Apple a envoyé aux développeurs une première bêta d’iOS contenant la fameuse API Covid-19 qui a fait tellement débat chez les politiques français. La solution française, et de plusieurs autres pays, est d’avoir une solution centralisée donc récupérer toutes les données nécessaires depuis les téléphones. Apple et Google ont pris une approche opposée : on décentralise pour rester local, donc dans le téléphone et minimiser les échanges.

Les deux partenaires rappellent aussi que cette API est proposée nativement sur les deux systèmes (iOS et Android) pour les services de santé, les ONG, et les Etats. Cette solution est temporaire car une autre, plus profonde techniquement sera proposée, plus tard.

Le device iOS / Android envoie un signal Bluetooth avec un identifiant sécurisé (et qui change aléatoirement toutes les 10-20 minutes). Les devices dans la zone reçoivent le signal et émettent aussi leurs notifications. Une fois par jour (ou plus), le système récupère la liste des signaux vérifiés appartenant à des personnes positives au Covid-19. Le device va récupérer une liste de diagnostics positifs. Le système va alors comparer. S’il y a une correspondance, l’utilisateur pourra être / sera notifié et aura la démarche à suivre.

En soi, l’API ne sert à rien. Elle doit être intégrée dans une app mobile de tracing. L’avantage de l’API est de proposer une couche d’accès et de fonctionnement. Mais les deux éditeurs veulent aussi garantir la sécurité des utilisateurs et éviter toute possibilité d’identification. Et surtout, une partie du traitement reste local au téléphone.

Pour répondre aux questions, les deux constructeurs ont mis en ligne une FAQ.

Quelques points intéressants :

- l’API propose une approche commune à Android et à iOS

- l’utilisateur doit approuver les conditions d’utilisation

- disponibilité de la version finale en mai

- dans une seconde étape, Apple et Google introduiront dans l’OS même une couche dédiée au tracing en régulant strictement son accès

- le choix du local pour générer l’identifiant doit garantir l’anonymat et aucune donnée utilisateur ne doit être transmise à un serveur

- il est possible de désactiver les notifications

- Apple et Google insistent sur le stockage local (sur le device) des données. Aucune donnée n’est partagée par le système à l’autorité liée à l’application Covid-19

- Apple et Google ne récupèrent aucun identifiant ou information de localisation

- Apple et Google ne vont pas monétiser les données liés à l’API Covid-19

Après, à chaque pays, ministère de la santé, de faire le développement et l’implémentation.

François Tonic