TraceTogether est un échec, faute d’une adoption assez importante et d’une utilisation en arrière-plan, empêchée par Google et Apple. Alors les autorités de Singapour ont mis au point une nouvelle application, comptabilisant cette fois-ci les entrées et le temps passé dans des lieux publics.
Nombreux sont ceux qui ont érigé Singapour en modèle. Dès le 20 mars, la cité-Etat a lancé son application de contact tracing pour lutter contre la propagation du SARS-CoV-2. TraceTogether, c’est son nom, obéissait à un fonctionnement relativement similaire à celui que devrait suivre notre StopCovid national : via le Bluetooth des smartphones des citoyens ayant installé l’application, les terminaux, lorsqu’ils sont à proximité, s’échangent des identifiants. Et si dans l’historique d’identifiants ainsi constitués se trouve l’identifiant d’une personne diagnostiquée positive au coronavirus, les utilisateurs en sont notifiés et il leur est conseillé de se faire dépister et/ou de rester confiner.
Sur le papier, ce système fait rêver et pourtant... TraceTogether est un échec. Le 6 avril, Singapour a été obligé de confiner sa population, d’abord jusqu’au 4 mai, date désormais reportée. Première mise en cause, la “faible” adoption de l’application de proximity tracing, puisque seulsement 1,1 million de personnes, soit 17% de la population singapourienne, l’ont téléchargée. Des chiffres qui pourraient plaider en faveur d’une obligation de téléchargement, mais ce serait ignorer le fait que les lois de Singapour permettent à l’Etat d’exploiter les données de localisation de ses citoyens.
Une app par pays
Surtout, TraceTogether se passait, comme le veut le gouvernement français, des protocoles mis au point par Google et Apple. Sauf que, sur iOS et dans une moindre mesure sur Android, les applications tierces ne peuvent utiliser le Bluetooth lorsqu’elles fonctionnent en arrière-plan ou lorsque le terminal est verrouillé. Ce qui réduit sensiblement l’efficacité des applications de proximity tracing.
Les deux géants ont mis au point des API permettant aux développeurs d’applications de proximity tracing de contourner ces mécanismes, et travaillent sur des mises à jour de leurs systèmes d’exploitation respectifs. Ces derniers jours, ils ont publié des ressources supplémentaires, telles que des échantillons de code, des exemples d’UI et, surtout, les politiques afférentes à cette Exposure Notification API, rebaptisée Contact Tracing API.
En substance, ces nouvelles règles stipulent que les applications utilisant l’API doivent être développées par, ou pour le compte, des autorités sanitaires gouvernementales, et seulement dans le cadre de la lutte contre le SARS-CoV-2, que le consentement des utilisateurs doit être recueilli et les informations collectées doivent être restreintes au minimum nécessaire. Accessoirement, les gouvernements doivent se limiter à une seule application de tracing sur leur territoire, et ne peuvent accéder, ni demander l’accès, aux services de géolocalisation du terminal.
QR Code imposé
Ces règles sont sans doute de nature à rassurer certains sur la surveillance gouvernementale, mais en ce qui concerne la collecte de ces données par Apple et Google, on repassera. A Singapour, le gouvernement n’a pas attendu la disponibilité de l’API pour lancer une nouvelle application. Mais cette fois-ci, celle-ci repose sur un QR Code, et non sur le Bluetooth. SafeEntry, développé par le Government Digital Services de Singapour, qui avait également développé TraceTogether, demande à l’utilisateur de scanner un QR code lorsqu’il entre dans certains lieux et en sort, QR code contenant des informations d’identification. Les checkpoints SafeEntry seront obligatoires pour tous les lieux accessibles au public dans les prochains jours, et on peut supposer que leur accès sera conditionné à l’utilisation du service.
