Vous avez très probablement déjà entendu parler du « contact tracing » (suivi des contacts) dans le cadre d’une discussion ou d’un débat pour savoir si nous devrions ou non autoriser les gouvernements à utiliser nos téléphones comme dispositifs de traçage afin d’identifier et d’isoler les personnes infectées par le COVID-19.

Le “contact tracing” a fait irruption dans l’actualité quand Apple et Google ont annoncé une proposition de collaboration visant à utiliser la connectivité Bluetooth de nos téléphones, c’est-à-dire un signal radio de faible puissance, habituellement utilisé pour lier deux appareils entre eux, comme un téléphone et des écouteurs sans fil par exemple, pour enregistrer de manière anonyme tous les téléphones que nous croisons au fil de nos journées. Nos téléphones le font déjà dans une certaine mesure, en recherchant d’autres appareils Bluetooth. Cependant, ils ne tiennent généralement pas de registre de ces connexions potentielles.

Dans le cadre de cette proposition, nos téléphones sont censés enregistrer dans un fichier partagé chacun des centaines ou milliers de petits appels envoyés vers et par les autres téléphones via le Bluetooth. Ainsi, si une personne est diagnostiquée positive au Covid-19, ce fichier permettrait de remonter le temps pour voir avec qui elle a pu être en contact, et donc d’avertir les possesseurs des téléphones correspondants qu’ils ont potentiellement été exposés à l’infection.

Ensemble, tous ces téléphones seraient capables de commencer à dresser une carte, à la fois dans l’espace et dans le temps. C’est un peu comme si vous alliez sur Google Maps, que vous tapiez « Où étais-je le 3 mars ? » et que vous découvriez sur l’écran une ligne retraçant votre vie à l’envers, depuis votre chambre, dans votre voiture, hier, en faisant marche arrière en ville pour déposer un sac de courses au marché, et ainsi de suite, jusqu’à ce que la ligne se termine par un point qui vous montre dans le parc de votre quartier en train de regarder votre enfant glisser sur un toboggan.

Le service de « contact tracing » pourrait alors superposer cet itinéraire inversé à celui de toutes les autres personnes utilisant ce service. Lorsque votre chemin a croisé le mien jeudi dernier et que nous nous tenions à un mètre de distance dans la file d’attente devant notre boulangerie locale ? C’est un contact potentiel. Peut-être étiez-vous alors porteur du virus, peut-être de manière asymptomatique. Je ne pourrais pas savoir si vous m’avez transmis le virus ou si je vous l’ai moi-même transmis. Mais nous saurions tous les deux que nous devrions nous faire tester.

C’est la logique qui se cache derrière le « contact tracing ». Tant que nous n’aurons pas assez de tests pour tous les habitants de la planète, nous devrons être en mesure de savoir non seulement qui est malade, mais aussi qui a pu être contaminé. Nous pourrons alors isoler rapidement les personnes les plus à risque, et non les quelques 8 milliards d’habitants du globe.

En général, les experts, comme cette équipe d’éminents chercheurs d’Oxford, pensent que le « contact tracing » est plutôt une bonne idée. Et dans les pays où cette solution a été mise en œuvre de manière obligatoire, elle s’est avérée efficace.

Suite au douloureux souvenir de l’épidémie MERS en 2015, les autorités sanitaires sud-coréennes sont légalement autorisées à rassembler une panoplie de données très révélatrices une fois qu’une personne a été testée positive au COVID-19 : données de localisation GPS, paiements par carte de crédit, images de vidéosurveillance, documents de voyage et même dossiers médicaux. Ce qui dépasse de loin le suivi relativement limité suggéré par la proposition d’Apple et Google. Avec seulement 10 793 cas confirmés au 3 mai (7 300 le 8 mars), les sud-coréens ont réussi à briser la courbe de l’infection tandis que les États-Unis sont passés de 450 infections le 8 mars à plus de 1,2 million désormais.

On pourrait s’attendre à ce que chez Dashlane, compte tenu de notre position très ferme en matière de protection de la vie privée, nous soyons a priori contre tout ce qui permet à des tiers, en particulier des gouvernements, de surveiller les citoyens. Et dans l’ensemble, vous auriez raison : nous pensons que la vie privée est une composante des droits de l’homme, et c’est encore plus vrai dans le domaine des entreprises ou des pouvoirs publics.

Et en effet, le système d’alerte sud-coréen, qui révèle par SMS des informations personnelles spécifiques sur les personnes contaminées par le virus, a déjà conduit à des incidents troublants d’humiliation publique portant sur des choix personnels qui n’ont rien à voir avec la fait qu’une personne soit contaminée. Le système de « contact tracing » est peut-être impartial, mais il suffit de peu de choses pour inciter d’autres personnes à porter des jugements biaisés. Demander « Pourquoi vous promeniez-vous de nuit dans cette ruelle sombre ? » n’a rien à voir avec une exposition positive ou négative à un virus, mais essayez d’aller expliquer cela à une personne faisant preuve de curiosité mal placée.

De nombreux détracteurs du « contact tracing » se sont immédiatement intéressés aux impacts potentiels sur la vie privée si de telles solutions se retrouvaient entre les mains d’acteurs dangereux au sein des géants de la tech, de législateurs malveillants, ou même de pirates informatiques. Il s’agit là de préoccupations légitimes, nous sommes bien d’accord. Mais ils ont ignoré la raison pour laquelle cela ne fonctionnerait tout simplement pas aux États-Unis ou en Europe : le “contact tracing” n’est efficace que si plus de 60 % de la population adhère au programme.

Cela n’arrivera pas. Et je peux vous dire comment je le sais.

Nous avons une devise que nous répétons souvent lorsque nous nous adressons à nos partenaires B2B : « La sécurité est un problème d’expérience utilisateur ». En clair, en tant que « fournisseur de solutions de cybersécurité » (ou quel que soit le terme en vogue actuellement), nous avons appris au cours de la dernière décennie que nous pouvons vous vendre autant de licences de notre plate-forme de gestion des mots de passe que nécessaire, mais cela ne fera aucune différence pour votre sécurité si vos employés n’utilisent pas notre produit de bon cœur. Et ils apprécieront notre produit uniquement s’il est facile à comprendre, s’il améliore sensiblement leur vie quotidienne et s’il leur donne l’impression d’être capables de l’utiliser intelligemment. En résumé, il faut qu’ils aient une excellente expérience utilisateur.

Nous pouvons publier des livres blancs. Nous pouvons rédiger de la documentation de qualité. Nous pouvons publier des statistiques montrant à quel point un gestionnaire de mots de passe rend l’utilisation de l’Internet non seulement plus sûre, mais aussi plus rapide et plus facile. (Et nous faisons tout cela !) Mais si l’expérience utilisateur est mauvaise, tout cela sera en vain, comme tout responsable informatique ne le sait que trop bien.

Ainsi, en matière de « contact tracing », il convient de poser la question suivante : qu’apporterait cette proposition, non pas pour la société dans son ensemble, mais pour l’individu ? La réponse est loin d’être évidente. On pourrait suggérer la réponse suivante : aider une personne à se sentir bien en contribuant à la santé de la communauté.

Ce n’est pas une simple supposition. Nous avons un excellent exemple disponible : Singapour. Alors que les citoyens de ce pays tolèrent l’intrusion du gouvernement dans leur vie privée bien plus que dans la plupart des démocraties occidentales, seuls 16% de la population singapourienne consentait à télécharger l’application TraceTogether au 1er avril. Soit environ un cinquième de ce qu’il faudrait pour que le « contact tracing » soit efficace au départ.

Je suggère alors de poser une question plus pointue : que pourrait apporter une application de « contact tracing » à un individu qui ne se soucie pas du tout de la communauté ? Ou pour utiliser une formule un tant soit peu démodée : quelle est la proposition de valeur pour l’utilisateur du « contact tracing » ? La seule manière de faire fonctionner le « contact tracing » est de faire en sorte que la valeur pour chaque individu soit si évidente qu’elle l’emporte sur ses préoccupations en matière de vie privée et, de façon plus réaliste, qu’elle l’incite à envisager de prendre part au programme.

Je n’ai malheureusement pas la réponse à cette question. Cependant, je pense qu’une conception personnalisée de l’application au niveau des utilisateurs sera un élément clé. Il est difficile d’amener une personne à se soucier d’hypothétiques personnes représentées uniquement par des concepts ou des chiffres. Par contre, il est beaucoup plus facile de lui rappeler qu’elle se soucie de ses proches et de ses voisins. Identifier le bon message pour expliquer pourquoi le « contact tracing » contribuerait à protéger les personnes réelles que vous connaissez et aimez doit sûrement faire partie de la solution. En outre, il faudrait également supprimer toute résistance à l’utilisation du “contact tracing”, que ce soit avant le téléchargement ou bien après l’installation. C’est tellement évident que cela mérite d’être constamment répété.

À Dashlane, nous ne souhaitons pas présenter notre solution uniquement comme un « remède », contrairement à l’approche empruntée par bon nombre d’acteurs dans le domaine de la sécurité. Et cela non parce que nous n’offrons effectivement pas un remède d’une certaine manière, mais parce que, comme tout parent le sait, se contenter de dire à quelqu’un de changer son comportement « parce que c’est bon pour lui » s’avère rarement efficace.

Par contre, si vous parvenez à inclure le remède dans quelque chose de plus attrayant, comme un jeu ou une récompense, alors le message passe beaucoup plus facilement. Tant que les entreprises et les gouvernements qui développent le « contact tracing » n’auront pas déterminé quelle forme pourrait prendre cette récompense, il y a peu de chances que cette solution soit mise en œuvre.