Nouvelles

Tout sur Savitas QR.

Lettre ouverte à Amnesty International

Amnesty International s’inquiète à juste titre d’éventuelles atteintes à la vie privée qu’une application de recherche de contacts pourrait apporter. C’est pourquoi ils ont publié un certain nombre de lignes directrices. Cependant, Savitas QR comme une solution répond pleinement à leurs exigences. C’est pourquoi nous leur avons écrit une lettre ouverte.
18 juin 2020

Lettre à Amnesty International Belgique
concernant le coronavirus et les droits de l'homme - Tracing Apps

Chère Amnesty International,

Après vos constatations très inquiétantes concernant des applications portant atteinte à la vie privée au Bahreïn, au Koweït et en Norvège( !) (*) entre autres, nous avons également lu attentivement la publication de votre organisation britannique concernant "Coronavirus et droits de l'homme - 7 principes qui devraient guider le déploiement d'une application de suivi COVID-19". (**)

Chez Savitas QR, nous sommes ravis que des organisations et des plateformes de confiance s'intéressent de plus près au nouveau monde des applications de recherche de contacts COVID19 et d'autres technologies. Car nous sommes d'accord sur le fait que le chemin vers la santé et la vie privée - comme le dit Noah Yuval Harari - est souvent une pente glissante. Surtout en Belgique.  

Si même des pays comme la Norvège semblent avoir des problèmes avec la protection de la vie privée dans leur application, nous devons nous poser de sérieuses questions sur le déploiement précipité de technologies trop complexes. Et nous pensons que vos 7 principes sont une excellente liste de contrôle pour commencer, car nous sommes partis des mêmes idées lors du développement de Savitas QR.

Savitas QR est une alternative frappante, simple, anonyme et sociale aux "applications de traçage" complexes. Grâce à la coopération volontaire, il place les personnes au premier plan plutôt que la technologie. Il est sur le marché depuis un mois maintenant et est disponible pour les entreprises qui veulent protéger leurs employés autant que possible et éviter un second verrouillage. Voir www.savitas.life.

Nous aimerions détailler notre approche par rapport à vos 7 principes :

1. Consentement et transparence

  • Toute décision individuelle de téléchargement et d'utilisation doit être entièrement volontaire.
  • Le code source complet de l'application devrait être disponible pour examen.
Mise en œuvre de Savitas QR :
Savitas
.io est un site web mobile qui montre un consentement régulier aux cookies. Il n'y a pas d'application du tout, pas de téléchargement et pas d'enregistrement. Ce n'est tout simplement pas nécessaire, donc ce n'est jamais vraiment justifié du tout. Tout le code source est disponible pour inspection dans deux dépôts github sur demande valide.

2. Objectif limité

  • Toute collecte de données doit être limitée au contrôle de la propagation de COVID-19 et ne doit pas être utilisée à d'autres fins - y compris l'application de la loi, la sécurité nationale ou le contrôle de l'immigration.
  • Il ne doit pas non plus être mis à la disposition d'un tiers ou à des fins commerciales.
La mise en œuvre de Savitas QR :
Nous sommes encore plus stricts que cela - Savitas QR n'a accès à rien, et n'enregistre rien d'autre qu'un journal des actions de scan abstrait. Il n'y a pas non plus d'identification anonyme des personnes, directe ou indirecte. Il n'y a donc rien qui puisse être transmis, ni aux gouvernements, ni aux acteurs commerciaux.

3. Anonymat

  • Il doit y avoir des preuves scientifiques transparentes qu'il est impossible de désanonymiser les données collectées, y compris en les combinant avec d'autres ensembles de données.
La mise en œuvre de Savitas QR :
Le rapport ("DPIA") d'une enquête complète de GDPR par les experts de Timelex en matière de protection de la vie privée est maintenant disponible. L'analyse complète sur ce sujet est incluse dans ce rapport.

4. Protection de la vie privée et des données par la conception

  • L'application doit être conforme à la GDPR et aux lois britanniques sur la protection des données, la protection de la vie privée étant au premier plan de sa conception.
  • Les données collectées doivent être le minimum nécessaire et être stockées en toute sécurité.
La mise en œuvre de Savitas QR :
La GDPR, le privacy-by-design et l'anonymat complet ont été à l'avant-garde de l'architecture et du design. Tout se passe dans le navigateur qui ne sait rien de l'utilisateur. Seules les actions de balayage abstraites sont suivies, dans la mémoire locale du navigateur du téléphone. Chez les personnes en bonne santé, aucune information ne quitte jamais le téléphone. Les participants malades peuvent volontairement mettre leurs actions de balayage à disposition pour être tracées.

5. Surveillance par des experts indépendants

  • L'application, la collecte et l'utilisation des données doivent être supervisées de manière indépendante par un régulateur habilité à faire appliquer ses décisions.
La mise en œuvre de Savitas QR :
Si une entité compétente était prête à le faire avec toute la diligence requise, par exemple dans le cadre d'un déploiement national, nous en serions particulièrement heureux. Malheureusement, jusqu'à présent, nous constatons surtout le contraire.

6. Délais

  • Les données et l'application doivent être soumises à une suppression obligatoire limitée dans le temps et/ou supprimées dès que cela est raisonnable après avoir atteint leur objectif déclaré.
La mise en œuvre de Savitas QR :
Toutes les données collectées sont en direct dans une fenêtre coulissante de 20 jours maximum, après quoi elles sont automatiquement supprimées car elles ne sont plus utiles pour la recherche. De plus, les navigateurs eux-mêmes sont très stricts et effacent toutes les données locales quelques jours après la dernière visite sur le site web (ou le scan Savitas QR) : 7 jours pour iOS et 10 pour Android. L'utilisateur peut à tout moment effacer lui-même la mémoire locale du navigateur.

7. Égalité et non-discrimination

  • La collecte et l'utilisation des données par l'application ne doivent pas avoir d'impact disproportionné sur un individu en raison de son statut particulier, tel que sa position socio-économique ou d'immigration, son âge ou ses origines ethniques.
  • Les avantages de l'application doivent être accessibles à tous, quel que soit le téléphone ou le smartphone dont ils disposent.
La mise en œuvre de Savitas QR :
Étant donné que la moindre information personnelle n'est pas demandée ou enregistrée, elle ne peut jamais être traitée ou divulguée.
Puisqu'aucune application téléchargeable n'est utilisée, l'application est accessible à tout le monde, à l'aide de n'importe quel smartphone, même sans compte Apple App Store ou Google Play. De plus, une application de scanner de codes QR n'est pas nécessaire, la fonction de balayage est également disponible sur le site web Savitas.io.

Chère Amnesty, pour les gouvernements qui - pour quelque raison que ce soit - veulent mettre un pied dans la porte de la vie privée de leurs citoyens, les applications de recherche de contacts sont une opportunité rêvée et rarement vue, comme vous le démontrez à juste titre. Et même si les bonnes intentions prédominent dans les premières versions, le risque demeure dans les mises à jour automatiques qui peuvent grignoter les protections petit à petit dans une période moins attentive. 

Nous pensons que de tels risques sont totalement inutiles pour l'objectif poursuivi et avons donc toujours refusé de les prendre. Nous vous invitons à vérifier de manière indépendante nos affirmations ci-dessus et espérons que vous pourrez nous inclure dans vos publications pour rappeler aux citoyens que santé et vie privée peuvent parfaitement aller de pair.

Bien à vous, au nom de l'équipe QR de Savitas, 

-- Paul Carpentier, co-fondateur d'Esoptra

(*) https://www.amnesty.org/en/latest/news/2020/06/bahrain-kuwait-norway-contact-tracing-apps-danger-for-privacy/ 

(**) https://www.amnesty.org.uk/coronavirus/7-principles-contact-tracing-app-rollout 

Paul Carpentier, Savitas QR


Télécharger :

Plus d'informations