Une application nous sauvera-t-elle du coronavirus ?

L’épidémie de coronavirus est une menace à ne pas sous-estimer. Il est important que nous bénéficions tous d’une protection maximale, et que les mesures visant à prévenir la propagation du virus soient bien respectées. À l’étranger, on peut voir de nombreux exemples de la façon dont la technologie moderne est utilisée à cette fin : les patients atteints de coronavirus sont assignés électroniquement à résidence, par le suivi de leur smartphone. Des secteurs entiers de la population sont ainsi obligés d’installer des applications, et dans certains pays, il est même possible de voir la température corporelle des livreurs, quand on passe une commande.

Big Data, une solution miracle ?

À première vue, ces mesures semblent utiles, voire nécessaires. Mais la question est de savoir si elles sont réellement efficaces. « À l’heure actuelle, les preuves de leur efficacité dans le contrôle des épidémies sont limitées », avertissent les chercheurs de plusieurs universités flamandes, qui font partie de la « coronavirus pandemic preparedness team » (équipe de préparation à la pandémie de coronavirus). Dans certains cas, comme en Chine ou en Corée du Sud, d’aucuns affirment qu’elles auraient contribué à réduire l’impact de l’infection (mais cela n’a pas encore été prouvé à ce jour). Toutefois, dans d’autres cas, il a déjà été clairement démontré que de telles mesures ne peuvent absolument pas tenir leurs promesses.

Dans leur rapport, les experts du coronavirus mettent en garde : un manque d’attitude critique envers une technologie big data aussi importante nous fait courir le risque de ne pas accorder suffisamment d’attention à d’autres mesures, testées et très efficaces. Ils soulignent également les « inconvénients possibles » et les « conséquences imprévues » d’une telle approche.

On ne peut pas simplement copier ce qui fonctionne en Chine ou en Corée du Sud dans notre pays, avertissent les chercheurs. Il faut par exemple tenir compte de la force d’impact des autorités publiques, et de la confiance du grand public dans les technologies big data. Le grand sondage de l’Université d’Anvers sur le coronavirus a ainsi montré que seule la moitié des répondants voudrait utiliser une telle application. 80 % des personnes qui n’envisagent pas de se servir de ce genre d’application sont très préoccupées par le respect de leur vie privée et la sensibilité des données récoltées.

Covid-19, une opportunité pour Big Brother

Les chercheurs réclament une évaluation approfondie de l’impact d’une telle application sur le droit à la vie privée et le droit à la protection des données personnelles, avant qu’elle ne soit lancée. Il s’agit de droits fondamentaux, inscrits dans la Convention européenne des droits de l’homme. Ces droits ne tombent pas de nulle part. Ils ont été arrachés après la victoire sur le fascisme dans les années 1930 et 1940 : les fascistes avaient en effet commencé par créer des registres à grande échelle des minorités politiques et ethnoculturelles, afin de pouvoir les persécuter par la suite.

En temps de crise, les droits fondamentaux sont toujours mis sous pression. Ce fut le cas après les attaques terroristes à Bruxelles : mesures sur la conservation des données de télécommunications, nouvelle loi sur les méthodes spéciales de renseignement, utilisation des données des passagers des compagnies aériennes (PNR) et omniprésence de caméras dans les rues. La même chose se reproduit aujourd’hui avec la crise du coronavirus. « Le Covid-19 est une opportunité pour Big Brother », avertissent les militants de la protection de la vie privée. Ces derniers soulignent que nous sommes sur une pente plus glissante aujourd’hui qu’au lendemain des attentats.

Il est légitime de craindre que l’érosion de ces droits ne soit pas temporaire, mais qu’elle entraîne un suivi permanent de la population à l’avenir. Ce qui est utilisé aujourd’hui pour lutter contre la crise du coronavirus peut l’être demain pour lutter contre une nouvelle crise migratoire, dans le cadre de mesures généralisées contre l’extrémisme, ou même pour freiner les syndicats et les militants pour l’environnement.

Lacunes dans le RGPD

Lorsque nous examinons des exemples de l’étranger, les responsables politiques tentent de nous rassurer en nous promettant que tout sera conforme aux règles européennes strictes en matière de protection de la vie privée. La directive RGPD (Règlement général sur la protection des données, texte émanant de l’Union européenne qui fait référence en la matière) stipule que les utilisateurs doivent donner leur consentement au traitement de leurs données personnelles. Cela signifie par exemple que si vous utilisez un site web ou une application, vous devez, en tant que consommateur, donner l’autorisation de conserver ou de partager certaines données.

La question ici est de savoir si le RGPD offre une protection suffisante aujourd’hui. En effet, le RGPD prévoit une exception pour les traitements de données nécessaires à la « protection des intérêts vitaux de la personne concernée », faisant explicitement référence à la « surveillance d’une épidémie et de sa propagation ». Cela signifie également que dès que les intérêts vitaux de la personne concernée ne sont plus menacés, les données collectées doivent être effectivement détruites.

Le RGPD ne permet pas non plus d’éviter une situation, où par exemple les opérateurs de télécommunications seraient obligés de transmettre des données dès lors que des autorités le demandent. Le traitement des données a alors lieu « sur une base légale », et non sur la base du consentement de la personne concernée.

Selon le ministre Philippe De Backer (Open Vld), il existe suffisamment de garanties. « L’autorité de protection des données et la commission Vie privée participent aux discussions, de même qu’un groupe d’experts spécialisés dans le domaine de la vie privée. Les gens peuvent donc dormir sur leurs deux oreilles. »

La question est de savoir si ces garanties sont suffisantes. Le rôle de l’autorité de protection des données est de contrôler l’application du RGPD. Néanmoins, tant qu’il existe une base légale et qu’il y a suffisamment de garanties, ces données peuvent tout à fait être traitées, selon le RGPD.

Ce même RGPD ouvre grand la porte à la collecte et à la conservation des données dans le cadre de la sécurité nationale. Ce n’est pas l’Europe, mais ce sont les États-nations à qui il incombe de déterminer ce que cela implique. Notre pays a déjà voté de nombreuses lois qui autorisent une collecte de données étendue, avec peu ou pas de contrôle démocratique.

Partage des données de télécommunications avec les autorités

En Belgique, par exemple, des données de télécommunications sont déjà partagées avec les autorités publiques dans le cadre de la lutte contre le coronavirus. Cela concerne notamment des données permettant de déterminer la localisation de votre appareil (grâce à la distance qui le sépare des antennes GSM), mais aussi des données sur votre navigation en ligne et les applications que vous utilisez. Ces données, qui sont en principe anonymisées, peuvent être utilisées pour voir, par exemple, où se rassemblent de grands groupes de personnes. Mais pour être utilisées efficacement, ces données doivent être combinées à d’autres bases de données, et il existe un risque qu’elles puissent encore être retracées au comportement d’individus.

Aujourd’hui déjà, des données sur le comportement des utilisateurs individuels sont régulièrement partagées avec les autorités. Ces données sont collectées par les opérateurs de télécommunications, mais aussi par les fabricants de logiciels d’exploitation pour smartphones, tels que Google ou Apple. Ils conservent en effet des données élargies sur vos déplacements, via le GPS, les réseaux Wi-Fi autour de vous, les appareils bluetooth autour de vous, etc. Il existe également de nombreuses applications sur notre téléphone, comme Facebook, qui conservent des journaux complets des déplacements et du comportement de navigation de leurs utilisateurs.

En principe, ces données personnelles ne sont divulguées qu’après l’intervention d’un juge d’instruction. Cependant, en utilisant à grande échelle des méthodes particulières de recherche (MPR) et des méthodes spéciales de renseignement (MRD), il y a de moins en moins de possibilités de contrôle judiciaire, de protection contre l’arbitraire et de défense juridique du citoyen.

L’objectif d’une application coronavirus de ce genre est de pouvoir collecter des données de localisation des citoyens à grande échelle, sans avoir à faire une demande individuelle auprès de Google, Apple ou Facebook. À ce moment-là, la personne concernée a en effet donné elle-même l’autorisation de collecter ces données.

C’est tout sauf innocent. En conservant une base de données pour savoir qui entre en contact avec qui, des réseaux sociaux entiers peuvent être cartographiés, ou des restrictions de grande envergure peuvent être imposées aux actions des citoyens individuellement.

Veillons au maximum à la sécurité et au respect de la vie privée

Sous réserve du strict respect des règles de confidentialité, les données de localisation, si elles sont utilisées intelligemment, peuvent être d’une grande utilité dans la lutte contre le coronavirus. Pour voir par exemple comment le virus se propage. Mais il est essentiel que nous assurions une sécurité et une confidentialité maximales. Dans le cadre de cette collecte d’informations, seules les données nécessaires doivent pouvoir être conservées, anonymement et conformément aux règles de confidentialité.

Tout cela commence dès le développement de l’application. Dès le départ, seules les informations strictement nécessaires doivent pouvoir être conservées, et de façon suffisamment anonyme pour qu’on ne puisse pas remonter à une personne individuellement. Ce principe s’appelle « privacy by design », et doit être appliqué au maximum ici.

Nous devons choisir consciemment la technologie la plus respectueuse de la vie privée, qui recueille le moins d’informations possible sur l’identité de l’utilisateur. Ceci afin d’éviter que ces données ne conduisent à une ré-identification ultérieure de la personne concernée. Il est préférable que les informations personnelles soient conservées localement, sur son appareil, et ne soient pas rassemblées dans une base de données centrale. Il ne doit pas non plus être possible, par la suite, de divulguer ou partager les données qui ne sont pas collectées.

En outre, il est essentiel d’organiser un contrôle démocratique sur la collecte des données. Une première étape consiste à rendre le code source de l’application accessible au public. De cette façon, toute personne ayant les connaissances informatiques nécessaires peut vérifier quelles données sont collectées et dans quel but.

Enfin, nous devons également organiser un contrôle démocratique en créant un comité de contrôle totalement indépendant, composé de hackers éthiques et d’experts en matière de vie privée de la Ligue des droits humains, de la fondation The Ministry of Privacy, etc. Ceux-ci doivent s’assurer que les données ne sont traitées que dans l’objectif fixé, et qu’elles sont détruites ensuite.

Si la décision est prise malgré tout de lancer une telle application, il faut qu’il y ait suffisamment de garanties en termes de respect de la vie privée, et de l’assise démocratique de cette mesure au sein de la population. Et, surtout, veillons à ce qu’on continue à se concentrer sur des mesures éprouvées et efficaces, telles que la distanciation sociale, des équipements de protection de qualité et un secteur des soins de santé solide, doté de ressources suffisantes.