Introduction
Les gouvernements et le secteur privé s’appuient de plus en plus sur des technologies basées sur la collecte des données dans la lutte contre le nouveau coronavirus, le Covid-19. Si certains considèrent les solutions technologiques comme un outil essentiel pour le traçage des contacts, la mise en œuvre de quarantaines, le suivi de la propagation du virus et l’allocation des ressources médicales, ces pratiques soulèvent d’importantes questions en matière de droits humains. Human Rights Watch est particulièrement préoccupé par les propositions sur l’utilisation des données de localisation dans la réponse au Covid-19, car ces données contiennent généralement des informations sensibles et révélatrices sur l’identité, la localisation, le comportement, les relations et les activités des personnes.
Les programmes de collecte des données de localisation mis en place pour lutter contre le Covid-19 peuvent ne pas être scientifiquement nécessaires et pourraient, en l’absence de garanties efficaces en matière de protection de la vie privée, conduire à des violations des droits humains. Le long historique des mesures d’urgence, comme les mesures de surveillance mises en place pour lutter contre le terrorisme, montre que ces mesures vont souvent trop loin, n’ont pas l’effet souhaité et, une fois approuvées, perdure souvent au-delà de sa justification de départ. Ce questions/réponses identifie les différentes mesures prises par les gouvernements en matière d’utilisation des données mobiles de localisation en réponse au Covid-19, les questions que ces mesures soulèvent en matière de droits humains et les normes de droits humains qui devraient être appliquées en cas d’utilisation de ces données. Il donne des exemples explicatifs, des recommandations et des lignes directrices pour aider à évaluer les risques posés par l’utilisation des données de localisation mobile pour les droits humains.
Que sont les données de localisation mobile et comment sont-elles utilisées dans la réponse au Covid-19 ?
Comment les données de localisation mobile sont-elles utilisées dans la réponse au Covid-19 ?
On définit les « données de localisation mobile » comme des informations de géolocalisation et de proximité provenant des téléphones mobiles et d’autres appareils. Les gouvernements voient les données de localisation comme un élément clé des mesures de contrôle de la propagation du Covid-19. Ils présentent le traçage des individus comme un moyen fiable de suivre les déplacements des personnes infectées et d’identifier celles avec lesquelles elles sont entrées en contact pendant la période où elles étaient contagieuses. Le traçage des individus peut également être utilisé pour vérifier si les personnes respectent les mesures de distanciation sociale et de quarantaine. Par ailleurs, l’analyse des données de localisation agrégées pourrait aussi donner un aperçu de l’efficacité des mesures de distanciation sociale, permettre de modéliser les possibilités de transmission et d’identifier les foyers potentiels de cette transmission. Parmi les exemples de la manière dont les gouvernements utilisent la technologie dans leur réponse au Covid-19, on trouve :
- Le traçage des contacts : le traçage des contacts est le processus qui consiste à identifier des personnes qui peuvent avoir été en contact avec une personne infectée. Son objectif est d’interrompre la transmission en identifiant rapidement les personnes ayant été en contact étroit avec un individu infecté – que les Centres pour le contrôle et la prévention des maladies (CDC) aux États-Unis définissent comme des personnes s’étant trouvées à moins d’1,8 mètre de cet individu pendant 10 minutes ou plus. L’idée est d’encourager ces personnes à s’isoler des autres et à chercher à se faire tester et soigner. Étant donné que le coronavirus est principalement transmis par contact de personne à personne via des gouttelettes respiratoires lorsqu’une personne infectée tousse, éternue ou parle, l’utilisation des données de localisation mobile a été proposée comme une des méthodes jugées utiles pour identifier les individus potentiellement exposés.
- L’exécution des ordres de mise en quarantaine et de distanciation sociale : les gouvernements imposent des quarantaines et d’autres restrictions à la circulation, notamment des mesures élargies de confinement, des fermetures d’entreprises, d’espaces publics et d’institutions, des mesures d’isolement des personnes infectées et des demandes de distanciation sociale volontaire. Les gouvernements utilisent les données de localisation mobile pour s’assurer du bon respect de ces restrictions, par exemple en encourageant ou en obligeant les personnes à installer une application qui utilise les données de localisation pour identifier les personnes qui violent ces restrictions.
- L’analyse des mégadonnées : les entreprises et les gouvernements analysent également les données de localisation sous une forme agrégée pour mieux comprendre les grandes tendances des mouvements et comportements des personnes et leur évolution dans le temps. Ce type d’analyse vise à prévoir comment le virus pourrait se propager, à évaluer l’efficacité des interventions de santé publique comme les mesures de distanciation sociale, et à identifier les moyens de mieux distribuer les tests et les ressources médicales.
- La cartographie des foyers de contagion : la cartographie des foyers de contagion est une forme d’analyse des mégadonnées qui utilise les données de localisation pour reconstituer l’historique des mouvements ou de la localisation des individus testés positifs pour adresser des mises en garde de santé publique à des zones particulières, ou encore confiner ou désinfecter ces lieux spécifiques.
Comment fonctionne le traçage des données de localisation mobile ?
Les données de localisation mobile proviennent de diverses sources, notamment les antennes-relais de téléphonie mobile, les signaux GPS et les balises Bluetooth.
- Informations de localisation des stations de base : les téléphones portables connectent leurs utilisateurs aux réseaux de télécommunications et d’Internet via des antennes-relais de téléphonie mobile. Au fur et à mesure qu’un téléphone portable se déplace avec son utilisateur, le téléphone se connecte par signaux (ou « pings ») aux antennes-relais (ou « station de base ») qui se trouvent à proximité. Ce processus génère des informations de localisation sur les antennes-relais auxquelles le téléphone a envoyé un signal qui sont stockées par les opérateurs de télécommunications. En utilisant les informations de proximité provenant de plusieurs antennes-relais, on peut localiser un téléphone portable avec une précision accrue grâce à la technique dite de la « triangulation ». Les gouvernements peuvent obliger les opérateurs télécoms à fournir ces informations de localisation pour suivre les déplacements d’un individu en temps réel, ou retrouver ses déplacements passés.
- Système de positionnement mondial (GPS) : les capacités GPS d’un téléphone portable permettent d’évaluer sa position avec une précision qui peut varier de 1,5 à 3 mètres. De nombreuses applications pour smartphones (cartes, réseaux sociaux, jeux, achats et autres applications utilitaires) enregistrent ces données de localisation, qui peuvent ensuite être obtenues par des gouvernements et des courtiers en données. Les courtiers en données sont des entités – certaines connues, d’autres moins – qui collectent des informations sur des consommateurs potentiels, puis vendent ces données (ou les résultats d’analyse de ces données, ou encore des classements qui s’appuient sur ces données) à d’autres courtiers en données, entreprises et/ou individus. Un grand nombre d’applications de traçage des contacts et d’exécution des quarantaines s’appuient sur les données GPS pour repérer les déplacements des individus. En outre, les données GPS anonymisées (les données dont on a retiré les informations personnelles identifiables) peuvent être utilisées pour reconnaître les tendances dans les mouvement de la population, passés ou en temps réel.
- Balises Bluetooth : Bluetooth est un ensemble de protocoles sans fil, basse consommation et à courte portée, principalement utilisé pour connecter directement entre eux des appareils dans le but de transférer des données. Bluetooth ne peut communiquer qu’avec des appareils à proximité (environ 10 mètres). Les signaux Bluetooth ont été proposés comme méthode de traçage des contacts par l’identification, grâce à une application spécialisée, d’un téléphone à proximité d’autres appareils, avec un niveau de précision relativement élevé. Contrairement aux antennes-relais ou aux données GPS, qui tracent la position réelle, Bluetooth trace les interactions. Par conséquent, il doit plutôt être considéré comme un outil de traçage des interactions.
Quelles sont les normes de droits humains applicables ?
Même en période d’urgence, lorsque les États imposent des restrictions sur les droits humains pour des raisons de santé publique, le droit international relatif aux droits humains stipule que les mesures prises pour limiter les droits et libertés des personnes doivent être légales, nécessaires et proportionnées. Les états d’urgence doivent être limités dans le temps et toute restriction des droits doit tenir compte de l’impact disproportionné de ces mesures sur des populations spécifiques ou des groupes marginalisés.
Ces règles s’appliquent aux efforts déployés pour tracer et gérer le Covid-19 grâce aux données de localisation. La collecte et l’analyse de ces données pourraient révéler l’identité, les mouvements et les relations des utilisateurs d’une manière qui porte atteinte au droit à la vie privée. L’article 17 du Pacte international relatif aux droits civils et politiques (PIDCP), qui se fonde sur l’article 12 de la Déclaration universelle des droits de l’homme (DUDH), établit un droit à « la protection de la loi » contre toute « immixtion arbitraire ou illégale » dans la « vie privée » d’un individu, « sa famille, son domicile ou sa correspondance ». Le Comité des Droits de l’Homme des Nations Unies a constaté que les restrictions au droit à la vie privée ne doivent intervenir que « dans les cas envisagés par la loi ». Les restrictions doivent également être « proportionnées à la fin recherchée et... nécessaires dans les circonstances d’une affaire donnée ».
Human Rights Watch et plus de 100 autres organisations de défense des droits humains ont exhorté les gouvernements à respecter la vie privée et les droits humains lorsqu’ils utilisent les technologies numériques pour contenir la pandémie. Au minimum, les mesures assistées par la technologie devraient :
- Être légales, nécessaires, proportionnées, transparentes et justifiées par des objectifs légitimes de santé publique ;
- Être limitées dans le temps, poursuivies uniquement pendant la période nécessaire pour lutter contre la pandémie ;
- Être limitées dans leur portée et leur objectif, employées uniquement aux fins de lutte contre la pandémie ;
- Garantir une sécurité suffisante des données personnelles collectées ;
- Présenter un faible risque de causer une discrimination ou d’autres atteintes aux droits des populations marginalisées ;
- Être transparentes au sujet des éventuels accords de partage de données avec d’autres entités publiques ou du secteur privé ;
- Intégrer des protections et sécurités contre la surveillance abusive et donner aux individus un accès à des voies de recours efficaces ; et
- Permettre que les parties prenantes concernées prennent part aux efforts de collecte des données de façon libre, active et significative
Comment les gouvernements utilisent-ils les données de localisation pour répondre au Covid-19 ?
Pour des raisons compréhensibles de santé publique, les gouvernements utilisent de plus en plus les données de localisation pour répondre à la propagation du Covid-19, virus hautement transmissible. Privacy International, une organisation basée à Londres qui défend le droit à la vie privée dans le monde entier, fait le suivi des réponses des gouvernements, entreprises technologiques et agences internationales visant à contenir la propagation du Covid-19. En voici quelques exemples :
Traçage des contacts à l’aide des données fournies par les opérateurs de télécommunications
Les gouvernements accèdent aux données des opérateurs télécoms dans le cadre de leurs efforts de traçage des contacts. En Israël, une règlementation adoptée en urgence et approuvée par le gouvernement le 17 mars a autorisé le Shin Bet, le service de la sécurité intérieure d’Israël, à recevoir, collecter et traiter des « données technologiques », notamment des données de localisation, des opérateurs télécoms sans le consentement de l’utilisateur pour prédire quels citoyens pourraient avoir été exposés au virus. Dans le cadre de ce programme, le ministère de la Santé envoie des alertes aux téléphones des personnes concernées pour leur donner l’ordre de se mettre en quarantaine. Le gouvernement israélien a approuvé cette règlementation d’urgence en contournant le Parlement. La Cour suprême d’Israël a par la suite statué que le gouvernement devait adopter une loi qui « répond aux principes de protection de la vie privée », faute de quoi elle serait suspendue. Le 23 mars, le ministère de la Santé a aussi proposé une application à caractère volontaire, apparemment pour soutenir les efforts du Shin Bet, destinée à informer les gens qui auraient été en contact avec une personne infectée.
Le 31 mars en Arménie, le Parlement a adopté plusieurs amendements donnant aux autorités des pouvoirs de surveillance très étendus, qui obligent les opérateurs télécoms à remettre les relevés téléphoniques de tous leurs clients, notamment les numéros de téléphone et le lieu, l’heure et la date de leurs appels et SMS. Les autorités peuvent utiliser ces données pour identifier les personnes infectées qui doivent être confinées ou leurs contacts étroits qui doivent se mettre en quarantaine volontaire, ou pour surveiller les personnes confinées ou en quarantaine.
En Russie, le 20 mars, le Premier ministre a ordonné au ministère des Communications de mettre en place un système national de traçage des individus qui ont été en contact avec des patients atteints du coronavirus en utilisant les données de localisation données par le fournisseur de téléphonie mobile de ces individus. Le 1er avril, le ministère des Communications a confirmé avoir conçu le système et a demandé aux autorités régionales de fournir des listes de numéros de téléphones portables de personnes infectées par le coronavirus, ainsi que les numéros de téléphone des citoyens qui sont mis en quarantaine chez eux, soit parce qu’ils ont voyagé à l’étranger, soit parce qu’ils ont eu des contacts avec des personnes infectées.
Le 16 mars en Équateur, le Président a publié un décret d’urgence autorisant le gouvernement à utiliser les données des plates-formes satellitaires et de téléphonie mobile pour surveiller les personnes testées positives au virus, celles qui ont été en contact étroit avec une personne testée positive, celles qui présentent des symptômes, et celles qui sont confinées de manière obligatoire pour être entrées dans le pays depuis un pays étranger.
Traçage des contacts Bluetooth
Le 20 mars à Singapour, pour compléter ses efforts de traçage de contact manuel, le gouvernement a lancé TraceTogether, une application de traçage des contacts qui utilise Bluetooth. Lorsqu’une personne est contactée, elle est tenue par la loi d’aider le ministère de la Santé à cartographier avec précision ses mouvements et interactions afin de minimiser un risque d’infection plus large. Les journaux de données sont stockés sur les téléphones sous forme cryptée, en utilisant des « identifiants provisoires à signature cryptographique ». Néanmoins, lorsqu’un utilisateur de TraceTogether est un cas confirmé de Covid-19 et accepte d’enregistrer le journal de ses données sur l’application du ministère de la Santé, celui-ci déchiffrera les identifiants provisoires dans l’application de l’utilisateur et obtiendra une liste des numéros de téléphone qui figurent dans le journal des données téléchargées.
Le 8 avril, la Commission européenne a adopté une recommandation visant entre autres à mettre en place une approche paneuropéenne coordonnée pour l’utilisation des applications mobiles de traçage des contacts. Cette approche commune s’appuiera sur des principes de confidentialité et de protection des données, notamment la minimisation des données et l’octroi de garanties adaptées comme l’utilisation de pseudonymes, ou encore l’agrégation de ces données, leur chiffrement et leur décentralisation. Elle sera aussi volontaire, avec une préférence pour le suivi de proximité via Bluetooth. D’autres orientations devraient être adoptées sur les implications en matière de protection des données et de confidentialité dans l’utilisation des applications mobiles. Le 17 avril, le Parlement européen a adopté une résolution renforçant les garanties présentes dans la recommandation de la Commission, qui exige une transparence totale pour que chacun puisse vérifier le protocole utilisé afin de sécuriser ces applications et de s’assurer de leur confidentialité. Dans l’intervalle, un certain nombre de pays de l’Union européenne, dont la France, l’Allemagne et les Pays-Bas, sont en passe de choisir leurs propres applications de traçage des contacts.
Le 16 avril, l’Institut national de santé publique en Norvège a lancé une application qui fonctionne sur la base du téléchargement et de la déclaration volontaire et suivra les mouvements de ses utilisateurs, puis demandera aux personnes de se mettre en quarantaine si elles ont été exposées à une personne testée positive au coronavirus. Lorsqu’il est confirmé qu’un utilisateur a le coronavirus, l’application récupère ses données de localisation et envoie un SMS à tous les autres utilisateurs qui se sont trouvés à moins de 2 mètres de cette personne pendant plus de 15 minutes pour leur demander de se mettre en quarantaine.
Applications mobiles d’exécution des ordres de mise en quarantaine et de distanciation sociale
Les autorités des villes et provinces de Chine utilisent l’application Health Code, développée par des entreprises privées, pour décider qui mettre en quarantaine, et pour combien de temps. L’application attribue à chacun de ses quelques 700 millions d’utilisateurs l’une des 3 couleurs suivantes : le vert, qui permet de circuler sans restriction ; le jaune, qui impose 7 jours de quarantaine ; et le rouge, qui en impose 14. Pour entrer dans les immeubles, aller au supermarché, utiliser les transports en commun et se déplacer dans leur quartier, les habitants doivent scanner un code QR à un poste de contrôle tenu par un gardien. Cependant, les règles d’attributions des couleurs sont tenues secrètes, ce qui empêche les personnes de comprendre pourquoi telle couleur leur a été attribuée plutôt qu’une autre, ou dans quelles circonstances la couleur change. L’application collecte également les données de localisation des utilisateurs et les partage avec la police. Les utilisateurs se sont plaints du caractère arbitraire des décisions de l’application et de la difficulté de former des recours contre elles ; certains ont été confinés à leur domicile pour des périodes indéfinies, même après avoir respecté la période de quarantaine prescrite par l’application.
En Turquie, le ministre de la Santé a déclaré le 7 avril qu’il était obligatoire pour les personnes infectées par le Covid-19 de télécharger une application appelée « La vie rentre à la maison » dans le cadre d’un « Projet de traçage et d’isolement pandémique ». L’application suit les mouvements des personnes à qui on a demandé de se confiner, et si elles quittent leur domicile, elles reçoivent un avertissement par SMS et sont contactées instantanément via une technologie d’appel automatique, qui leur demande de rentrer chez eux pour se confiner. Dans le cadre de ce programme, ceux qui ne respectent pas l’avertissement et continuent de violer la quarantaine écopent d’un signalement auprès des forces de l’ordre compétentes et sont passibles de mesures et sanctions administratives qui peuvent aller de deux mois à un an de prison conformément à l’article 195 du Code pénal turc. Human Rights Watch n’a pas encore enquêté sur la popularité de cette application, ou sur la question de savoir si les autorités turques ont cherché à en imposer l’usage.
À Moscou, la municipalité a lancé en avril une application pour tracer les mouvements des patients atteints du coronavirus. L’application est obligatoire pour tous les patients qui ont reçu l’ordre de rester chez eux. Elle demande de pouvoir accéder aux appels, à la localisation, à la caméra, au stockage, aux informations réseau, aux capteurs et aux autres données des utilisateurs pour s’assurer que ces personnes ne quittent pas leur domicile s’ils sont contagieux. Cette application vient s’ajouter à la mise en place d’un des plus vastes systèmes de caméras de surveillance au monde, équipé d’une technologie de reconnaissance faciale qui garantit que toute personne confinée ne mettra pas un pied dehors. Le 15 avril, la ville de Moscou a aussi introduit un système de permis numérique pour les déplacements non essentiels, à la fois dans les transports publics et pour les véhicules privés.
Analyse des mégadonnées
Dans l’UE, huit grands opérateurs de télécoms ont accepté de partager des métadonnées anonymisées avec la Commission européenne pour modéliser et prévoir la propagation du coronavirus. Un responsable de la Commission a déclaré que les données seront agrégées et rendues anonymes et que la Commission les supprimera à la fin de la pandémie. Le Contrôleur européen de la protection des données a cependant mis en garde contre la possibilité que ces mesures deviennent permanentes.
Aux États-Unis, des entreprises de publicité mobile, qui collectent les données de localisation des utilisateurs d’appareils mobiles et d’Internet pour cibler et vendre des publicités, auraient fourni des analyses de la localisation et des mouvements des personnes au CDC, ainsi qu’à certains État et gouvernements locaux. Dans le contexte du Covid-19, cet accord de partage de données est apparemment conçu pour aider les autorités à mieux comprendre comment les infections se propagent et affiner les réponses de santé publique. Une grande partie de cet accord, notamment la manière dont les données sont collectées, partagées, rendues anonymes et analysées, est inconnue. Il a également été signalé que le gouvernement fédéral était en train de mettre en place un système national de surveillance du coronavirus pour suivre les taux d’infection et d’hospitalisation et prévoir leur évolution dans le pays. On ignore si des liens existent entre ce projet et le partenariat du CDC avec l’industrie de la publicité mobile.
En Corée du Sud, en plus d’utiliser les données de localisation des téléphones portables, les caméras de vidéosurveillance et de tracer les cartes de débit, de retrait d’argent et de crédit pour identifier les personnes infectées par le coronavirus, les autorités ont créé une carte accessible à tous qui utilise des données agrégées de personnes infectées pour permettre à tous de vérifier s’ils ont croisé une personne infectée. La plate-forme a été officiellement lancée le 26 mars. Les autorités sanitaires ont également envoyé sur les téléphones portables des notifications contenant des informations très détaillées sur les cas confirmés, qui mentionnent notamment l’âge, le sexe et les itinéraires quotidiens que les personnes infectées ont emprunté 48 heures avant leur mise en quarantaine. Le but est de permettre à des contacts potentiels intraçables (par exemple des étrangers qui se trouvaient dans le même restaurant en même temps que le cas confirmé) d’être informés d’une éventuelle infection et de s’y préparer.
En Équateur, le 6 avril, le président a annoncé le lancement de l’outil SOS Covid, qui fonctionne avec des informations obtenues auprès des services d’urgence, du ministère des Télécommunications, du ministère de la Santé, des fournisseurs de services mobiles et de l’application Salud EC (voir ci-dessous) et qui permet de veiller au respect de la quarantaine, de détecter les nouveaux cas, de réaliser des tests de grande ampleur et d’identifier les zones à risque dû à la surpopulation.
Initiatives de déclaration volontaire
Les gouvernements lancent également des initiatives qui s’appuient sur des données de localisation et qui ont pour but de signaler les cas de coronavirus et d’orienter les personnes vers des ressources médicales. En Éthiopie par exemple, l’Information Network Security Agency a lancé le 23 mars une plate-forme de suivi du Covid-19 pour tenir le public informé du nombre de cas de Covid-19 dans le pays et fournir des informations telles que des indications pour trouver les pharmacies, les hôpitaux ou les postes de police à proximité. Les personnes qui développent des symptômes ou qui ont été en contact avec des cas confirmés peuvent également transmettre ces informations au ministère de la Santé via la plate-forme. Le système permet aussi aux utilisateurs de signaler des activités illégales ou non autorisées comme les grands rassemblements publics, et de fournir un signalement des personnes soupçonnées de présenter des symptômes, sur la base d’évaluations subjectives des symptômes des autres. Cette approche est préoccupante, en particulier actuellement, alors que les cas de harcèlement et de discrimination contre les étrangers et les travailleurs du secteur de la santé semblent se multiplier à mesure que les cas de Covid-19 augmentent en Éthiopie.
L’Équateur a annoncé le 25 mars le développement de l’application Salud EC, qui stocke le nom, l’année de naissance, le numéro de la carte d’identité et l’adresse géolocalisée de ses utilisateurs. Grâce à cette application à caractère volontaire, les utilisateurs peuvent signaler leurs symptômes liés au Covid-19. L’application donne ensuite à l’utilisateur un accès aux ressources en ligne créées par le gouvernement dans le cadre de l’urgence sanitaire.
Comment le traçage de la localisation peut-il interférer avec le droit à la vie privée ?
Les risques d’atteinte à la vie privée qu’implique le traçage de la localisation sont importants et bien établis. Les informations de localisation peuvent contenir des éléments sensibles et révélateurs sur l’identité, l’emplacement, le comportement, les associations et les activités d’une personne. L’utilisation des données du réseau de téléphonie mobile crée des opportunités de ciblage granulaires en temps réel qui peuvent être utilisées par les gouvernements pour mettre en place des quarantaines par la force, discriminer ou réprimer certaines populations pour d’autres raisons. Entre les mains de gouvernements abusifs qui ont déjà des méthodes de surveillance intrusives, le traçage de la localisation peut permettre de renforcer la répression.
Les programmes de traçage des téléphones portables décrits ci-dessus font craindre que la collecte, l’utilisation et la conservation des données par les gouvernements aille au-delà de ce qui est nécessaire dans le cadre de mesures légitimes et ciblées de surveillance de la maladie. Le manque de transparence de nombreuses initiatives de traçage du Covid-19, comme celles mises en place en Équateur et en Éthiopie, empêche le grand public d’évaluer les limites réelles qui existent sur le type d’informations personnelles qui seront collectées, utilisées, agrégées et conservées, ou encore de savoir quand le traçage et la collecte des données prendra fin une fois la pandémie maîtrisée. Cet aspect est particulièrement troublant pour des pays comme la Chine, l’Éthiopie et la Russie, où la surveillance est omniprésente.
Parmi les autres préoccupations en la matière, citons les restrictions à la liberté de mouvement des personnes fondées sur des applications opaques à caractère arbitraires, comme c’est le cas en Chine ; l’absence de consentement à l’utilisation des données personnelles, comme c’est le cas en Arménie, en Israël et en Corée du Sud ; et le fait de combiner l’usage des données de localisation avec celui d’autres types de données, telle la reconnaissance faciale, comme c’est le cas à Moscou. Presque toutes les initiatives qui utilisent les données de localisation pour lutter contre la propagation du Covid-19 placent de grandes quantités de ces données entre les mains des gouvernements, dont beaucoup ont des antécédents répressifs et pratiquent la discrimination contre des communautés déjà marginalisées, les minorités religieuses et les dissidents politiques, entre autres.
Les interférences excessives avec la confidentialité de la localisation peuvent porter atteinte à d’autres droits de manière excessive. En Israël par exemple, le Shin Bet aurait par erreur restreint les mouvements de plusieurs personnes en ordonnant la mise en quarantaine d’individus qui ont par la suite été testés négatifs au virus, notamment une femme qui a reçu l’ordre de se confiner après avoir fait signe dans la rue à une personne porteuse du virus. Le partage d’informations avec les forces de l’ordre peut également avoir un effet dissuasif sur l’accès aux soins de santé. Aux États-Unis, les gouvernements locaux collectent les adresses des individus testés positifs au coronavirus et partagent ces listes avec la police et avec les premiers secours, ce qui, selon certains experts en santé publique, pourrait dissuader certaines personnes de consulter un médecin ou de se faire tester par crainte d’un profilage par les forces de l’ordre. Enfin, la mise à la disposition du public des mouvements et comportements détaillés des personnes peut attiser la peur, créer la panique et causer de la discrimination. En Corée du Sud, le gouvernement envoie ainsi des « consignes de sécurité » pour tenir le public informé des lieux visités par les personnes infectées. Les propriétaires des magasins et restaurants concernés ont déclaré au quotidien The Guardian que ces alertes leur faisaient perdre leur clientèle et pouvaient les mener à la faillite, même après la désinfection de leurs locaux.
Si les données sont anonymisées, où est le problème ?
L’anonymisation (c’est-à-dire la suppression dans les données de localisation des informations qui rendent les personnes identifiables) a été mise en avant comme pouvant constituer une forme de protection, mais c’est un fait bien établi que les données anonymisées peuvent être associées à des données privées et publiques pour retrouver l’identité des individus. Pour éviter que cela se produise, les gouvernements devraient adopter des règles claires interdisant l’association de données anonymisées avec d’autres données personnelles. Cette question est devenue un problème majeur en Corée du Sud, où les informations personnelles divulguées dans les alertes SMS de santé publique s’appuyant sur l’historique de la localisation des individus infectés sont tellement détaillées qu’elles ont conduit au doxing des personnes concernées. Selon certaines informations, des personnes qui, sur la foi d’informations envoyées dans des alertes de santé publique, étaient soupçonnées d’avoir été testées positives au Covid-19, ont été victimes de discours de haine ou de harcèlement. Dans certains cas, les SMS ont alimenté la stigmatisation sociale et conduit à spéculer sur la possibilité de relations extraconjugales. La Commission nationale des droits de l’Homme de Corée du Sud a critiqué les autorités pour avoir fourni plus d’informations que nécessaire pour lutter contre la propagation de la maladie, entraînant des violations de la vie privée et des droits humains des personnes infectées, notamment des « dommages secondaires de patients devenus la cible de critiques, de railleries et de haine sur Internet ». La Commission a recommandé de ne partager que la localisation et les heures de passage des personnes infectées, plutôt que de fournir l’historique des déplacements de chaque individu.
L’agrégation des données crée-t-elle des risques d’atteintes à la vie privée ?
Les entreprises et les gouvernements analysent aussi de vastes ensembles de données de localisation pour prévoir l’évolution des maladies et l’efficacité des interventions de santé publique. Un exemple est le partenariat annoncé du CDC américain avec l’industrie de la publicité mobile. Google a lancé les « Rapports sur la mobilité de la communauté - COVID-19 » qui cartographient les tendances de la mobilité au fil du temps par pays ou par région et dans différents endroits comme les parcs, les épiceries ou les gares. L’initiative « Disease Prevention Maps » de Facebook fournit à ses partenaires de recherche, dont la Harvard School of Public Health aux États-Unis et la National Tsing Hua University à Taiwan, des « cartes de co-localisation » qui prédisent les déplacements, l’« amplitude des mouvements » pour indiquer si la distanciation sociale et d’autres mesures de prévention fonctionnent, et un « indice de connectivité sociale » qui cherche à évaluer la propagation de la maladie à partir « des amitiés nouées d’un État et d’un pays à l’autre ».
Google et Facebook affirment que leurs initiatives s’appuient sur des données de localisation anonymisées et agrégées qui fournissent des informations de haute précision sur les mouvements et le comportement des personnes, plutôt que sur l’historiques détaillé des localisations qui permettraient de retrouver l’identité des personnes. En théorie, l’agrégation de données crée moins de risques pour la vie privée. Cependant, les entreprises et gouvernements qui réalisent ces agrégations devraient divulguer suffisamment d’information sur les protocoles et procédures utilisés pour agréger les données afin de permettre aux chercheurs indépendants ou externes de tester si ces protocoles fonctionnent. Les initiatives de traçage du Covid-19 qui s’appuient sur des données agrégées devraient également révéler comment elles tirent leurs conclusions à partir de ces données, comment ces données sont utilisées pour informer les interventions de santé publique, et les limites et les risques associés à ce type d’analyses.
Le traçage de proximité par Bluetooth protège-t-il la confidentialité ?
Certaines entreprises et certains chercheurs ont récemment annoncé de nouveaux efforts pour rendre le traçage des contacts plus respectueux de la vie privée grâce à la technologie Bluetooth. Parmi les plus importants, on trouve une initiative paneuropéenne, la Pan European Privacy Preserving Proximity Tracing initiative (PEPP-PT), la Decentralized Privacy-Preserving Proximity Tracing (DP-3T), ou encore la Privacy-Preserving Contact Tracing, une initiative d’Apple et de Google, qui consiste en une interface de programmation d’application (API) que les agences de santé publique peuvent intégrer à leurs applications de traçage des contacts. La phase suivante est un dispositif de traçage des contacts au niveau des systèmes, qui fonctionnera sur les appareils iOS et Android sur la base d’un opt-in (option d’adhésion). Dans le traçage de proximité par Bluetooth, les appareils qui se rapprochent les uns des autres partagent des identifiants pseudonymisés (une chaîne de nombres aléatoires qui ne sont pas liés à l’identité d’un utilisateur et changent toutes les 10 à 20 minutes pour offrir une protection supplémentaire). Un utilisateur infecté par le virus peut ainsi envoyer une alerte à tous les téléphones qui se sont trouvés à proximité. L’émission de ce signal ne permettrait pas d’identifier la personne infectée, et la personne infectée ne connaîtrait pas non plus l’identité des personnes qui seraient informées.
Le traçage de proximité par Bluetooth est présenté comme l’option la plus précise et la plus sûre pour le traçage des contacts, car la capacité d’un appareil à communiquer avec un autre est un moyen beaucoup plus précis pour détecter la proximité physique, et parce que les systèmes peuvent être conçus pour décentraliser les données, ce qui permet de les stocker localement sur l’appareil plutôt que sur une base de données centralisée.
Bien que prometteur à certains égards, le traçage de proximité par Bluetooth n’a, dans une large mesure, pas encore été mis à l’épreuve, et la conception de tels systèmes suppose de faire des choix qui ont des implications en matière de confidentialité et de sécurité. Par exemple, le traçage de proximité par Bluetooth peut s’appuyer sur des bases de données centralisées ou sur un stockage décentralisé des données sur les téléphones des individus. Si certains gouvernements peuvent préférer centraliser les données sous leur autorité, une telle approche peut se révéler problématique si l’autorité a de larges pouvoirs pour abuser des métadonnées, si elle est encline à la corruption ou à des formes de contraintes légales, ou n’a pas pris les mesures qui s’imposent pour sécuriser les données contre les attaques d’acteurs malveillants.
La décentralisation des données afin qu’elles soient stockées sur les appareils des utilisateurs est généralement considérée comme la meilleure option en matière de confidentialité. Cependant, cette approche n’est pas sans risques pour la vie privée. Un adversaire averti dans le domaine des technologies et qui se trouverait à proximité d’un appareil pourrait repérer les identifiants des personnes infectées qui auraient été stockées sur celui-ci, ou configurer un appareil avec une caméra fixe pour capturer les identifiants des utilisateurs de passage.
De plus, des chercheurs de l’Institute for Technology in the Public Interest avertissent que les garde-fous techniques ne sont pas une garantie contre une mise en œuvre abusive des technologies de traçage des contacts. Par exemple, un cryptage renforcé et des systèmes décentralisés ne sauraient protéger quiconque contre un gouvernement ou une entité privée qui conditionnerait l’accès d’une personne à un immeuble ou au réseau des transports à la production des résultats de l’application (disant si la personne présente ou non un risque de maladie infectieuse).
En Inde, l’application officielle Covid-19, Aarogya Setu, était initialement facultative quand elle a été lancée eu début du mois d’avril. Mais le 29 avril, elle est devenue obligatoire pour tous les employés du gouvernement en vertu d’une ordonnance du ministère du Personnel et de la Formation et pour tous les employés des secteurs public et privé suite à un arrêté du 1er mai du ministère de l’Intérieur (MHA).
Même si une application est officiellement proposée sur la base du volontariat, dans la pratique certaines entreprises affirment déjà qu’elles les imposeront comme condition de retour au travail. En Chine, Human Rights Watch a pu constater que les autorités locales obligent les utilisateurs à montrer l’application Health Code sur leur téléphone quand ils hèlent un taxi, utilisent les transports en commun, vont au supermarché ou accèdent à une zone résidentielle. Enfin, comme l’ont noté des experts en technologie, en droit, en politique et en épidémiologie, le traçage de proximité par Bluetooth est vulnérable aux trolls et à l’usurpation d’identité, ce qui pourrait affaiblir la confiance dans le système.
Les risques d’atteinte à la vie privée sont-ils justifiés ?
Les approximations des programmes de traçage soulèvent des questions quant à la nécessité d’imposer des restrictions au droit à la vie privée pour protéger la santé publique.
L’une des considérations clé est de savoir si les technologies de localisation sont capables de déterminer avec précision si une personne est en contact étroit (à moins d’un mètre 80 d’une personne pendant 10 minutes ou plus) avec une personne infectée. Des chercheurs en technologies ont découvert que les informations de localisation des stations de base ou les signaux GPS sont peu susceptibles de fournir des estimations de localisation avec le niveau de précision requis pour prédire de manière significative un risque de transmission du Covid-19. Si les technologies de traçage par Bluetooth peuvent permettre d’obtenir des mesures beaucoup plus précises, leur précision peut tout de même se dégrader en présence d’autres appareils qui transmettent des signaux, ou dans les zones à fortes interférences, comme les bâtiments à forte densité ou les parcs très fréquentés (en particulier dans les villes). De plus, le traçage de proximité à lui seul ne dit pas grand-chose sur la nature de l’interaction : les gens étaient-ils dans un espace fermé ou à l’extérieur, portaient-ils des masques, ou quelqu’un a-t-il éternué pendant l’interaction, pour ne citer que quelques exemples.
La diversité d’usage des téléphones portables selon les personnes peut également rendre les efforts de traçage de la localisation inefficaces. Par exemple, le traçage peut fonctionner selon le constat que chaque appareil appartient à un individu unique. Or en Sierra Leone, des chercheurs ont constaté que le détail des appels n’était pas un indicateur fiable de la transmission d’Ebola pendant l’épidémie de 2014 à 2016, car de nombreuses personnes utilisaient plusieurs téléphones portables, ou prêtaient, échangeaient et faisaient circuler leurs appareils au sein de leur famille et parmi leurs amis. Dans les zones où les signaux sont faibles, notamment dans les zones de conflit où les antennes-relais peuvent devenir des cibles stratégiques, les gens utilisent souvent plusieurs cartes SIM ou téléphones.
Les réponses de santé publique qui s’appuient excessivement sur le traçage de la localisation seront-elles discriminatoires pour les minorités ?
Les disparités dans l’usage des téléphones portables, mais aussi dans la culture numérique et dans l’adoption des technologies pourraient également exclure les populations vulnérables ou marginalisées des réponses de santé publique reposant de manière excessive sur le traçage de la localisation. Ces disparités sont particulièrement prononcées pour les applications de traçage des contacts, qui supposent que les utilisateurs bénéficient d’un accès à des smartphones répondant à des spécifications techniques minimales et d’une connexion mobile ou Internet fiable.
Selon la GSM Association, l’organisme industriel qui représente les opérateurs de réseaux mobiles dans le monde, le pourcentage de la population mondiale qui se connecte à Internet à l’aide de téléphones portables était de 49% fin 2019. Dans certaines régions, comme l’Afrique subsaharienne, les taux de pénétration ne sont que de 26%. Les analystes de l’industrie des réseaux mobiles estiment que le traçage Bluetooth sera hors de portée pour quelques 2 milliards d’utilisateurs de téléphones portables dont les appareils ne sont pas configurés pour prendre en charge cette technologie. Cela représente à peu près un quart de tous les téléphones portables utilisés à ce jour.
Les disparités géographiques (urbaine ou rurale) et de genre dans l’accès et l’utilisation des appareils mobiles sont également bien connues, et reflètent généralement, tout en les confirmant, des modèles plus larges d’inégalités. Les personnes âgées – un groupe particulièrement exposé aux maladies graves et aux décès pendant la pandémie de Covid-19 – sont moins susceptibles d’utiliser des applications spécialisées, d’avoir des smartphones ou même d’accéder à Internet. Aux États-Unis, une enquête Pew de 2019 a révélé que 68% des personnes âgées entre 55 et 73 ans possédaient un smartphone, contre 93% des personnes de 23 à 38 ans. En Italie, où le taux de pénétration d’Internet est l’un des plus bas d’Europe, le gouvernement a reconnu que son application à caractère volontaire de traçage des contacts s avait une efficacité limitée, dès lors qu’un sixième de la population n’utilise pas Internet et que les personnes âgées sont généralement peu susceptibles de la télécharger. En Chine, des personnes âgées sans smartphone ont été empêchées d’utiliser le réseau public des bus (qui exige désormais l’application Health Code) ou de pénétrer dans des hôpitaux publics (qui exigent désormais la prise de rendez-vous en ligne).
Dans certains pays, les femmes sont jusqu’à 31% moins susceptibles d’avoir accès à Internet que les hommes et dans le monde, les femmes sont 327 millions de moins que les hommes à posséder un smartphone. L’utilisation du téléphone portable par les femmes est entravée par des facteurs tels que la faiblesse de l’alphabétisation : dans le monde, sur 781 millions de personnes analphabètes âgées de 15 ans et plus, près des deux tiers sont des femmes et des jeunes filles. Si les gouvernements et les entreprises exigent que les applications de traçage des contacts soient une condition d’entrée dans les espaces publics ou privés, les populations vulnérables et marginalisées qui sont moins en mesure de télécharger ce type d’applications seront confrontées à la discrimination.
Human Rights Watch a également averti que l’utilisation d’ensembles de données incomplets et discriminatoires peut détourner les efforts de santé publique d’une manière qui met en danger les droits des personnes les plus pauvres et les plus vulnérables. Par exemple, une application plus stricte des mesures de distanciation sociale dans les pays à faible revenu pourrait excessivement pénaliser les travailleurs qui sont en première ligne, les sans-abri ou les chômeurs qui doivent se rendre dans les banques alimentaires ou auprès des organismes d’aide sociale, parce que les mouvements de ces personnes pourraient paraître anormaux ou violer les normes de distanciation sociale, alors qu’ils illustrent seulement le fait que ces personnes sont obligées d’être plus mobiles pour répondre à leurs besoins de base.
Recommandations
L’objectif de ces technologies est louable : protéger la santé publique en période d’urgence, dans une situation qui peut justifier un certain nombre de restrictions des droits. Mais le long historique des mesures d’urgence montre aussi que souvent, ces mesures vont trop loin, qu’elles n’ont pas l’effet souhaité et que, une fois approuvées, elles survivent aux motifs qui les justifiaient au départ. Quelle que soit la gravité de la situation, il incombe aux autorités publiques et aux acteurs privés de veiller à ce que ces mesures n’aillent pas au-delà des limites légales autorisées en matière de restriction des droits individuels.
Cela suppose que les gouvernements n’utilisent pas et n’approuvent pas les technologies qui se servent des données de localisation mobile pour lutter contre le Covid-19 tant que ces technologies n’ont pas démontré qu’elles étaient nécessaires et proportionnées pour lutter contre la propagation de la maladie, et qu’elles n’ont pas adopté des garanties adaptées en matière de prévention des violations des droits humains. Ces gouvernements devraient répondre à la question plus fondamentale de savoir si ces technologies sont vraiment efficaces pour freiner la propagation du Covid-19 ou si elles risquent au contraire de fausser le risque d’infection d’un individu, ou d’induire le public en erreur. Les gouvernements devraient aussi se demander s’il existe d’autres moyens de lutter contre la pandémie que le déploiement de technologies de traçage, et qui empiètent moins sur les droits comme le droit à la vie privée et le droit à la liberté de mouvement. Les normes juridiques internationales qui s’appliquent à la restriction de ces droits listent les éléments suivants :
- Les restrictions sont légales, c’est-à-dire qu’elles ne sont ni arbitraires ni discriminatoires dans leur conception ou dans leur application, et sont promulguées avec une spécificité suffisante pour donner aux personnes une idée claire de ce qui est interdit et fixer des limites pertinentes au pouvoir d’appréciation des agents dépositaires de l’autorité.
- Les restrictions doivent être nécessaires, au sens où elles seraient efficaces, fondées sur des preuves scientifiques, avec l’assurance qu’aucune alternative ayant un impact moindre sur les droits concernés n’existe.
- Les restrictions sont proportionnées au risque pour la santé publique et ne compromettent en rien l’essence du droit en question.
- Elles sont nécessaires pour atteindre un objectif légitime – dans ce cas précis la protection de la santé publique (plutôt que des intentions xénophobes ou discriminatoires).
- Les mesures et les restrictions de droits qu’elles impliquent sont limitées dans la durée à la situation d’urgence.
- La technologie et ses utilisations approuvées respectent la dignité humaine.
- La technologie est transparente et doit être examinée et contrôlée, et prévoir des réparations en cas d’abus de droits.
Questions pour guider l’évaluation des programmes proposés utilisant les données de localisation mobile
Human Rights Watch doute fortement que les programmes qui utilisent les données de localisation mobile décrits dans ce Q&R respectent un tel seuil d’exigence. Pourtant, des gouvernements du monde entier se lancent dans le développement de ce type de programmes avec une précipitation vertigineuse. Quand il s’agit d’analyser la technologie de localisation mobile proposée ou déjà mise en place, il est essentiel que le public, les médias, la communauté scientifique et technique et les décideurs politiques posent les questions suivantes, afin de déterminer si les outils ou programmes proposés présentent des risques indus pour les droits humains.
Questions préliminaires
Les gouvernements, les entreprises et autres qui participent à l’élaboration de programmes qui proposent d’utiliser les données de localisation mobile devraient d’abord vérifier si les technologies qui les sous-tendent sont capables de tracer l’exposition des individus au Covid-19 avec une précision suffisante. La façon dont un programme identifie les personnes à risque correspond-elle à ce que nous savons sur la transmission du Covid-19 (s’agit-il par exemple d’un traçage de proximité ou d’un traçage des symptômes) ? Les mesures effectuées par le programme sont-elles en mesure d’apporter des corrections ou de tenir compte des variations sur la façon dont une personne interagit avec une personne infectée (par exemple dans des bâtiments à forte densité ou des parcs fréquentés) ou utilise son téléphone (par exemple, en cas de partage d’appareils ou de taux de rotation élevés des téléphones portables) ? Quelles erreurs ces programmes peuvent-ils commettre ? Comment peuvent-ils interférer avec la capacité d’une personne à se faire tester et à se faire soigner, ou avec une réponse de santé publique plus large ?
Pour garantir la solidité d’un programme sur le plan épidémiologique et éviter les problèmes de parti pris et d’erreur, les gouvernements et les entreprises devraient mettre en place un dialogue constructif et transparent avec les parties prenantes concernées (société civile, représentants des populations vulnérables et marginalisées, informaticiens et épidémiologistes, notamment). Parmi les questions qui valent d’être posées, il y a celle de savoir si ces programmes seront liés à des réponses institutionnelles adaptées : existe-t-il, par exemple, un accès au dépistage et à des soins de santé pour les personnes à risque en cas d’exposition au Covid-19 ? Le programme détourne-t-il des ressources qui pourraient être allouées à d’autres mesures non techniques, comme la recherche « manuelle » de contacts et la diffusion de messages publics sur la distanciation sociale – et si oui, à quel effet ?
Les parties prenantes devraient également demander si ces programmes sont réellement sur la base du volontariat, et si les gens risquent d’être sanctionnés ou désavantagés du fait de leur décision de participer ou non à ces programmes. Par exemple, il est important de définir si le programme imposerait des mesures punitives ou des restrictions indues à la liberté de mouvement, à l’accès aux soins de santé et à d’autres droits, en particulier pour les populations vulnérables et marginalisées.
Pendant la phase de conception
Si un programme est en cours de développement, en plus des questions évoquées ci-dessus, il est crucial de se demander s’il intègre les principes de respect de la vie privée dès la conception, notamment la minimisation des données, pratique qui consiste à ne collecter que des données adaptées, pertinentes et limitées à ce qui est nécessaire pour atteindre un objectif de santé publique scientifiquement établi. Autre considération pertinente : le programme pose-t-il des limites strictes à la façon dont les données sont collectées, utilisées, agrégées, conservées et partagées, notamment avec d’autres utilisateurs et agences gouvernementales, et avec le grand public. Enfin, existe-t-il des limites de temps clairement établies, notamment un plan de désactivation du programme et de suppression des données d’accompagnement de ce programme une fois qu’il ne sera plus nécessaire ? Exiger des autorités de protection des données qu’elles élaborent des lignes directrices sur la protection de la vie privée en cas d’utilisation des données personnelles en réponse à la pandémie est une étape décisive.
Il est essentiel de donner aux utilisateurs un pouvoir de contrôle sur les informations qu’ils partagent et de leur donner le choix d’arrêter de partager leurs données quand ils le souhaitent. Ces programmes permettent-ils aux utilisateurs de donner leur consentement effectif et pleinement informé, dans des termes transparents et un langage clair et simple, permettant aux utilisateurs de choisir de s’inscrire plutôt que de devoir décider de se désinscrire ? Ses fonctions de confidentialité, notamment les paramètres déterminant quelles données seront collectées, qui y aura accès, combien de temps elles seront conservées et comment les supprimer, sont-elles faciles à comprendre ? Dans le cas des applications de traçage des contacts, il est essentiel que la collecte, l’agrégation, la conservation et l’analyse des données personnelles et de santé ne soient pas centralisées entre les mains d’une seule autorité, comme un ministère au sein d’un gouvernement. Si les données collectées dans le cadre du programme sont utilisées pour analyser et communiquer à un individu son risque d’infection, il devrait fournir des informations utiles sur les limites fixées à cette analyse et diriger les personnes vers les ressources sanitaires pertinentes, comme les recommandations de santé publique du gouvernement.
L’anonymisation et la sécurisation des données sont des aspects essentiels de la conception des programmes et méritent un examen attentif. Les données collectées doivent être rendues anonymes dans toute la mesure du possible et les risques de désanonymisation doivent être communiqués aux utilisateurs de manière compréhensible et accessible. Le code source a-t-il été mis à la disposition du public afin que celui-ci puisse évaluer si le programme fait réellement ce qu’il a l’intention de faire ? Les développeurs ont-ils divulgué des informations utiles sur les protocoles d’anonymisation qui permettent au grand public de vérifier leur efficacité ? Les développeurs doivent également divulguer la méthode utilisée pour protéger les données collectées contre les tierces parties qui chercheraient à les exploiter ou à les modifier. Par exemple, le produit dispose-t-il de contrôles de sécurité de l’information suffisants (tels que le chiffrement de bout en bout) et ces mesures sont-elles régulièrement soumises à un audit ?
Pendant la phase de déploiement
Si un programme est déjà en place, il doit être examiné ou réexaminé pour évaluer s’il est conforme aux normes présentées plus haut. Les développeurs devraient s’intéresser au contexte social et politique dans lequel les programmes opèrent et s’assurer que protections et garanties existent pour prévenir les abus. Par exemple : les utilisateurs peuvent-ils contester la collecte, l’agrégation, la conservation et l’utilisation de leurs données et ont-ils accès à des recours efficaces contre les abus ? Peuvent-ils se retirer du programme et supprimer leurs données ? Les communautés et les utilisateurs peuvent-ils auditer eux-mêmes ces outils pour s’assurer que la technologie est fiable et fait ce qu’elle prétend faire ?