Covid-19 : les données privées et de localisation au service de la surveillance de la pandémie… et des populations
Au sein de l'Union Européenne mais aussi dans plusieurs autres pays à travers le monde, les états ont mis en place diverses solutions de surveillance pour suivre l'évolution de l'épidémie de coronavirus.
Tandis que les Etats-Unis s'apprêtent à mettre en place un plan de partage de données anonymisées avec les géants de la tech afin de disposer d'un système de suivi des contacts via les données de localisation et à l'aide de technologies de reconnaissance faciale, le Comité européen de la protection des données (CEPD) rappelle les règles applicables dans l'Union Européenne.
Règles applicables au sein de l'UE
Dans l’Union Européenne, le traitement des données repose sur des principes de nécessité, de proportionnalité, de transparence et de confidentialité.
Le Règlement général de protection des données (RGPD) prévoit des mécanismes de collecte et de traitement de données personnelles par les autorités de santé publique applicables dans le cas d'épidémies sans qu'il soit nécessaire d'obtenir le consentement de la personne concernée.
Concernant le traitement des données de localisation collectées par les opérateurs de communications électroniques et régies par la directive eprivacy, les États membres ont la possibilité d’introduire des mesures législatives exceptionnelles afin de sauvegarder la sécurité publique pourvu que ces mesures soient nécessaires, appropriées et proportionnées au sein d'une société démocratique.
Toutefois, les autorités publiques devraient d'abord chercher à traiter les données de localisation de manière anonyme (c’est-à-dire sans que les personnes puissent être réidentifiées).
Les mesures intrusives, telles que le "pistage" des personnes via leurs historiques de données de localisation pourraient être considérées comme proportionnelles dans des circonstances exceptionnelles pour une durée limitée et en fonction des modalités concrètes du traitement.
Deutsche Telekom a annoncé qu'il transmettait des données de localisation anonymes de ses utilisateurs à une agence gouvernementale responsable du contrôle et de la prévention des maladies. Cette décision a été prise après que le gouvernement ait modifié sa législation sur la protection des données.
En Autriche également, les données anonymisées sont partagées avec le gouvernement afin d’évaluer le respect des consignes données.
Le gouvernement britannique a indiqué travailler avec les principaux réseaux de téléphonie mobile pour analyser les données de localisation de ses utilisateurs.
De nombreux pays recourent aux technologies de surveillance
En dehors de l’Union Européenne, les états ont mis en place diverses solutions de surveillance.
Suivi des personnes
En Iran, les personnes ont reçu une notification de la part du ministère de la santé pour télécharger l'application AC19. Google a supprimé cette application de son Play store, suspectée de collecter les données de localisation des utilisateurs afin de les communiquer au régime.
L’Espagne se prépare à recourir aux robots pour automatiser les test.
A Hong-Kong, toute personne débarquant sur le territoire se voit remettre un bracelet électronique afin que ses déplacements soient surveillés en temps réel.
En Thaïlande, chaque étranger et Thaïlandais ayant voyagé depuis des pays "à haut risque" Covid-19 se voit remettre une carte SIM permettant de le localiser pendant 14 j.
La détection de personnes malades
En Russie, en Chine, ou en Corée du Sud, des caméras de reconnaissance faciale équipées de capteurs de chaleur, permettent de détecter les personnes ayant une température anormalement élevée. En Corée, des SMS sont ensuite envoyés aux citoyens pour les informer sur les personnes contaminées dans leur quartier.
Le suivi des contacts (contact tracing)
Il s’agit de retrouver les contacts. On peut ainsi détecter les zones à risque où le virus pourrait se propager et, aussi, permettre aux autorités locales d’informer les contacts et de les isoler s'ils développent les symptômes.
Au Canada, il est possible de collecter les données de paiement associées à certains voyages.
En Corée du sud, le gouvernement a collecté les données bancaires relatives aux transactions afin de retracer les déplacements, les lieux fréquentés et donc les personnes avec lesquelles les malades ont été en contact.
En Israël, l'ISA (Agence de sécurité) a été autorisée à collecter les métadonnées pendant un temps déterminé pour assister le Ministère de la santé ; la police quant à elle peut collecter les données de localisation. L’objectif affiché est d’identifier les itinéraires de déplacement des porteurs de coronavirus dans les 14 jours précédant leur diagnostic, ainsi que l'identité des personnes qui sont entrées en contact étroit avec eux.
En Inde, les autorités collectent les données des appels téléphoniques, les images de vidéosurveillance et les données GPS des téléphones pour suivre les contacts des patients atteints du Covid-19. Elles collectent aussi les données auprès des compagnies aériennes et ferroviaires pour retracer les déplacements et vérifier l’application de la quarantaine.
Les autorités sanitaires du Bahreïn ont demandé aux citoyens de télécharger l'application BeAware. Cette application doit notamment permettre d’identifier les contacts de personnes contaminées et alerter les personnes dans le cas où elles s'approchent d'un malade ou d'un lieu où un malade s'est rendu ou est passé.
A Singapour, l'application TraceTogether développée par l'Agence technologique du gouvernement (GovTech), en collaboration avec le ministère de la santé, est présentée comme une technologie garante du respect de la vie privée des utilisateurs.
La solution repose sur l’échange de signaux bluetooth entre téléphones mobiles situés à proximité. Les enregistrements de ces rencontres sont stockés localement sur le téléphone de l'utilisateur pendant 21 jours. L'application est basée sur le consentement pour échanger des informations de proximité chaque fois qu'une application détecte un autre appareil avec l'application installée. L'application ne nécessite qu'un numéro de téléphone lors de l'installation. Il n’y a pas de collecte du nom, ni du carnet de contacts, ou des données de localisation ; uniquement un identifiant temporaire crypté.
En cas de besoin de suivi des contacts d’une personne contaminée, les utilisateurs devront autoriser le téléchargement de leurs données TraceTogether au ministère de la santé. Par la suite, le ministère de la santé appellera les contacts, parfois avec l'aide de la police.
Le contrôle des quarantaines
En Pologne, l’application Home Quarantine permet à la police d’adresser des demandes régulières aux personnes en quarantaine pour leur demander d’envoyer des photos analysées avec une solution de reconnaissance faciale.
En Corée du sud une application permet de géolocaliser les personnes infectées (données GPS) et d’alerter les autorités en cas de violation de la quarantaine.
En Chine, le gouvernement a invité la population à télécharger l’application Alipay Health Code. Une fois que les utilisateurs ont complété un formulaire avec leurs données personnelles, le logiciel génère un QR code et indique une couleur relative au délai de quarantaine applicable. L'application partage ensuite les informations avec la police.
A Singapour, le Ministère de la santé a mis à disposition du public des informations sur les victimes du virus ; les données ont ensuite servi à l'élaboration d'une carte interactive permettant à chacun de localiser les personnes infectées.
En Inde, le Kerala a publié des cartes détaillées avec l'heure et la date des déplacements des personnes testées positives.
Vers des systèmes de surveillance syndromique
L’observation et l’analyse des comportements des personnes infectées avant que des diagnostics confirmés ne soient posés (achats, absences, déplacements, symptômes, résultats de laboratoires…), permettent de créer un système de détection de la maladie qui se fonde sur des indicateurs de santé des individus et de la population.
Si l’objectif de suivre en temps réel l’évolution de l’épidémie peut être bénéfique et permettre de sauver de nombreuses vies, il n’en reste pas moins fondamental de prévenir tout risque de dérive quant à l’utilisation de ces données sensibles collectées à si grande échelle.