Domaine technique La présente divulgation relève du domaine des équipements communiquant en réseau, en particulier ici pour aider à la limitation de la propagation d’une maladie contagieuse, par exemple virale.

Technique antérieure

Pour lutter contre la propagation d’un virus, comme le COVID19 notamment, il serait envisageable de suivre la position courante du terminal mobile d’une personne contaminée sur une carte géographique à partir de ses coordonnées de géolocalisation successives. Ce suivi de déplacement peut alors être communiqué à des tiers, afin que ceux-ci puissent éviter de se rendre dans des zones parcourues par le terminal mobile de l’utilisateur contaminé. Une telle réalisation présente un inconvénient lié notamment au défaut de confidentialité que représente la divulgation à des tiers des données de déplacement qui sont personnelles et propres à l’utilisateur contaminé. En outre, cette réalisation ne permet que de limiter d’éventuelles futures contaminations par la personne contaminée, sans permettre pour autant d’alerter les tiers qu’elle aurait pu croiser, et donc contaminer, avant d’être diagnostiquée comme étant contaminée. Enfin, si cette réalisation venait à être appliquée à grande échelle, la communication massive de coordonnées de géolocalisation, d’un nombre potentiellement très important de terminaux mobiles de personnes contaminées vers un encore plus grand nombre de terminaux mobiles à informer, peut surcharger les réseaux de télécommunications.

Exposé de l’invention

La présente description vient améliorer la situation.

Elle propose à cet effet un procédé, mis en oeuvre par des équipements en réseau, d’aide à la lutte contre la propagation d’une maladie contagieuse, le procédé comportant :

- sur réception d’une donnée de contamination par la maladie d’un premier utilisateur d’un premier terminal mobile, obtenir une liste comprenant au moins des données de positions géographiques successives du premier terminal sur une période de temps prédéterminée, et estimer à partir de ladite liste, au moins une région à risque de contamination par le premier utilisateur, et pour un deuxième terminal à disposition d’un deuxième utilisateur:

- obtenir au moins une donnée de position géographique du deuxième terminal pendant au moins ladite période de temps, et comparer la position géographique du deuxième terminal à la région à risque au moyen de ladite donnée de position géographique du deuxième terminal, - en cas de coïncidence selon un critère choisi, de la position géographique du deuxième terminal avec la région à risque, animer une interface homme-machine reliée au deuxième terminal pour signaler au deuxième utilisateur un risque de contamination.

Ainsi, l’estimation de la région à risque (globale) permet d’éviter de retenir les positions géographiques précises occupées par l’utilisateur du premier terminal, et préserver ainsi ses données personnelles. L’estimation de cette région à risque, globale, peut alors être communiquée à des terminaux tiers (tels que le deuxième terminal précité) avec relativement peu de données nécessaires à définir cette région. Il peut s’agir par exemple d’une ville ou d’un quartier d’une ville, ou encore de quelques quartiers seulement de cette ville, etc. Ainsi, la faible taille des messages qui sont transmis aux terminaux tiers tels que le deuxième terminal précité permet de préserver la bande passante d’un réseau de communication par lequel transitent ces messages. En outre, comme cette réalisation permet d’alerter des tiers qui ont pu être contaminés par l’utilisateur du premier terminal, ces tiers peuvent prendre des précautions pour éviter de contaminer à leur tour leur entourage, et rechercher rapidement un avis médical auprès d’un professionnel de santé pour un diagnostic précoce (par tests médicaux, auscultation, ou autre).

Dans un mode de réalisation de ce procédé :

- un serveur obtient ladite donnée de contamination du premier utilisateur avec la liste de données de positions géographiques successives du premier terminal pour estimer ladite région à risque, et transmet au deuxième terminal une notification comportant au moins une donnée de ladite région à risque, et

- le deuxième terminal stockant sa donnée de position géographique pendant au moins ladite période de temps, le deuxième terminal : ^* ignore la notification en cas de défaut de coïncidence de sa position géographique pendant ladite période de temps avec la région à risque, ou

^* anime ladite interface homme-machine en cas de coïncidence, selon le critère choisi, de sa position géographique pendant ladite période de temps avec la région à risque.

La notification précitée peut être transmise typiquement à plusieurs terminaux tiers tels que le deuxième terminal précité, en mode push. Cette notification indique la région à risque, globale, avec donc peu de données nécessaires comme indiqué plus haut (nom de ville, nom de quartier de ville, ou autre). Les terminaux tiers peuvent simplement ignorer cette notification s’ils ne sont pas concernés par la région à risque indiquée dans la notification (car situés dans une autre ville ou un autre quartier), ou, dans le cas contraire, vérifier plus précisément la coïncidence selon le critère choisi, précité, de leur position avec la région à risque avant de déclencher l’animation d’interface homme-machine alertant leur utilisateur du risque de contamination.

Dans une forme de réalisation, le premier terminal est configuré pour :

- stocker en mémoire ladite liste comprenant les données de positions géographiques successives du premier terminal sur la période de temps prédéterminée, selon un mode de type « première donnée entée/première donnée sortie » (appelé usuellement « FIFO »), et

- transmettre au serveur la donnée de contamination du premier utilisateur, avec les données de ladite liste stockée.

Un tel type de stockage permet de préserver la capacité de mémoire du terminal en ne conservant ces données que sur une fenêtre temporelle glissante dont la durée peut correspondre par exemple à la durée d’incubation de la maladie, plus quelques jours à titre de sécurité.

Dans un mode de réalisation, la liste comprend :

- des données de positions géographiques successives du premier terminal obtenues par géolocalisation, et - des identifiants respectifs de balises radiofréquences détectées à proximité du premier terminal.

Une telle réalisation permet de déterminer la région globalement à risque à partir des données de positions géographiques et d’affiner la détermination du risque en étudiant les identifiants de balises radiofréquences. En effet, ces balises radiofréquences peuvent être par exemple des bornes d’accès de type points d’accès « hotspot » Wi-Fi, Bluetooth ou autre, ou encore des passerelles domestiques en Wi-Fi, dont la couverture est seulement de quelques mètres (voire une dizaine de mètres au plus). Ainsi, si un terminal tiers a détecté une telle balise, dont l’identifiant est recensé dans la liste du premier terminal, pendant la période de temps prédéterminée, alors le risque de contamination de l’utilisateur de ce terminal tiers est davantage avéré.

Les identifiants précités de balises radiofréquences peuvent être typiquement des identifiants « SSID » (pour « Service Set Identifier ») de points d’accès. D’ailleurs, comme en général la position géographique de tels points d’accès est connue, la détection de ces points d’accès peut contribuer à obtenir des positions géographiques courantes du premier terminal pendant la période de temps prédéterminée, par exemple par triangulation des détections des différents points d’accès. De manière générale, les termes « obtenues par géolocalisation » ci- dessus désignent aussi bien une obtention des données de positions géographiques par triangulation ou par géolocalisation « classique » de type GPS (« Global Positionning System »).

Par ailleurs, on entend par « détectées à proximité » par exemple le fait qu’une puissance de signal de détection d’une balise, par le premier terminal, dépasse un seuil.

Dans une réalisation, l’estimation de la région à risque peut être obtenue par extrapolation à partir au moins des données de positions géographiques obtenues par géolocalisation. II peut s’agir par exemple d’une région autour d’un nuage de points définis par des positions géographiques du premier terminal pendant la période de temps prédéterminées ou encore d’un disque de rayon de quelques kilomètres par exemple autour d’une position moyenne, ou autre, comme on le verra plus loin en référence à la figure 4 commentée plus loin. Dans une réalisation, le critère choisi, précité, comprend alors :

- le fait qu’une position géographique du deuxième terminal est située dans la région à risque estimée par extrapolation, et

- le fait qu’un identifiant d’une balise radiofréquence détectée à proximité du deuxième terminal, est recensé dans la liste parmi les identifiants des balises radiofréquences détectées à proximité du premier terminal.

Dans une telle réalisation, le deuxième terminal stocke au moins un identifiant d’une balise radiofréquence détectée à proximité du deuxième terminal pendant ladite période de temps, ladite donnée de position géographique du deuxième terminal étant obtenue par géolocalisation et/ou par détection d’une balise radiofréquence à proximité du deuxième terminal pendant au moins ladite période de temps, et :

- le deuxième terminal ignore la notification si la position géographique du deuxième terminal pendant ladite période de temps est en-dehors de la région à risque estimée par extrapolation, et

- si la position géographique du deuxième terminal est dans la région à risque estimée par extrapolation, il est vérifié en outre si l’identifiant de balise radiofréquence détectée à proximité du deuxième terminal correspond à un identifiant de balise radiofréquence de la liste. Pour le deuxième terminal comme pour le premier terminal, en cas de détections simultanées de plusieurs balises radiofréquences à proximité du terminal, le terminal stocke l’identifiant de la balise radiofréquence détectée avec un signal de puissance maximale ou, comme indiqué précédemment, l’identifiant d’au moins une desdites balises radiofréquences détectées simultanément dont la puissance du signal détecté dépasse un seuil de puissance prédéterminé.

Dans un premier mode de réalisation, si la position géographique du deuxième terminal pendant ladite période de temps est dans la région à risque estimée par extrapolation, le deuxième terminal reçoit les identifiants de balises de la liste pour effectuer la vérification auprès du deuxième terminal. Dans un deuxième mode de réalisation alternatif, si la position géographique du deuxième terminal pendant ladite période de temps est dans la région à risque estimée par extrapolation, le deuxième terminal transmet au serveur ledit au moins un identifiant de balise radiofréquence détectée à proximité du deuxième terminal pendant ladite période de temps, pour effectuer la vérification auprès du serveur. Ce deuxième mode de réalisation permet d’éviter de communiquer au deuxième terminal les identifiants de balisées détectées par le premier terminal et de préserver ainsi les données personnelles de l’utilisateur du premier terminal. Dans un mode de réalisation, la liste du premier terminal comprend les données de positions géographiques successives du premier terminal, en correspondance d’horodates respectives d’occupation par le premier terminal desdites positions géographiques, et l’estimation de ladite région à risque de contamination comporte une détermination d’un trajet parcouru par le premier terminal pendant ladite période prédéterminée, et en cas de coïncidence selon le critère choisi, entre la position géographique du deuxième terminal et le trajet parcouru par le premier terminal, l’interface homme-machine reliée au deuxième terminal est animée pour signaler au deuxième utilisateur un risque de contamination. La région à risque estimée à partir de ce trajet parcouru par le premier terminal est illustrée à titre d’exemple sur la partie supérieure de la figure 4 commentée plus loin.

Dans une forme de réalisation, le procédé précité comporte en outre :

- déterminer des positions géographiques successives du deuxième terminal et stocker une deuxième liste de données desdites positions géographiques du deuxième terminal en correspondance d’horodates respectives des déterminations de position géographique du deuxième terminal,

- et comparer les données de la première liste aux données de la deuxième liste, pour vérifier si au moins une position géographique du deuxième terminal dans la deuxième liste coïncide selon le critère choisi avec une position géographique du premier terminal dans la première liste, à des horodates respectives proches selon un deuxième critère prédéterminé, et dans ce cas, animer l’interface homme- machine pour signaler au deuxième utilisateur un risque de contamination.

Le « deuxième critère prédéterminé » peut être tel que les horodates respectives sont identiques ou différentes avec une différence (de l’horodate du deuxième terminal moins celle du premier terminal) positive mais inférieure à une durée seuil. Cette durée seuil peut correspondre par exemple à une durée maximale de résistance du virus causant la maladie, sur une surface inerte (par exemple de 48 heures dans le cas du COVID19).

Dans une réalisation, le premier terminal émet à destination d’un serveur une demande de validation de la donnée de contamination du premier utilisateur, en correspondance d’une donnée de contact d’un terminal de professionnel de santé répertoriée auprès du serveur, et le serveur valide la donnée de contamination si le serveur reçoit en outre un code valide du terminal du professionnel de santé. Une telle réalisation permet de confirmer par un professionnel de santé la contamination de l’utilisateur du premier terminal, avant de déclencher les notifications push aux terminaux tiers.

Dans une forme de réalisation illustrée sur la figure 5 commentée plus loin, la région à risque est estimée par : a) calcul d’une position moyenne occupée par le premier terminal pendant ladite période de temps, pour déterminer un premier barycentre associé à une première zone à risque (par exemple un disque de rayon de quelques kilomètres autour du premier barycentre), b) exclusion du calcul de moyenne des positions éventuelles de la liste situées au- delà d’une distance seuil (par exemple une distance seuil fixe ou de quelques écarts-types) autour du premier barycentre et répétition du calcul de moyenne sans les positions exclues pour affiner la détermination du premier barycentre.

Dans une telle réalisation, pour déterminer une pluralité de zones à risque, les opérations a) et b) sont répétées avec les données exclues pour identifier au moins un deuxième barycentre associé avec une deuxième zone à risque (et ainsi de suite pour parvenir à une forme globale de région telle qu’illustrée sur la figure 5 par des hachures obliques).

La présente description vise aussi un programme informatique comportant des instructions pour la mise en oeuvre du procédé ci-avant, lorsque lesdites instructions sont exécutées par un processeur d’un circuit de traitement.

Elle vise aussi un support d’enregistrement non transitoire lisible par un circuit de traitement sur lequel est enregistré un programme informatique pour la mise en oeuvre du procédé ci-avant lorsque ce programme est exécuté par un processeur du circuit de traitement.

Les instructions de ce programme peuvent être distribuées auprès des terminaux et du serveur précités et, sur les terminaux, une partie de ce programme peut se présenter sous la forme d’une application installée dans les terminaux.

La présente description vise aussi un système pour la mise en oeuvre du procédé ci-avant, comportant le premier terminal mobile, le deuxième terminal et le serveur configuré au moins pour l’estimation de la région à risque de contamination. La présente description vise aussi un serveur pour la mise en oeuvre du procédé, et configuré en particulier au moins pour l’estimation de la région à risque de contamination.

La présente description vise aussi un terminal mobile pour la mise en oeuvre du procédé, en particulier configuré au moins pour transmettre au serveur les données de la liste de positions géographiques du terminal mobile et la donnée de contamination de l’utilisateur du terminal mobile.

La présente description vise aussi un terminal pour la mise en oeuvre du procédé, en particulier configuré au moins pour animer ladite interface homme-machine pour signaler à l’utilisateur du terminal un risque de contamination, en cas de coïncidence, selon le critère choisi, de la position géographique du terminal avec la région à risque.

Brève description des dessins

D’autres caractéristiques, détails et avantages apparaîtront à la lecture de la description détaillée ci-après, et à l’analyse des dessins annexés, sur lesquels :

- la figure 1 montre un système pour la mise en oeuvre de la présente description, ainsi que les premières étapes d’un procédé, dans un exemple de réalisation, dans lequel le serveur SER récupère du terminal mobile T1 de la personne contaminée au moins ses données de positions géographiques pour estimer une région à risque de contamination ;

- la figure 2 montre la suite des étapes du procédé de la figure 1 , dans laquelle le terminal T2 d’un tiers détermine notamment s’il est ou a été dans la région à risque, selon un premier mode de réalisation ;

- la figure 3 montre la suite des étapes du procédé de la figure 1 , dans laquelle le serveur SER détermine pour le terminal T2 du tiers notamment si ce terminal T2 est ou a été dans la région à risque, selon un deuxième mode de réalisation ;

- la figure 4 montre un premier exemple de réalisation pour déterminer la région à risque, à partir d’horodates successives de positions du terminal mobile T1 ;

- la figure 5 montre un deuxième exemple de réalisation pour déterminer la région un risque, à partir d’estimation de moyennes successives de positions du terminal

T1 ; - la figure 6 montre schématiquement un circuit de traitement d’un terminal T1 ou T2 pour la mise en oeuvre du procédé précité, dans un exemple de réalisation ; et

- la figure 7 montre schématiquement un circuit de traitement d’un serveur SER pour la mise en oeuvre du procédé précité, dans un exemple de réalisation. Description des modes de réalisation

En référence à la figure 1 , un système pour la mise en oeuvre du procédé présenté ci-avant peut comporter :

- un serveur SER, notamment pour estimer la région à risque de contamination,

- le terminal mobile T1 d’une personne contaminée, - un ou plusieurs terminaux T2 à disposition de tiers souhaitant être informés de la propagation de la maladie, afin de pouvoir prendre les mesures pour se protéger ainsi que leurs proches,

- et, dans l’exemple représenté, le terminal d’un professionnel de santé TPS.

Ces différents équipements sont reliés par un ou plusieurs réseaux de communication RES.

Lors d’une première étape S1 , le terminal mobile T 1 collecte les différentes positions géographiques qu’il occupe successivement et stocke en mémoire des données de ces positions géographiques en correspondance d’horodates respectives HR à l’étape S2. Dans une forme de réalisation particulière, le terminal T1 collecte et stocke en outre en mémoire des identifiants ID(BR) de balises radiofréquences détectées par le terminal T1 sur son parcours, en correspondance d’horodates HR.

La collecte des identifiants ID(BR) peut être exhaustive (i.e. les identifiants de toutes les balises radiofréquences détectées sont mémorisés). Cependant, de manière avantageuse, seuls les identifiants des balises radiofréquences jugées les plus pertinentes, parmi les balises détectées, sont collectés et mémorisés. Par exemple, si le terminal T1 détecte plusieurs balises radiofréquences simultanément, le terminal T1 peut ne collecter les identifiants que des balises dont la puissance de signal est maximale (par exemple des N balises dont la puissance de signal est la plus grande), ou encore ne collecter les identifiants que des balises dont la puissance du signal reçu par le terminal T1 est supérieure à un certain seuil, et ce afin de ne pas encombrer la mémoire de stockage du terminal T1 avec un nombre trop important de données. Les données de positions géographiques peuvent être obtenues par des moyens classiques comme une géolocalisation (GPS) au moyen d’un module de géolocalisation du terminal T1 , ou une triangulation sur plusieurs bornes d’accès au réseau cellulaire, ou encore, en complément ou en variante, à partir de positions connues a priori des balises radiofréquences que le terminal T1 détecte pendant son déplacement.

L’ensemble de ces données (positions géographiques Pos(GPS) et identifiants de balises radiofréquences détectées ID(BR)) sont stockées en correspondance des horodates successives HR, sous la forme d’une liste LIST, dans une mémoire de type FIFO (First In/ First Out ou « premières données entrées/premières données sorties »), toujours en vue de ne pas saturer la mémoire de stockage du terminal T1. En effet, ce type de stockage convient bien pour un enregistrement selon une fenêtre temporelle glissante, cette fenêtre temporelle pouvant correspondre par exemple à la durée d’incubation de la maladie, plus quelques jours. Ainsi, il est possible de déterminer le parcours du terminal mobile T1 , sur une période de temps prédéterminé PTP, et d’estimer alors une région à risque de contamination en fonction de ce parcours, comme on le verra plus loin en référence aux figures 4 et 5 décrites plus loin.

Pour collecter et stocker ces différentes données, une application spécifique est installée sur le terminal T 1 , cette application pouvant être exécutée en tâche de fond (sans que cette exécution n’apparaisse à son utilisateur).

En référence maintenant à l’étape S3 de la figure 1, ici, lorsque l’utilisateur du terminal mobile T1 commence à ressentir les symptômes de la maladie (flèche O en sortie du test S3), il peut consulter un professionnel de santé (porteur du terminal TPS). À l’étape S4 le professionnel de santé confirme la contamination de l’utilisateur du terminal T1 (flèche O en sortie du test S4).

L’utilisateur du terminal T1 utilise alors une interface homme machine de son terminal T 1 pour exécuter une routine de l’application précitée, consistant à déclarer sa maladie auprès du serveur SER, en transmettant les données de la liste des positions géographiques et des identifiants de balises radiofréquences à l’étape S5, ainsi qu’une donnée de contamination de l’utilisateur par la maladie.

À l’étape S6, le serveur SER stocke alors les données de la liste propre au terminal mobile T 1 , lesquelles seront utilisées comme décrit plus loin. Dans un mode de réalisation particulier, décrit par l’exemple illustré en figure 1 , outre les données de cette liste, le terminal T1 émet également une requête REQ de validation du diagnostic du professionnel de santé, à destination du serveur SER.

Sur réception de la requête REQ, le serveur SER génère un code CODE qu’il renvoie à l’étape S7 au terminal T1. Ce code peut être par exemple une suite de caractères et/ou de chiffres que l’utilisateur du terminal T1 montre ou communique oralement au professionnel de santé. A l’étape S8, si le professionnel de santé valide bien la contamination de l’utilisateur du terminal T1 , il émet le code précité par son terminal TPS, à destination du serveur SER. À cet effet, une application spécifique est installée aussi sur le terminal du professionnel de santé TPS et le professionnel de santé lance l’exécution de cette application lorsqu’il confirme la contamination du patient utilisateur du terminal T 1.

À l’étape S9, le serveur SER reçoit le code CODE du terminal du professionnel de santé TPS et vérifie que : - d’une part, le code est bien envoyé depuis un terminal reconnu comme étant celui d’un professionnel de santé, et,

- d’autre part, que ce code est bien valide pour le terminal T1 , de sorte que les données de la liste reçues du terminal T1 peuvent être effectivement utilisées pour estimer la région à risque de contamination REG. Les données de la liste propre au terminal T1 peuvent alors être utilisées pour estimer la région à risque de contamination. Comme on le verra plus loin, cette région n’est pas déterminée simplement par les points précis des positions géographiques du terminal T1 , mais il s’agit d’une région plus large incluant ces points. Une telle réalisation permet notamment de ne pas risquer de divulguer précisément le parcours d’un terminal d’un utilisateur (pour préserver ses données personnelles typiquement).

Ensuite, le procédé peut se poursuivre optionnellement par l’acquisition, à l’étape S10, de nouvelles données de positions géographiques du terminal T1 et d’identifiants de de balises radiofréquences détectées successivement. Une telle réalisation permet de mettre à jour l’estimation de la région à risque à l’étape S11.

En référence maintenant à la figure 2, des terminaux T2 de tiers exécutent également une application spécifique afin d’être tenu informés de la propagation de la maladie, et ainsi pouvoir limiter la contamination, comme suit. Il peut s’agir notamment, mais non nécessairement, de terminaux mobiles (e.g. smartphones) dans lesquels l’application spécifique a été installée. À l’étape S20, chaque terminal T2 stocke également dans une mémoire selon un mode FIFO les données d’une liste de positions géographiques occupées par le terminal T2, ainsi que des identifiants de balises radiofréquences détectées par le terminal T2 pendant une période de temps prédéterminée PTP (typiquement la durée d’incubation de la maladie, plus quelques jours, comme décrit précédemment pour le terminal T1), similairement à ce qui est effectué par le terminal T 1.

À l’étape S21, après avoir estimé la région à risque propre au terminal T1 (et optionnellement après avoir validé en outre le code propre à un utilisateur de ce terminal mobile T1), le serveur SER émet une notification en mode « push » à tous les terminaux T2 dans lesquels l’application précitée est installée, cette notification comportant une information de la région à risque de contamination qui a été estimée par le serveur SER pour le terminal T1. Chaque terminal T2, recevant cette notification, détermine à l’étape S22 si, dans la liste de ses positions géographiques enregistrées à l’étape S20, une au moins des positions enregistrées est incluse dans la région à risque. Si tel n’est pas le cas (flèche N en sortie du test S22), le terminal T2 ignore cette notification à l’étape S23 et se tient prêt à recevoir d’autres notifications éventuelles. Sinon (flèche O en sortie du test S22), dans un premier mode de réalisation illustré sur la figure 2, le terminal T2 requiert du serveur SER les identifiants de balises radiofréquences détectées par le terminal T1 pendant la période de temps prédéterminée PTP et éventuellement de nouveaux identifiants acquis à l’étape S10 de la figure 1. Le serveur SER transmet alors au terminal T2 ces identifiants à l’étape S25, et le terminal T2 peut déterminer alors à l’étape S26 s’il existe au moins un identifiant de balise radiofréquence commun entre la liste du terminal T1 et la liste que stocke le terminal T2, en particulier à une horodate identique ou proche. Cette situation signifie que le terminal T2 a détecté la même balise radiofréquence que le terminal T1 à la même horodate, ou à une horodate proche. Ces balises radiofréquences sont par exemple des bornes d’accès (type « hotspot ») Wi-Fi, Bluetooth, ou autre, ou encore des passerelles domestiques en tant que points d’accès en Wi-Fi. Ainsi, la portée d’une telle balise radiofréquence est généralement de quelques mètres (une dizaine de mètres au plus). Si le terminal T2 a détecté la même balise radiofréquence que le terminal T1 à la même horodate, alors l’utilisateur du terminal T2 a croisé l’utilisateur du terminal T1 (qui est contaminé et en période d’incubation) dans un petit périmètre limité à quelques mètres.

Le risque de contamination de l’utilisateur du terminal T2 est alors avéré. On entend ici par « horodate proche » le fait que les horodates sont identiques ou différentes avec une différence (de l’horodate du terminal T2 moins celle du terminal T1) positive mais inférieure à une durée seuil THR qui peut correspondre par exemple à la durée de vie du virus responsable de la maladie sur une surface inerte (par exemple estimée comme pouvant aller jusqu’à 48 heures pour le COVID19 sur une surface métallique).

Dans ce cas alors, à l’étape S27, l’application installée sur le terminal T2 anime l’interface homme-machine du terminal T2 pour signaler à l’utilisateur du terminal T2 un risque de contamination. On relèvera que le terminal T2 n’accède aux données d’identifiants de balises que si la présence du terminal T2 dans la région à risque est confirmée et ce afin de préserver des données personnelles de l’utilisateur du terminal T1. En outre, la vérification des identifiants de balises à l’étape S26 est effectuée par le terminal T2 à l’insu de son utilisateur et l’utilisateur n’est averti qu’avec l’animation de l’interface homme-machine à l’étape S27 conditionnée par la détection d’un identifiant de balise commun parmi les listes des terminaux T1 et T2. Une telle réalisation permet de préserver autant que possible les données personnelles de l’utilisateur du terminal T 1.

En référence maintenant à la figure 3, les mêmes références numériques d’étapes que celles de la figure 2 désignent les mêmes étapes (ou des étapes similaires). Ici, le terminal T2 transmet les identifiants de balises radiofréquences de sa liste au serveur SER à l’étape S34 si auparavant le terminal T2 a identifié qu’une au moins des positions géographiques de sa liste est située dans la région à risque (flèche O en sortie du test S22). Dans ce cas, le serveur SER réalise le test S26 pour le terminal T2, et s’il est positif (flèche O en sortie du test S26), le serveur SER envoie au terminal T2 une message que l’application installée sur le terminal T2 identifie pour animer l’interface homme-machine du terminal T2 afin de signaler à son utilisateur un risque de contamination à l’étape S27.

Une telle réalisation permet ici d’éviter de fournir au terminal T2 les identifiants de balises radiofréquences détectées par le terminal T1 , et de préserver ainsi complètement les données personnelles de l’utilisateur du terminal T1. En outre, une telle réalisation permet de préserver les ressources du terminal T2, en laissant au serveur SER la tâche consistant à réaliser les comparaisons d’identifiants de l’étape S26. Dans un mode de réalisation particulier, les notifications incluant une donnée sur une région à risque de contamination sont envoyées à l’ensemble des terminaux T2 dans lesquels l’application spécifique ci-avant a été installée, l’opérateur du réseau RES ayant la connaissance de cet ensemble de terminaux T2. Cependant, comme cette application spécifique, en cas d’épidémie, a vocation à être déployée auprès d’un grand nombre de terminaux T2, il est possible de limiter les envois en mode push à un nombre restreint de terminaux T2 parmi l’ensemble des terminaux ayant installé l’application, afin de préserver la bande passante du réseau RES. À cet effet, les terminaux T2 peuvent remonter au serveur SER, par exemple périodiquement, une position géographique moyenne qu’ils occupent et le serveur SER peut envoyer la notification en mode push aux seuls terminaux T2 qui ont occupé une position géographique moyenne incluse dans la région à risque pendant la période de temps prédéterminée.

On se réfère maintenant à la figure 4 pour décrire des modes de réalisation possibles pour estimer la région à risque de contamination. Dans l’exemple présenté dans la partie supérieure de la figure 4, le terminal T1 occupe différentes positions géographiques dans le temps : Pos(t1), Pos(t2), Pos(t3), etc., et détecte sur ce parcours différentes balises radiofréquences BR1 , BR2, BR3, BR4, BR5, etc. Le terminal T 1 stocke en mémoire ces différentes positions et les identifiants de ces balises (par exemples leur identifiant SSID pour « Service Set Identifier » lorsque la balise radiofréquence est un point d’accès Wifi) pour constituer la liste précitée, destinée à être transmise au serveur SER.

Dans un mode de réalisation illustré sur le haut de la figure 4, le serveur SER estime la région susceptible d’avoir été contaminée par l’utilisateur du terminal T1 comme suit : - un rayon (de quelques centaines de mètres ou de kilomètres) est affecté autour de chaque position Pos(t1), Pos(t2), Pos(t3), etc. de la liste, constituant ainsi des zones en forme de disques à risque de contamination, et

- les différentes zones sont reliées par extrapolation en formant globalement ladite région à risque de contamination (représentée par des hachures obliques sur la figure 4).

A titre illustratif, on a représenté en traits pointillés, pour les balises BR4 et BR5, leur portée de détection par le terminal T 1 , pour montrer que leur zone de couverture en portée (quelques mètres) est bien inférieure à la surface de la région estimée (quelques kilomètres de large). Bien entendu, la figure 4 n’est pas présentée à l’échelle à cet égard.

Pour éviter de saturer la mémoire du terminal T 1 et/ou préserver la bande passante du réseau RES lorsque le terminal T1 communique ses données au serveur SER, le terminal T1 peut stocker périodiquement sa position géographique (ou une position géographique moyenne) et/ou les identifiants de balise, par exemple toutes les heures, ou toutes les demi-heures, selon un degré de confiance souhaité en rapport avec la virulence de la maladie par exemple.

En complément ou en variante, le serveur SER, lui-même, peut déterminer une position géographique moyenne du terminal T1 , par intervalle de temps t1 , t2, t3, etc. et estimer ainsi une zone de contamination possible autour de cette position moyenne.

En effet, en se référant à la figure 4 en bas à gauche, il apparaît que si le terminal T1 a occupé des positions géographiques successives dans une même zone générale, la région à risque de contamination peut être définie simplement dans un rayon prédéterminé autour de ces positions géographiques. Cette région peut se présenter alors comme une « ovale » fermée autour de ces positions comme illustré en bas à gauche de la figure 4, plutôt que comme un « cylindre tordu » comme illustré en haut de la figure 4. Dans l’exemple en bas à gauche de la figure 4, on considère ainsi que la région à risque peut être définie par un rayon minimum (par exemple de quelques kilomètres) contenant toutes positions géographiques stockées du terminal T1 durant la période de temps prédéterminée.

En bas à droite de la figure 4, on a illustré une situation extrême dans laquelle la région à risque de contamination est estimée simplement : - en calculant une moyenne des positions géographiques, résultant en un barycentre G entre ces positions, et

- en affectant à ce barycentre G un disque de rayon prédéterminé R autour du barycentre G. Dans ce cas, la région à risque de contamination est déterminée simplement par le disque de rayon R autour du barycentre G. La donnée de la région à risque insérée dans la notification à transmettre par le serveur SER aux terminaux T2 peut alors simplement comprendre les coordonnées de géolocalisation du barycentre G et le rayon R, avantageusement associées à un horodate précisant la date à laquelle cette région est considérée à risque (i.e. la date à laquelle le terminal T 1 s’y trouvait également).

On comprendra ainsi que la forme de la région estimée peut être extrapolée avec plus ou moins de finesse, selon le degré de confiance souhaité, en rapport avec le caractère plus ou moins contagieux de l’épidémie.

Ainsi, de manière générale, ce ne sont pas les données historisées de positions géographiques du patient infecté (utilisateur du terminal T1) qui sont elles-mêmes notifiées en mode push par le serveur SER vers les terminaux T2 à l’étape S21 (figures 2 et 3), mais bien une région géographique plus large, définie par le serveur SER en fonction des coordonnées de positions géographiques de la liste qu’il a reçu du terminal T1 , sur une période temporelle globale, prédéterminée, PTP. Ceci permet de recourir à des messages de notification push de petite capacité, comme par exemple les notifications prévues de manière standard par les systèmes d’exploitation pour mobiles comme Android ou iOS. Les terminaux récepteurs T2 n’ont plus qu’à faire une première vérification sur une région globale. Par exemple, si le patient contaminé s’est déplacé sur une région correspondant à une ville (Marseille par exemple), les terminaux des utilisateurs d’une autre ville qui recevraient cette notification push ignorent simplement cette notification. Les terminaux T2 des utilisateurs marseillais par contre, et seulement eux, demandent au serveur SER des précisions sur les identifiants de balises détectées par le terminal T1 pour vérifier de plus près s’ils ont pu être à proximité du terminal T1 du patient infecté.

Par ailleurs, dans le cas extrême illustré en bas à droite de la figure 4, il apparaît que l’enregistrement et l’association des horodates aux données de positions géographiques est optionnelle. Ainsi, pour éviter de saturer la mémoire du terminal T1 et/ou préserver la bande passante du réseau RES lorsque le terminal T1 communique ses données au serveur SER, le terminal T1 peut finalement ne stocker des horodates que lorsqu’elles sont liées à une détection de balise radiofréquence (en association avec les identifiants de balises).

Une telle réalisation n’exclut pas d’ailleurs d’identifier différentes zones parcourues par le terminal mobile T1 sur la période de temps prédéterminée PTP. En effet, en référence maintenant la figure 5, le serveur SER peut estimer la région à risque de contamination comme suit, en :

- calculant une moyenne sur l’ensemble des positions occupées par le terminal T 1 , et en excluant les positions qui sont éloignées d’un ou plusieurs écarts-types (ou d’une distance fixe) du barycentre que représente cette moyenne afin d’affiner la position du barycentre, et une première zone à risque est ainsi déterminée autour de ce premier barycentre G1 ,

- en répétant l’étape précédente de calcul de moyenne avec les positions qui ont été exclues précédemment et en déterminant ainsi la position d’un nouveau barycentre G2, et ainsi de suite.

On obtient ainsi une succession de zones en forme de disque autour des barycentres respectifs G1 , G2, G3, etc. et la région à risque de contamination est déterminée par extrapolation entre l’ensemble de ces zones.

En référence maintenant à la figure 6, on a illustré schématiquement un circuit de traitement d’un des terminaux T 1 ou T2, comportant :

- une interface d’entrée IN pour recevoir des données de position géographique Pos (fournies typiquement par un module de géolocalisation, par exemple de type GPS, embarqué dans ce terminal T1 ou T2) et des identifiants ID de balises radiofréquences détectées (fournies typiquement par un module d’émission/réception radio de ce même terminal T 1 ou T2, après que ce module ait détecté les signaux radiofréquences émis par ces balises et déduit de ces signaux les identifiants ID),

- un processeur PROC relié à l’interface d’entrée pour filtrer éventuellement ces données, et piloter le stockage de ces données dans : - une mémoire MEM, cette mémoire MEM pouvant stocker en outre des instructions d’un programme informatique correspondant à l’application installée sur le terminal T1 ou T2. Enfin, le circuit de traitement peut comporter en outre une interface de sortie OUT pour transmettre les données de la liste LIST au serveur SER (par exemple au moyen du module d’émission/réception radio précité), ainsi que l’interface homme- machine IHM qui peut s’animer notamment pour prévenir l’utilisateur du terminal T2 d’un risque de contamination, cette interface IHM pouvant être implémentée sous la forme d’un ensemble d’informations affichées sur un écran du terminal T 1 ou T2.

En référence maintenant à la figure 7, le serveur SER peut lui-même comporter un circuit de traitement incluant :

- une interface de communication COM avec les terminaux T1, T2, via le réseau RES, notamment pour recevoir les données de listes de ces terminaux,

- un processeur PROC’ notamment pour estimer la région à risque de contamination, et

- une mémoire MEM de travail et/ou de stockage des instructions d’un programme informatique pour la mise en oeuvre du procédé décrit ci-avant.

La présente description ne se limite pas aux exemples de réalisation décrits ci-avant, mais elle englobe aussi d’autres variantes.

Par exemple, le deuxième terminal précité peut être mobile, ou non. Il peut s’agir par exemple d’une borne d’accès telle qu’une passerelle domestique, fixe, avec laquelle le premier terminal, mobile quant à lui, a été en connexion ou que le premier terminal a simplement détecté à proximité. Dans ce cas, le procédé se déroule de la même manière que décrit précédemment, l’identifiant de balise radiofréquence que stocke le deuxième terminal étant l’identifiant de la passerelle elle-même. La passerelle peut recevoir alors du serveur SER un message d’alerte et être reliée à une interface homme-machine (par exemple un écran de télévision ou d’ordinateur relié à la passerelle) pour afficher un message signalant à l’utilisateur de la passerelle un risque de contamination.

Par ailleurs, la deuxième vérification présentée ci-avant, basée sur la comparaison des identifiants de balises, peut être optionnelle dans certaines formes de réalisation, particulièrement protectrices en matière de données personnelles et économes en matière de ressources réseaux, où seule est effectuée la première vérification d’une coïncidence entre les données de positions géographiques d’un terminal T2 et une région à risque déterminée à partir des positions géographiques du terminal T1. Cette deuxième vérification peut être mise en oeuvre, ou non, selon par exemple la virulence de la maladie contagieuse et/ou selon le degré de confiance souhaité pour la détection de contamination.

Par ailleurs, on a décrit ci-avant une réalisation dans laquelle la transmission de la liste des positions du terminal T 1 au serveur SER n’est effectuée que si l’utilisateur du terminal T1 se déclare infecté. En variante, une mise en oeuvre peut consister en ce que le terminal T1 et/ou le terminal T2 transmettent régulièrement leurs données de position sans cette condition d’infection, de sorte que le server SER dispose déjà de ces données pour estimer la région à risque aussitôt qu’il reçoit du terminal T1 une information d’infection.