Le Covid-19 fera-t-il bouger les lignes sur l’exploitation des données personnelles ? Partie 1

Le Covid-19 fera-t-il bouger les lignes sur l’exploitation des données personnelles ? Partie 1

Issam Ibnouhsein / Temps de lecture : 7 minutes.

 

La crise sanitaire Covid-19, qui a d’abord éclaté en Chine, avant de se répandre un peu partout dans le monde, pose de manière aigüe une question fondamentale : doit-on utiliser tous les moyens technologiques à notre disposition pour tenter de stopper l’épidémie ? Une « bonne surveillance » des populations est-elle possible voire légitime ? 

Les différents pays impactés par la crise ont successivement adopté des solutions différentes, qu’il est intéressant de passer en revue.

Le premier pays à avoir fait face à l’épidémie, la Chine, a mis en place des mesures de limitation des mouvements de population, avec un confinement très strict dans la province du Hubei, épicentre de l’épidémie Covid-19. Une collecte massive de données a eu lieu. Ainsi, toutes les sociétés et organismes publics ont été invités à partager les données à leur disposition avec les autorités, des caméras de mesure de température à distance ont été utilisées, et les algorithmes de face recognition adaptés au port du masque. En parallèle, une campagne massive de tests a été menée sur le terrain, des agents humains ont été postés dans toutes les gares et résidences pour collecter manuellement les informations personnelles et les digitaliser, et près de 10 000 épidémiologistes ont également été déployés pour aider à retracer et à modéliser la propagation de la maladie.

Les données de santé et de mouvement sont croisées entre elles pour établir une stratégie de gestion de l’épidémie, qui passe notamment par la régulation des déplacements individuels. Un exemple de mode de régulation est l’application Alipay Health Code, qui génère un QR-code associé à un code couleur : vert pour aucune restriction, jaune pour des accès restreints, et rouge pour une interdiction de déplacement pendant 14 jours. Ces applications, rendues quasi-obligatoires, constituent de fait un véritable laisser-passer numérique.

Interface de l’application Alipay Health

 

On perçoit facilement qu’un tel dispositif de surveillance massive, avec une collecte non ciblée de données et sans limitation de conservation dans le temps pose problème du point de vue du droit à la vie privée. Par ailleurs, l’absence de transparence sur l’algorithme de couleur du QR-Code génère beaucoup d’interrogations et de difficultés aux populations, dont la reprise du travail ou les déplacements sont fortement contraints par cette catégorisation, qui ne laisse aucune voie à l’explication ou à la contestation. Autre violation du droit à la vie privée, beaucoup plus grave car correspondant probablement à une fonctionnalité cachée : une enquête du New York Times a permis de révéler l’existence d’une fonction reportInfoPolice au sein de l’application, qui autorise un partage des informations de localisation en temps réel avec les autorités.

 

La Corée du Sud, qui a déjà dû faire face à une épidémie importante de MERS-CoV en 2015, est souvent citée en modèle dans sa manière de gérer la situation. 

Son système se base sur trois piliers. Le premier est l’information transparente du public : les chiffres agrégés, mais également le tracking individuel des personnes testées positives, sont publiés en open data. Le tracking, encadré par une loi datant de 2015 suite à l’épidémie MERS-CoV, est réalisé par croisement des données de caméra, de dépenses de carte bancaire et de localisation téléphonique. Le deuxième pilier est un dépistage de masse, avec plus de 20.000 tests quotidiens partout sur le territoire. Le troisième pilier est l’utilisation poussée par des tiers des données disponibles pour proposer des services d’alerte en cas de proximité avec une personne atteinte ou d’une zone jugée à risque. Par exemple, l’application Corona 100m alerte tout utilisateur lorsqu’il s’approche de moins de 100m d’une zone où un patient testé positif a été repéré récemment.

 

Interface de l’application Corona 100m

 

Interface de l’application Corona map

 

Autre exemple, celui d’Israël qui a d’abord adopté une stratégie basée sur un questionnaire approfondi, récapitulant les déplacements sur 14 jours des personnes testées positives, avant de solliciter le 16 mars le Shin Beth, les services secrets israéliens. Ces derniers ont mis à disposition du gouvernement leurs technologies de surveillance anti-terroriste, qui permettent un accès au smartphone pour géolocalisation et lecture du carnet de contacts. La cour suprême israélienne est depuis intervenue et a demandé que la collecte d’informations soit désormais sous contrôle d’une commission de la Knesset, le parlement israélien. 

Concluons ce comparatif par Singapour qui, tout en mobilisant fortement les nouvelles technologies, a fait le choix d’une solution très peu intrusive. Les individus sont incités à télécharger l’application TraceTogether, qui collecte et stock en local et de manière cryptée les identifiants des téléphones à proximité. Si un individu est testé positif au Coronavirus, alors il doit contacter les autorités et transmettre le fichier crypté pour analyse. Ainsi, on sécurise et minimise by design les données collectées pour endiguer l’épidémie. À côté de cela, la technologie est utilisée pour imposer un confinement très strict aux malades : la géolocalisation est collectée pour détecter tout éloignement du domicile, deux appels vidéo aléatoires par jour sont effectués pour vérifier que les malades ne sortent pas en laissant leur téléphone à la maison, entre autres mesures policières.

Laisser-passer numérique, outil de prévention des contacts à risque, reconstitution à une échelle agrégée ou individuelle de la propagation de la maladie, surveillance poussée des personnes à risque : divers usages sont permis par l’exploitation des données dans le but de lutter contre l’épidémie Covid-19. 

 

Qu’en est-il de l’Europe ? 

Orange a par exemple utilisé en France les données agrégées de géolocalisation des téléphones pour analyser le déplacement des franciliens lors du démarrage du confinement. Une collaboration avec l’INSERM vise à exploiter davantage ces données anonymisées pour comprendre l’évolution de l’épidémie. Le commissaire européen chargé du marché intérieur, Thierry Breton, a par ailleurs demandé aux principaux opérateurs téléphoniques de fournir les données agrégées des déplacements de leurs clients afin d’anticiper, entre autres usages, les zones où du matériel médical sera le plus nécessaire.

Quant au backtracking à échelle individuelle, pour suivre les déplacements des personnes testées positives par exemple, il semblerait que le cadre juridique actuel, tel que décrit par le RGPD, le permette. En effet, il existe des dérogations dans l’exploitation des données de santé en cas de crise sanitaire, y compris sans le consentement des utilisateurs (article 6-1 d,e,f et article 9-2 c,i). Une loi nationale doit alors être promulguée pour encadrer les finalités et modalités de collecte et d’exploitation des données.

Le retard à l’allumage dans l’exploitation des données personnelles en Europe pour tenter d’endiguer l’épidémie semble donc pour partie dû à une position culturelle et non à des blocages juridiques, même s’il est clair que la faible expérience européenne en gestion d’épidémie rend difficile la mise en place rapide d’un cadre opérationnel de collecte et d’exploitation des données qui respecte le RGPD. 

Est-il besoin de rappeler que par ailleurs, des mesures de confinement restreignant partout la liberté de mouvement sont mises en place en Europe, avec des conséquences qui vont de la fermeture des magasins du coin à la fermeture des frontières entre pays, y compris au sein de l’UE. 

Cet état de fait peut et doit nous interroger : si nous acceptons une restriction temporaire de notre liberté de mouvement malgré ses conséquences économiques potentiellement très graves, quelles raisons profondes au refus d’une restriction temporaire de nos droits numériques ? 

Les lignes de fracture autour de ce sujet risquent fort de bouger dans les semaines et mois à venir. Nous comptons contribuer au débat public en apportant, via une série de publications, un éclairage aussi divers que possible sur cette question épineuse, que la crise Covid-19 pose avec vigueur à nos démocraties. 

Issam Ibnouhsein

> Lire le deuxième article

 

Références

Les statistiques issues du réseau de téléphonies mobiles au service de la lutte contre la pandémie de Covid-19

https://theconversation.com/backtracking-comment-concilier-surveillance-du-covid-19-et-respect-des-libertes-134843

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6