Pour que l’application de traçage du coronavirus de la Confédération remplisse sa fonction, les cas de COVID-19 doivent être vérifiés rapidement et en toute sécurité. L’authentification des professionnels autorisés est donc essentielle pour assurer le succès du traçage de proximité. L’architecte de solutions de HIN Aaron Akeret nous en donne un aperçu.
Aujourd’huil’application de la Confédération «SwissCovid» a été lancée en Suisse suite à une longue phase d’essais pilotes. La Suisse est l’un des premiers pays à disposer d’une application de traçage du coronavirus selon la norme «DP-3T». Pouvez-vous nous expliquer ce qu’elle a de si particulier?
Dans plusieurs pays, en particulier en Asie, il existe déjà des applications dont le but est de suivre et d’interrompre les chaînes d’infection. La particularité de l’application suisse est l’importance que ses créateurs attachent à la protection des données («privacy by design»). Grâce à l’approche décentralisée, aucune donnée susceptible de révéler l’identité d’un utilisateur particulier n’est stockée sur un serveur central. Le protocole «DP-3T» a été développé principalement en Suisse par les deux écoles polytechniques fédérales (EPF) de Lausanne et de Zurich. Il est important de noter que le système de traçage du coronavirus de la Confédération se compose de deux parties: l’application «SwissCovid» pour le grand public et l’application Web «Covidcode» pour les professionnels de santé.
Aaron Akeret
Aaron Akeret est ingénieur solution et responsable de projet chez Health Info Net SA (HIN). En plus de ses études d’informaticien d’entreprise HES, il dispose de plusieurs années d’expérience dans le domaine de l’informatique.
Nous reviendrons un peu plus loin sur le fonctionnement du système. Pouvez-vous d’abord nous expliquer le but de ce système de traçage du coronavirus?
Les cantons doivent garder une trace des personnes avec lesquelles les cas de coronavirus ont été en contact étroit, afin que celles-ci puissent être mises en quarantaine le plus rapidement possible et que de nouvelles infections puissent être évitées. Dans le jargon technique, on appelle cela le traçage de contacts («Contact Tracing»). Pour ce faire, les services médicaux cantonaux contactent les personnes qui ont été testées positives, identifient leurs contacts sociaux et leur demandent ensuite de s’isoler pendant dix jours – une procédure qui prend beaucoup de temps. L’application, en revanche, fonctionne selon l’approche du traçage de proximité («Proximity Tracing»). Elle avertit tous les utilisateurs de l’application qui sont entrés en contact avec un cas de COVID-19 pendant une période prolongée – dans l’idéal bien avant qu’ils ne soient contactés par le canton. L’application a pour but de soutenir le Contact Tracing manuel des cantons et de contribuer à interrompre les chaînes d’infection en permettant aux personnes potentiellement infectées de se faire tester à un stade précoce.
Qu’est-ce que cela a à voir avec HIN?
Si un utilisateur de l’application est testé positif au coronavirus, son cas doit être confirmé par un professionnel autorisé par le médecin cantonal. Dans le cas contraire, des personnes en bonne santé risqueraient de se déclarer malades dans l’application juste pour s’amuser et de déclencher ainsi de fausses alertes. L’authentification du personnel spécialisé autorisé est donc un facteur clé de succès. Les cas réels, quant à eux, doivent être rapidement et fermement identifiés comme tels afin d’interrompre efficacement les chaînes d’infection. En raison du facteur temps, le courrier ou le fax sont exclus d’emblée. C’est là que HIN entre en jeu. Grâce à l’utilisation généralisée des identités HIN (eID HIN) au sein du système de santé suisse, on peut les utiliser pour contrôler les accès de manière simple et sécurisée. HIN a connecté le système fédéral de traçage du coronavirus à la plate-forme HIN en très peu de temps. Les professionnels de santé autorisés utilisent donc leur login HIN habituel pour accéder au système.
L’eID HIN est la première identité électronique approuvée pour la connexion aux applications de l’administration fédérale, qui n’est pas délivrée par la Confédération elle-même.
Pour nos lecteurs qui s’intéressent à l’aspect technique: comment a été mise en place la connexion de l’eID HIN à l’infrastructure fédérale?
La connexion a été mise en place en utilisant le Federation Service HIN (FS). Un FS HIN permet à une entreprise ou une organisation – ici la Confédération – d’utiliser HIN comme système d’authentification décentralisé. De cette manière, l’ensemble de la communauté HIN est desservie en toute sécurité et dans le respect des règles de protection des données, y compris pour l’identification et l’authentification. Les utilisateurs autorisés peuvent ainsi accéder au système avec leur eID HIN via Single Sign-on. Cette solution a fait ses preuves dans le système de santé suisse et est également utilisée pour le dossier électronique du patient (DEP). Nous sommes particulièrement heureux que HIN ait été le premier fournisseur d’identité (IDP) «externe» à être approuvé pour l’infrastructure fédérale.
Pouvez-vous comprendre que de nombreuses personnes ont des inquiétudes quant à leur vie privée lorsqu’on leur demande de télécharger une «application de suivi des contacts» mise au point par le gouvernement?
Je peux parfaitement le comprendre. Chez HIN, la protection des données est inscrite dans l’ADN même de l’entreprise. Notre mission est de sensibiliser les professionnels de santé en Suisse à la protection des données. Il convient donc d’examiner d’un œil critique ce que l’on télécharge sur son smartphone et à qui l’on confie différentes données nous concernant. Le Préposé fédéral à la protection des données a donné sa «bénédiction» à la norme «DP-3T» de l’application suisse. Néanmoins, chacun doit décider par lui-même s’il souhaite utiliser une telle application et laisser la connexion Bluetooth allumée en permanence. Un certain risque résiduel ne peut jamais être exclu – ou comme le dit notre CEO: «Il n’y a pas d’assurance tous risques en matière de sécurité, il y a toujours une participation individuelle.»
Informations supplémentaires
- Informations de l’OFSP sur l’application Swiss PT
- Authentification forte basée sur les identités HIN
- Applications protégées par HIN
