déconfinement en cas d'augmentation des cas significative.

[MAJ 17/4/2020] Concernant le traçage, si on le met en place, il doit être fiable. C'est la raison pour laquelle la solution StopCovid initiale telle qu'exposée au 9/4/20 me semblait une fausse bonne idée qui nous détournerait de vraies solutions (cf. problèmes cités ci-dessus). 

La solution apportée par Google / Apple résout de nombreux problèmes même si elle n'est pas parfaite (cf. article Medium ). Le projet européen Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) sur lequel pourrait être fondé l'application StopCovid est fondée sur l'ancienne version du Bluetooth et donc sera beaucoup moins fiable (ex: si Bluetooth n'est pas activé ou l'application ne fonctionne pas en arrière-plan).

L'architecture proposée par Apple et Google leur permet d'intervenir sur la couche basse de l'OS et l'utilisation du Bluetooth Low Energy. Ils peuvent activer le Bluetooth automatiquement pour les usages de contact tracing en réduisant l'impact sur les batteries tout en préservant la confidentialité des données (tant que les utilisateurs ne transmettent pas les infos de leur appli). 

D'autre part, la technique utilisée consiste à ce que chaque téléphone transmette des codes aléatoires aux téléphones proches via Bluetooth et les stockent. Si la personne a le Covid-19, elle accepte de transmettre la liste des codes aléatoires à une plateforme centrale (par exemple gérée en France par un organisme central de santé). Il n'est pas très clair comment chaque personne en contact avec la personne contaminée est alerté.

Il y a 2 possibilités soit on peut imaginer que les téléphones reçoivent les codes aléatoires transmises par une personne contaminée et s'il y a un match avec un de leurs codes ils sont alertés, mais cela signifie envoyer tous les codes de personnes contaminées à tout le monde ce qui semble très peu probable. Soit toutes les applis transmettent les codes qu'ils en ont dans leur historique et vérifient si parmi eux il y a des codes de personnes contaminées. Le souci alors est que la plateforme centrale a accès aux contacts de chacun !

Une possibilité pour augmenter la confidentialité des données que j'évoque ci-dessous est la possibilité de faire un cluster position / temps assez large, de réaliser un matching puis de zoomer pour les personnes où il y a un match... et éviter d'envoyer à tout le monde l'ensemble des codes des personnes contaminées. Dans le cas de l'application StopCovid fondée sur le Bluetooth, n'ayant pas la position, on peut toutefois réalisé un clustering sur base du temps et les premiers caractères du code (si le code a 256 bits par exemple). Une personne malade  ne transmettrait que les "time log" des différents contacts, de manière générale, toutes les appli ne transmettraient que leurs "time logs" des différents contacts. S'il y a un match (on suppose que les codes transmis entre 2 téléphones en contact intègrent les time logs synchronisés), alors les premiers caractères du code aléatoire de la personne transmis ne sont qu'aux personnes qui ont un time log identique. On peut répéter l'opération plusieurs fois  avec les premiers caractères du code de la personne contaminée pour qu'au final, seules personnes les personnes ayant un code identique, ne reçoivent le code intégral de celle-ci.

Autre souci de la solution d'Apple/Google est qu’il faut mettre à jour tous les smartphones. Quand on voit la fragmentation des OS sur Android, ce n'est pas gagné mais espérons ... D'autre part,  cette solution peut être très utile pour des espaces denses urbains où la plupart des personnes seraient équipés de smartphones mis à jour, en revanche pour les espaces ruraux où l'équipement de smartphones récents est moindre, cette solution sera moins pertinente. [Fin MAJ]

Une solution alternative serait d'avoir un traçage avec géolocalisation qui soit fiable mais qui ne soit pas accessible à distance ou transmise à une plateforme. Elle pourrait être potentiellement couplée avec le Bluetooth pour faciliter le back-tracking des contacts et inciter chacun à respecter les limites du déconfinement.

La solution singapourienne TraceTogether va dans ce sens en conservant les données de l'utilisateur sur le téléphone et non sur un serveur. L'utilisation du Bluetooth pour tracer les contacts passés n'est possible qu'à condition que le déconfinement soit limité à un territoire restreint car il est plus facile d'avoir une proportion de personnes équipées (potentiellement en attribuant gratuitement un dispositif à celles et ceux qui n'en ont pas) dans ce cas.

Seuls la Police, les gendarmes et autorités judiciaires auraient la capacité à accéder partiellement (sorties / entrée de zones sans géolocalisation précise et personnes rencontrées si c'est accepté par l'utilisateur) à ces données via un transfert local (WiFi local, Bluetooth, câble USB...). L'intérêt est de respecter la confidentialité des données privées. La solution devrait être auditée par des organisations indépendantes et légitimes ainsi que par la CNIL pour s'assurer qu'aucune donnée ne soit transmise à distance et de la sécurité de la solution.

Les données pourraient être automatiquement supprimées au bout d'une vingtaine de jours (durée où l'on peut contaminer).

[Ajout du 13/4/2020] Pour permettre le retro-tracking ou "Contact Tracing" des personnes rencontrées, Yann Le Cun postait un exemple de traçage de contact respectant la vie privée accessible en open-source sur GitHub. Le principe est intéressant car il consiste à ce que lors d'un contact entre deux équipements Bluetooth, ceux-ci se transmettent un message aléatoire (clé). Si une personne a le Covid-19, cette clé est diffusée à l'ensemble des téléphones et si cette clé est trouvée sur une autre téléphone, cela signifie que la personne a été en contact avec elle et peut être prévenue.

Comme indiqué, plus haut, le souci est que l'information Bluetooth est beaucoup trop parcellaire pour être utilisable. D'autre part, elle implique de transmettre à un très grand nombre d'individus une information précise de contact.

On peut néanmoins associer une géolocalisation précise tout en préservant la confidentialité des données. Comme dit, précédemment, l'application de géolocalisation ne transmettrait aucune donnée dans le cloud. Les informations de géolocalisation seraient enregistrées dans le téléphone sous forme de poupées russes, des clusters avec des mailles de temps et d'espace larges au début et de plus en plus fins. Seuls les déplacements en dehors de l'espace confiné serait enregistrés. Ces informations seraient hashées puis cryptées avec deux niveaux de clés, des clés publiques et des clés appartenant à l'utilisateur qui pourraient être associées à la taille de la maille. Par exemple, une personne située aux à 2 m de la station de métro Invalides le 13/4 à 12h32, serait codé par exemple par 5 niveaux de précisions (peut-être beaucoup plus si nécessaire).

Le premier pourrait être Paris, le 13/4 qui serait hashé avec une clé publique puis une clé appartenant à l'utilisateur.  avec un hash SHA-256.

Les données hashées seraient par exemple : 48.866667,2.333333,1,13/4/2020 : ce qui correspond aux coordonnées du centre de Paris (Parvis de Notre Dame), niveau 1 de la maille, et la date et un . L'heure par défaut utilisée seraient l'heure locale de la position. Avec un 1er hashage en base 64 cela ferait 1488mYuSfpNxmfHat/qwX3FuVdCMSJRCTFtlUBXfQQs=  . Il est possible de réaliser une opération de salage en plus pour augmenter la sécurité mais il faut utiliser un code unique quelque soit les applis afin de réaliser le matching.

Ensuite on appliquerait deux cryptages, un premier avec une clé commune donnée par un organisme central . On peut utiliser la clé secrète : Coronavirus Covid-19 DC08!er(uxa  (32 caractères) ce qui donne crypté : 2Fkcuq7WQazBkw6pH20/rf61PeAXiHDJ2P7+wjaQUp22lrMNQpxU0u+b3rVCrbP8 puis on la cryperait avec la clé privée du patient par exemple Mourir peut attendre 2020JMB!mpo  (Il est préférable que ces clés soient générées aléatoirement !) ce qui donnerait  

pZYkkHOJLWH5dxIi5WszLNhaQrGozHqOuo0ossbSLEr9o+RUZxJziOH6OZ2gGX7YYOrIvcM1mVRQfurYpTtWgbE8fF2YRJYHJj4YZpc5zzo=

On réaliserait la même opération avec des mailles plus petites, par exemple 10 km autour du point / par 6h - 2 km / par 2h - 100 m / 30mn  -  5 m / 1 mn.

Si une personne est touchée par la Covid-19, elle aurait la possibilité de transmettre un fichier avec l'ensemble de ces clusters de position/temps hashées et cryptées (en poupées russes) (WiFi, Bluetooth, clé usb) en décryptant avec sa clé secrète. Les données de position transmises seraient toujours hashées et cryptées avec la clé commun et ensuite transmise à une plateforme. Aucune donnée personnelle ne serait transmise, le hash des données de geolocalisation empêche d'identifier les points où la personne est localisée. seuls des hashs de position cryptéées deux fosi

On peut aussi imaginer des bornes dans des hôpitaux. Pour éviter de lever l'anonymat, cela peut s'effectuer à distance sans toucher la borne, juste par une manipulation sur l'appli du téléphone.

Avec l'ensemble des remontées, On aurait ainsi une base de données qui agrégeraient les clusters cryptées et hashés des différents patients ayant le Covid-19. En revanche, sans la clé de l'utilisateur 

Ensuite, on enverrait à tous les smartphones ayant l'application les hashs cryptés avec la clé commune de 1er niveau. Si le hash crypté du smartphone de la personne a le même code, on lui envoie le 2ème niveau ... Si le dernier niveau est atteint, on peut signaler à la personne qu'elle a été en contact récemment avec une personne ayant le Covid-19 sans lui préciser où et quand et de contacter un hôpital. Aucune personne ne serait à même de savoir où les personnes ont été en contact en raison du hashage des données de géolocalisation.

L'intérêt de cette solution est de permettre de retracer les contacts de manière précise sans jamais exposer les données de géolocalisation (grâce au hashage, cryptage et aussi en limitant la transmission des clusters position / temps hashés et cryptés aux malades volontaires).

Néanmoins, cette solution est loin d'être parfaite.Si on se fonde uniquement sur la géolocalisation GPS, elle ne permet pas de tracer les contacts en "indoor" , les lieux couverts, les magasins, les métros, les immeubles ... à moins d'y associer d'autres techniques de géolocalisation fondées sur la captation de réseaux WiFi  ou sur les antennes 3G/4G (mais moins précis). Il faut accepter d'être géolocalisé par GPS (et l'activer) ce qui peut être un frein à l'adoption pour beaucoup de personnes même si les informations ne sont pas transmises à une plateforme. Comme pour StopCovid, il faut être équipé d'un smartphone allumé avec une application installée pour que ça fonctionne, ce qui limite la couverture.

La meilleure façon de savoir si l'appli StopCovid fonctionne ou une autre est de la tester rapidement, certaines idées décrites ci-dessus notamment sur la sauvegarde des données dans le smartphone et la transmission que pour les personnes infectées pourraient être appliquées pour l'appli StopCovid avec Bluetooth. 

Des technologies comme des tags NFC ( < 0,2 cent par tag) pourraient être aussi utilisées pour confirmer qu'une personne est bien allée à un endroit précis en revanche (à l'image du paiement sans contact), en revanche cela ne donne aucune indication sur le chemin qui été suivi ...

D'autre part, les mesures qui permettront le déconfinement progressif sont en premier lieu, les tests, les masques et gel hydroalcooliques et la quarantine rapide des personnes contaminées.

Le traçage d'un contact entre deux personnes quel que soit la technique n'a de sens que si la probabilité que ce ce contact entraîne une contamination soit significatif sur le plan statistique. 

Si on établit qu'il y a un contact entre deux personnes et que la probabilité qu'il y a ait une transmission entre les deux est de 0,1%. Cela fera beaucoup de faux positifs. C'est la raison pour laquelle a priori seuls les contacts de durée longue ( par exemple 5 mn) et proches moins de  2mn pourraient être pris en compte.

Inversement, si le traçage ne détecte que 0,1% des contaminations réelles, cela fait beaucoup de faux négatifs. Aujourd'hui (17/4/2020), on ne sait pas quelle est la proportion de personnes contaminées directement par des postillons ... et celle contaminées par un contact avec un objet (ex: une barre dans un métro). Si une grande proportion de personnes sont contaminées par des objets, idéalement il faudrait non seulement tracer les contacts directs mais aussi les contacts indirects (lieux visités dans les heures de manière postérieure à une personne contaminée). Cela fait des combinaisons de cas extrêmement élevés avec un nombre de faux négatifs massifs. 

Il est donc essentiel d'avoir une idée grosso modo si le traçage permet d'établir au moins un minimum de vrais positifs. Si le taux de faux positifs ET le taux de faux négatifs est extrêmement élevé, les efforts d'un déploiement total sur la France, l'Europe semble peu utiles.

Le traçage de contacts sera le plus pertinent pour les personnes rencontrant peu de personnes. Le traçage de personnes allant dans des transports en communs à Paris par exemple me semble extrêmement compliqué à réaliser vu la combinatoire de personnes rencontrées lors d'un trajet par exemple en métro ou bus.

Pour le savoir, il faut tester l'application à petite échelle... tout en évitant de propager le virus ... (ce qui complique l'évaluation de ces taux). L'approche actuelle est en phase avec cela car les responsables politiques précisent que c'est une solution qu'ils explorent tout en ayant conscience des limites potentielles de cette solution.