Coronavirus et confidentialité: le système SPID est le seul qui assure une protection complète des données personnelles

Entretien avec Davide D'Amico, ingénieur, membre du conseil d'administration de l'AIDR et cadre du MIUR

Bonjour Dr. D'Amico, nous traversons une période complexe pour l'urgence du coronavirus, même si récemment, il y a eu une amélioration du nombre d'hospitalisés. En tant qu'AIDR, vous avez été parmi les premiers à proposer une solution technologique de confinement et de surveillance des infections, qu'est-ce qui vous a poussé à créer cette application SOS ITALIA?

«L'AIDR est une association à but non lucratif visant à diffuser la culture numérique dans notre pays à laquelle participent différents professionnels, entreprises, fonctionnaires et gestionnaires publics. Étant donné le moment d'urgence particulier et l'expertise des associés, y compris également des entreprises internationalement reconnues, nous avons eu l'idée d'essayer de rassembler les compétences multidisciplinaires de l'AIDR pour réaliser quelque chose d'utile pour notre pays, et c'est ainsi est né SOS ITALIA. "

Il existe plusieurs solutions qui ont été présentées au ministère de l'Innovation, on parle de plus de 300 projets d'applications de gestion des urgences. Quels sont selon vous les avantages de l'application SOS ITALIA?

«L'application que nous avons conçue a une grande force qui doit être développée en partenariat avec SIELTE, qui est l'un des fournisseurs d'identité nationaux reconnus et certifiés par AGID. Ainsi, le principal avantage est que l'application est intégrée nativement dans SPID et est un logiciel open source. De plus, cela nous garantit également une infrastructure évolutive, capable de gérer un grand nombre de transactions et un support utilisateur adéquat, en termes de help desk, en cas de problème. Ensuite, cette synergie avec un fournisseur SPID, a permis de concevoir immédiatement une solution qui réduirait les données nécessaires lors de l'accès, en les limitant à celles réellement utiles pour la fonctionnalité de l'application, en appliquant la «vie privée» de manière concrète et efficace par conception ". Évidemment, nous avons également prévu d'autres méthodes d'accès telles que OTP et via les médias sociaux, mais surtout, si SOS ITALIA est choisi, il est dit qu'il sera activé et dépendra des décideurs politiques. "

Sur les réseaux sociaux, de nombreuses discussions ont également mis en évidence de fortes inquiétudes concernant la vie privée. Pourquoi et comment avez-vous résolu ce problème?

«Nous ne pouvons pas nous cacher derrière un doigt. En ce qui concerne la traçabilité des données des utilisateurs, le contrôle des mouvements, on entre dans le sujet de la protection des données personnelles, qui dans ce cas sont également des données sensibles sur lesquelles une attention particulière doit être portée. Cela dit, nous ne devons pas penser que la vie privée est un obstacle au développement de solutions technologiques qui protègent le droit à la santé. Nous avons un fort besoin de données pour pouvoir gérer l'urgence, car les données peuvent être utilisées, même au niveau macro, pour pouvoir prendre des décisions basées sur une connaissance objective du contexte.

Surtout dans une situation d'urgence comme celle-ci, s'il est vrai que nous ne devons pas dépasser avec les données, il est également vrai que nous ne pouvons pas les avoir. Nous devons donc utiliser les règles prévues par le RGPD et les indications méthodologiques associées, pour créer des applications logicielles respectant les principes de la protection des données des citoyens. En ce sens, comme je l'ai déjà dit, nous avons utilisé des méthodes de développement qui prennent en compte la "vie privée dès la conception" et l'analyse des risques sur les données collectées, identifiant des solutions d'anonymisation particulières et la possibilité de définir le calendrier de conservation en amont ".

Qu'entendez-vous par anonymat?

«Par exemple, tout le monde n'a pas besoin d'avoir accès aux données des utilisateurs et de voyager. Il est possible de crypter les données avec une clé publique et de les conserver (dans une base de données gouvernementale ou fournisseur) puis de les laisser, en cas de besoin d'une éventuelle contagion d'un individu, par exemple à une autorité sanitaire (qui possède la clé relative privé et en charge du traitement des données dans le but de réduire la contagion et de protéger la santé des citoyens) la tâche de déchiffrer les données de voyage et de prendre toutes les mesures nécessaires. En effet, si nous devons vraiment dire tout le fait de penser immédiatement à la question de la vie privée, cela garantit non seulement une protection des droits des citoyens sur les données, mais aussi une meilleure conception et développement de l'application logicielle au plein avantage de la qualité, également en ce qui concerne sécurité, ce dernier étant très chaud ces jours-ci. De ce point de vue, SIELTE nous offre également de nombreuses garanties pour l'expérience acquise dans le domaine SPID. "

D'après ce que nous avons vu dans la démo de l'application SOS ITALIA, il est également possible de remplir une auto-déclaration numérique des mouvements via un formulaire numérique avec "QR CODE" qui peut ensuite être montré à la police. Pour le moment, cependant, la certification est sur papier.

"Vous avez bien vu, nous avons fourni une fonction numérique pour la compilation de l'auto-déclaration, une solution que nous connaissons aujourd'hui a également mis en place en France. Nous savons également qu'en Italie, ce n'est pas prévu pour le moment. Cependant, il faut penser à réduire le timing des contrôles de police et lire un "QR CODE" sur le téléphone portable d'un citoyen et cliquer sur un bouton qui certifie le contrôle effectué par l'autorité, c'est une opération qui ne prend que quelques secondes et cela aide également à réduire tout trafic pouvant être créé pour ces contrôles. De plus, à notre avis, disposer d'une plateforme numérique permet d'assurer le traitement, le lieu et le moment du stockage des données personnelles et sensibles des citoyens, dans le respect de la loi sur la vie privée. "

Nous ne parlons toujours pas explicitement du retour à la normale mais nous parlons de la réouverture progressive du pays après les 10 premiers jours de mai. À quel moment l'application sera-t-elle diffusée?

"Il a bien fait de me poser cette question, car AIDR et SIELTE, avec leurs partenaires, ont étudié les différents scénarios de retour à la normale pendant des jours et le font également en examinant ce que les pays éloignés de nous comme la Chine ont réalisé et la Corée du Sud. Je ne peux pas trop les anticiper, le thème est extrêmement complexe. Disons qu'il est nécessaire d'activer des fonctionnalités qui assurent la distanciation sociale, au moins dans une première phase, en fournissant toutes ces informations utiles pour faire perdre peu de temps aux citoyens ou pour réduire les déplacements inutiles. Le mot clé est d'agréger les services, des soins de santé aux services financiers et commerciaux. Activer une gestion efficace des rangées dans les établissements commerciaux (pourquoi pas aussi en réservant l'heure et la date d'entrée via l'application, avec priorité, par exemple, qui privilégie la distance de résidence par rapport à l'établissement commercial). L'autre thème est de surveiller en permanence l'état de santé (autodiagnostic et diagnostic au niveau territorial le plus proche du domicile du citoyen). Ici, le sujet est plus complexe et nous espérons que même dans le domaine des capteurs médicaux, des réponses pourront être obtenues le plus rapidement possible. Le secret est de faire face à la post-urgence compte tenu des aspects culturels, sociaux et réglementaires ainsi que du comportement des individus dans notre pays, qui sont très différents de ceux des pays asiatiques. En tant qu'AIDR, cependant, nous espérons pouvoir apporter une contribution dans ce sens et c'est pourquoi nous continuons de nous engager à regarder vers l'avenir avant le présent. "

Coronavirus et confidentialité: le système SPID est le seul qui assure une protection complète des données personnelles