Applications de traçage des contacts : un test pour le droit à la vie privée en Europe

Par Anna Bacciarelli, Amnesty International AI & Big Data Researcher.

Alors qu’un tiers de la population mondiale vit confinée dans le but d’endiguer la propagation du coronavirus COVID-19, les gouvernements explorent des solutions technologiques qui permettraient d’alléger les restrictions imposées aux déplacements. Les applications de traçage des contacts sont l’outil high-tech du moment, mais sans contrôle adéquat, elles pourraient bien changer radicalement l’avenir de notre vie privée et d’autres droits humains. Dans la lutte contre la pandémie, ne laissons pas l’Europe s’engager les yeux fermés vers un état permanent de surveillance généralisée.

Les lignes directrices de la Commission européenne sur le traçage numérique, publiées la semaine dernière, sont le point de référence pour éviter que les États ne s’engagent sur cette voie. Développées par les États de l’UE au sein de la Commission, elles proposent une orientation aux États membres qui explorent de nouvelles méthodes de collecte de données en cette période de crise sanitaire, tout en leur rappelant leurs obligations en termes de droits humains. Cette « approche européenne commune » en matière de normalisation et de surveillance pourrait, si elle est dûment mise en œuvre, faciliter les déplacements entre les États membres de l’UE et stimuler la croissance économique.

Les droits humains continuent de s’appliquer en temps de crise

D’après ces lignes directrices, les applications de traçage numérique doivent respecter le règlement général sur la protection des données (RGPD) – une requête qui, selon le Comité européen de la protection des données, est non seulement faisable, mais nécessaire. S’il existe des exceptions limitées concernant la mise en œuvre habituelle du RGPD en période de crise de santé publique, ce n’est pas un blanc-seing accordé aux États pour ignorer les critères juridiques existants.

Le droit international relatif aux droits humains continue de s’appliquer et toute ingérence dans la vie privée doit toujours être légale, nécessaire et proportionnée. Amnesty International et plus de 100 organisations de défense des droits humains ont exposé un certain nombre de conditions que les États doivent remplir s’ils instaurent une surveillance numérique renforcée pour faire face à la pandémie.

Les lignes directrices de l’UE promeuvent les droits humains et les principes sur lesquels doit se fonder la collecte de données – encourageant une approche non contraignante de la part des États et préconisant que toutes les applications soient utilisées de manière volontaire et rapidement supprimées une fois la crise passée. Toutefois, la profonde confusion et les contradictions qui imprègnent ces propositions font retentir la sonnette d’alarme.

Les applications décentralisées : une meilleure protection de la vie privée

Les lignes directrices s’accompagnent d’une recommandation phare en faveur d’applications de traçage des contacts décentralisées – du type de celles qui seront apparemment fournies par Apple et Google – qui donnent aux organismes gouvernementaux un accès bien moindre aux données personnelles et sont le bon choix lorsqu’il s’agit de protéger la vie privée et d’autres droits humains. Cependant, cette recommandation a rapidement été remise en cause par le débat sur les « limites » de cette approche qui accorde la priorité à la protection de la vie privée.

Il s’agit uniquement de lignes directrices et les applications de traçage des contacts peuvent varier énormément en termes de fonction ou de conception, mais certaines propositions semblent préconiser des applications qui permettent la collecte de données en se connectant à une base de données gouvernementale centralisée et aussi à une base de données paneuropéenne en réseau. Ce serait un grand pas dans la mauvaise direction pour les droits humains : les États pourraient avoir accès à des quantités phénoménales d’informations sensibles et à des possibilités de croiser des données jusqu’à présent non corrélées – à l’échelle nationale, mais aussi internationale – conférant ainsi aux gouvernements des pouvoirs étendus, vecteurs de possibles discriminations fondées sur ces informations.

Les applications de traçage des contacts doivent être présentées en toute franchise, avec leurs limites et leurs défauts, et ne pas être déployées au détriment des droits humains.
Anna Bacciarelli, chercheuse sur l'intelligence artificielle et les mégadonnées à Amnesty International

Les applications de traçage des contacts doivent avoir un champ d’application limité et répondre à un objectif et à des contraintes clairement définis. Le risque de dérive est très élevé, si les États cèdent à la tentation de collecter des données « au cas où » ou de fusionner des informations avec des bases de données existantes. Toute application de traçage des contacts doit être soumise à un examen rigoureux et régulier réalisé par des instances indépendantes de protection des données, afin de garantir que son usage soit conforme aux lois et normes relatives aux droits humains et à la protection des données.

Si elles préconisent l’utilisation des applications de traçage des contacts sur une base volontaire uniquement, les lignes directrices soulignent que pour être efficaces, ces applications doivent être adoptées par plus de la moitié de la population des États membres. On ne peut qu’espérer que les États le comprennent comme un indicateur des limites de ces applications, plutôt que comme une incitation à encourager leurs populations à les utiliser. En Corée du Sud, le programme de traçage des contacts étant présenté comme un exemple de bonne pratique, on attend des habitants qu’ils fournissent de grandes quantités de données, un réel motif de préoccupation pour les droits humains.

La Commission européenne doit affirmer clairement que, pour protéger les droits humains, les applications de traçage des contacts doivent adopter une approche décentralisée. En vue d’éviter les excès des États, les lignes directrices doivent définir explicitement quelles données peuvent être collectées et dans quelles circonstances, où et comment elles doivent être stockées et surtout, quelles sont les collectes de données et les pratiques qui sont interdites. Les régulateurs de données de l’UE sont un peu plus clairs aujourd’hui sur les lignes rouges à ne pas franchir dans la collecte des données via les applications de traçage, mais seront-ils écoutés ?

L’approche européenne commune ne se déroule pas exactement comme prévu. La France a demandé à Apple de supprimer un dispositif de protection de la vie privée pour créer une application centralisée. L’Autriche et la Suisse optent aujourd’hui pour des modèles décentralisés. Les Pays-Bas ont organisé une compétition d’applications,  un « appathon », qui a heureusement démontré la complexité d’une telle entreprise et amené à conclure qu’il fallait plus de temps, à la suite des interventions d’Amnesty et d’autres.

Pour que cette technologie fonctionne, la population doit être convaincue qu’il est dans son intérêt de l’utiliser. Nous devons savoir que les développeurs, les opérateurs et les organes de surveillance agissent dans notre intérêt et protégeront nos droits humains pendant et après la crise. En période d’urgence tout particulièrement, nous ne pouvons supposer que les États feront ce qui est juste – la transparence est de mise à chaque étape du processus.

On ignore encore dans quelle mesure les applications de traçage des contacts permettront d’alléger la pression qui pèse sur les systèmes de santé. Elles sont simplement un outil à la disposition des États pour gérer cette pandémie et doivent être présentées en toute franchise, avec leurs limites et leurs défauts, et ne pas être déployées au détriment des droits humains.

Cet article a été publié initialement par The Observer.