Le contrat social en action : utiliser les données personnelles pour rechercher les contacts des personnes atteintes de COVID-19
COVID-19
Le besoin d’informations immédiates et fiables sur la COVID-19 met à l’épreuve les systèmes de protection des données.
Le droit international et les législations nationales reconnaissent que, dans des circonstances exceptionnelles, certains droits fondamentaux, notamment le droit à la protection des données, peuvent être restreints, pour autant que les principes et garanties démocratiques de base soient respectés et que la restriction en question soit légitime, limitée dans le temps et non arbitraire1.
Après que l’Organisation mondiale de la santé a déclaré mi-mars 2020 que la flambée de COVID-19 constituait une pandémie2, des gouvernements à travers le monde ont adopté des stratégies de traçage des contacts afin de pouvoir retrouver toute personne susceptible d’avoir rencontré une personne infectée. L’objectif était de pouvoir placer ces personnes en quarantaine pour éviter la propagation du virus3. Par le passé, les autorités sanitaires publiques recherchaient les contacts manuellement4. Cette démarche peut toutefois être entreprise de manière bien plus efficace à très grande échelle en recourant à des technologies numériques, telles que des applications mobiles, qui peuvent fournir simultanément des conseils de santé publique.
En dépit de ces avantages, la recherche des contacts suscite diverses inquiétudes. Premièrement, d’aucuns peuvent estimer que les outils de localisation utilisés à cet effet permettent d’exercer une surveillance injustifiée et qu’ils constituent une menace pour la vie privée, en particulier dans les pays qui ne disposent pas de cadres adéquats pour la protection des données5, d’autant plus qu’il est difficile d’anonymiser complètement les données de localisation. Deuxièmement, les données personnelles recueillies pour la recherche des contacts ne circulent actuellement pas uniquement entre des organisations et des parties de confiance, et se retrouvent donc en possession de plus de tiers que prévu dans les modèles de gouvernance. Troisièmement, l’utilisation de données de localisation dans le traçage des contacts s’est parfois révélée imprécise et inefficace, car ces données ne fournissent pas toutes les informations pertinentes. Une étude empirique de l’épidémie d’Ebola a révélé que ces données n’étaient utiles que si elles étaient réidentifiées, ce qui renvoie à la question de la « limitation de la finalité » considérée comme une bonne pratique pour les lois de protection des données.
Alors que des pays du monde entier mettent au point des applications de recherche des contacts, deux approches émergent : la centralisation et la décentralisation. Ces deux approches s’appuient sur des signaux Bluetooth pour se connecter lorsque des détenteurs de smartphones se trouvent à proximité les uns des autres et ainsi envoyer des alertes aux utilisateurs qui auraient pu être infectés par une personne qui développe des symptômes de la COVID-19.
Dans le cadre du modèle centralisé adopté dans un premier temps par le gouvernement britannique, des données anonymisées sont recueillies et téléchargées sur un serveur à distance, où des correspondances sont établies avec d’autres contacts lorsqu’une personne commence à avoir des symptômes de la COVID-196. L’approche britannique utilise un identificateur permanent qui est communiqué au Service national de santé, ce qui permet aux pouvoirs publics de recevoir automatiquement des données sur la contamination. Le serveur central alerte ensuite les autres utilisateurs de l’application qui ont eu des contacts significatifs avec la personne contaminée. Même si l’approche centralisée présentait des avantages du point de vue de la santé publique, l’application a été abandonnée mi-juin 2020 au profit d’une approche décentralisée, en raison des faibles taux de reconnaissance des téléphones au cours de la phase de test sur l’île de Wight.
En revanche, le modèle décentralisé, promu à la fois par Apple et Google, vise à faciliter le traçage des contacts par les organismes de santé, tout en intégrant à la conception des garanties de sécurité et de respect de la vie privée7. Les utilisateurs exercent un plus grand contrôle sur leurs informations, car elles sont conservées de manière décentralisée sur leur téléphone, ce qui permet d’empêcher que les données soient siphonnées et envoyées sur les serveurs centraux des gouvernements. Dans le cadre de ce modèle, « le protocole exclut le traitement des données de localisation quelles qu’elles soient — à moins que l’utilisateur n’opte pour cette option —, il a recours à des « identificateurs de proximité mobile temporaire » (Rolling Proximity Identifiers) qui empêchent d’identifier l’utilisateur, traite les identificateurs de proximité obtenus à partir d’autres appareils exclusivement sur l’appareil, [et] permet que les utilisateurs soient les seuls à pouvoir décider de participer à la recherche des contacts en partageant des clés de diagnostic avec le « serveur de diagnostic » s’ils sont testés positifs à la COVID-19, ce qui alertera les autres utilisateurs »8.
La plateforme de traçage de proximité paneuropéen préservant la confidentialité (ou Pan-European Privacy-Preserving Proximity Tracing – PEPP-PT), qui est un consortium réunissant plusieurs parties prenantes, met au point des technologies de recherche des contacts qui respectent les lois et les principes européens en matière de protection des données et de la vie privée9. Les mécanismes techniques et les normes créés par la plateforme PEPP-PT protègent pleinement la vie privée, tout en tirant avantage des possibilités offertes par la technologie numérique pour maximiser la vitesse et les capacités de réaction en temps réel à l’évolution de la pandémie à l’échelon national. Les initiatives menées sous l’égide de cette plateforme visent à élaborer un protocole ouvert pour le traçage des contacts en utilisant le Bluetooth à basse consommation sur les appareils mobiles et une architecture qui veille à ce que l’ensemble des données personnelles restent sur le téléphone des utilisateurs.
- Access Now (2020).
- WHO (2020).
- Yan (2020).
- eHealth Network (2020).
- FPF (2020).
- Economist (2020).
- Google (2020); Sabbagh et Hern (2020).
- eHealth Network (2020).
- Voir Pan-European Privacy-Preserving Proximity Tracing (tableau de bord), n.d.
- Access Now. 2020. “Recommendations on Privacy and Data Protection in the Fight against COVID-19.” Access Now, Brooklyn, NY, March 2020.
- Economist. 2020. “Privacy Be Damned: Some Countries Want Central Databases for Contact-Tracing Apps.” April 30, 2020.
- eHealth Network. 2020. “Mobile Applications to Support Contact Tracing in the EU’s Fight against COVID-19:Common EU Toolbox for Member States.” Version 1.0, eHealth Network, Brussels, April 15, 2020.
- FPF (Future of Privacy Forum). 2020. “Privacy & Pandemics: The Role of Mobile Apps (Chart).” FPF, Washington, DC, April 2020.
- Google. 2020. “Apple and Google Partner on COVID-19 Contact Tracing Technology.” Company Announcements (blog), April 10, 2020.
- Pan-European Privacy-Preserving Proximity Tracing (dashboard). n.d. “PEPP-PT.” GitHub. Accessed December 15, 2020.
- Sabbagh, Dan, and Alex Hern. 2020. “UK Abandons Contact-Tracing App for Apple and Google Model.” Guardian, June 18, 2020.
- WHO (World Health Organization). 2020. “WHO Announces COVID-19 Outbreak a Pandemic.” Media Release, March 12, 2020. WHO Regional Office for Europe, Copenhagen.
- Yan, Holly. 2020. “Contact Tracing 101: How It Works, Who Could Get Hired, and Why It’s So Critical in FightingCoronavirus Now.” CNN Health (blog), May 15, 2020.