Pourquoi SwissCovid doit utiliser les services d’Amazon en Allemagne
Technologie
La Confédération utilise un centre de données d’Amazon en Allemagne pour le fonctionnement de l’application suisse de traçage des contacts. L’EPFL assure que la multinationale américaine n’a en aucun cas accès à des données personnelles
Modifié vendredi 5 juin 2020 à 08:23
Présentée initialement comme une solution 100% suisse, l’application de traçage des contacts SwissCovid ne l’est pourtant pas totalement. Car la Confédération doit utiliser les services d’Amazon, dans un centre de données situé à Francfort, pour faire fonctionner son app destinée à contribuer à la lutte contre le virus. Cette annonce n’a pas été du goût des voix critiques de SwissCovid, qui craignent pour la protection des données. Mais celle-ci n’est nullement compromise par cette collaboration avec la multinationale américaine, assure l’EPFL.
SwissCovid, actuellement testée par plusieurs dizaines de milliers de Suisses, a été conçue par l’EPFL. Et pour la faire fonctionner, la Confédération fait appel à Amazon. C’est par une petite phrase, prononcée mercredi matin par le conseiller aux Etats socialiste saint-gallois Paul Rechsteiner, qu’on l’a appris: «Il y a une coopération avec Amazon Allemagne à Francfort pour l’examen des contacts, car l’infrastructure de l’OFIT, notre Office fédéral de l'informatique et de la télécommunication, n’est apparemment pas suffisante pour cela.» Un peu plus tard dans la journée, l’agence de presse ATS écrivait que «l’examen des données est réalisé par Amazon Allemagne».
Confusion
Ces informations ont semé la confusion. Car, sans cesse, depuis le début du projet SwissCovid, ses promoteurs ont répété que la solution décentralisée choisie en Suisse interdisait tout transfert de données hors du téléphone. Du coup, pourquoi des données seraient-elles transmises à l’étranger, qui plus est chez une multinationale américaine?
Contactée jeudi, l’EPFL affirme que la phrase de Paul Rechsteiner n’était pas précise. «Il n’y a aucun traitement de données sur les serveurs d’Amazon, assure un porte-parole de l’école. Il s’agit uniquement d’un service dit de «content delivery network» (CDN), c’est-à-dire un système qui permet d’optimiser le téléchargement de la liste des clés chiffrées lorsque les applications en font la requête.» Ces clés sont générées régulièrement par les applications SwissCovid et elles sont totalement anonymes: toutes les deux heures, les apps téléchargent la liste des clés temporaires afin de les comparer avec les clés recueillies durant les jours précédents lors de contacts de proximité avec d’autres personnes utilisant l’app.
Uniquement des clés
Concrètement, poursuit le porte-parole de l’EPFL, «le rôle d’Amazon dans ce processus est de permettre le téléchargement de la liste par un nombre important d’utilisateurs, simultanément». Et cela pourra être utile si plusieurs millions de Suisses installent SwissCovid. «Ce que «voient passer» les machines d’Amazon, ce sont donc uniquement les clés temporaires chiffrées des personnes contagieuses. Il n’existe aucun moyen de connecter ces clés aux utilisateurs», assure encore le porte-parole.
Mais pourquoi faire appel à Amazon plutôt que d’utiliser des ressources informatiques en Suisse? «C’est beau de développer une technologie en Suisse – merci l’EPFL –, d’avoir une infrastructure décentralisée, mais de quand même finir chez Amazon. Tout va bien durant le marathon, mais on s’écrase au dernier kilomètre. Quel dommage…», écrivait mercredi sur Twitter François Charlet, juriste spécialisé en droit, criminalité et sécurité des technologies.
Lire aussi: Avant le feu vert officiel, SwissCovid a été téléchargée plus de 50 000 fois
«Une procédure normale»
Apparemment, de telles ressources informatiques n’existent pas en Suisse, comme le suggère un porte-parole de l’Office fédéral de la santé publique (OFSP): «Le système de récupération des clés des personnes infectées est géré par l’OFIT, mais utilise – en accord avec le préposé fédéral à la protection des données – le système Cloudfront d’Amazon pour la distribution du contenu. En effet, les volumes de données à traiter nécessitent un réseau de distribution de contenu fourni par un tiers. La Confédération utilise d’ailleurs ce service depuis 2017 pour différentes utilisations.»
Mercredi, l’OFSP affirmait déjà au site d’information alémanique Nau.ch que faire appel à une entreprise étrangère était courant: «C’est une procédure normale qui est également utilisée pour d’autres applications dans l’environnement fédéral telles que Geo.admin.ch.» Selon l’OFSP, la solution d’Amazon offre «un équilibre approprié entre vie privée et résilience».
Reste que faire appel à Amazon sera sans doute un argument utilisé par les détracteurs de l’app pour la critiquer, d’autant que la collaboration avec Google et Apple – destinée à faire fonctionner l’app de manière optimale – est déjà pointée du doigt par certains. Le lancement de SwissCovid pour tous est prévu entre mi- et fin juin.
