En effet, soit vous serez horrifié en découvrant la quantité d’informations que la société recueille sur chacun de vos mouvements, soit vous vous réjouirez en vous rendant compte que vous pouvez revenir en arrière et voir ce que vous faisiez, pas seulement à la journée près, mais à la minute près.
Les gouvernements qui luttent pour contrôler la propagation du COVID-19 n’ont pas tardé à saisir ces opportunités. Ces données pourraient les aider à suivre d’autres patients avec lesquels une victime nouvellement diagnostiquée aurait été en contact. Globalement, cette technique pourrait aider à identifier les zones à haut risque où les gens se rassemblent. Elle pourrait également avoir d’autres utilisations plus invasives.
Récemment, le Wall Street Journal a rapporté que les responsables du gouvernement américain utilisent les données de localisation de millions de téléphones portables pour comprendre les mouvements des citoyens et comment ces déplacements affectent la propagation de la maladie. Ces données, qui, selon certaines sources, sont dépourvues d’informations personnellement identifiables, montrent que les lieux propices au rassemblement de population comme les magasins et les parcs attirent toujours les foules. Ces données de localisation peuvent également montrer dans quelle mesure la population dans son ensemble applique les consignes de confinement qui imposent aux citoyens de rester chez eux. Une grande partie de ces données proviennent d’agences publicitaires qui les collectent tout naturellement, selon le journal.
D’autres pays adoptent une approche plutôt souple concernant l’utilisation des données de localisation pour le bien de tous. L’application, développée par Singapour sur la base du volontariat, TraceTogether, utilise la technologie Bluetooth pour le suivi de proximité. Lorsque les téléphones de deux utilisateurs se rapprochent, ils s’envoient un message contenant un horodatage, la puissance de leur signal Bluetooth, le modèle de leur téléphone ainsi qu’un un identifiant temporaire. Les téléphones stockent alors ces informations. Si un utilisateur est testé positif au virus, il peut uploader ses données de sorte à y donner accès au ministère de la Santé, qui les décodera et les utilisera pour identifier d’autres personnes qu’il aurait pu infecter.
En Israël, le ministère de la Santé aurait publié une application qui utilise des données fournies sur la base du volontariat pour protéger les citoyens d’une potentielle exposition au virus tout en protégeant leur vie privée. Elle avertit les individus qui sont entrés en contact avec des citoyens infectés, mais elle conserve toutes ces données sur les appareils des utilisateurs. Le gouvernement parvient à faire fonctionner cette initiative en envoyant des données anonymes sur les mouvements de citoyens infectés aux téléphones des utilisateurs.
Le gouvernement irlandais a dévoilé ses projets concernant une application de suivi également sur la base du volontariat qui semble fonctionner sur le même principe que le logiciel de Singapour. Attendez-vous à voir cette technologie disponible dans les dix jours, ont déclaré récemment des responsables du Health Service Executive (HSE) du pays.
Bien que de nombreux efforts de ce type soient mises en œuvre sur la base du volontariat, certains pays ont obtenu les données sans le consentement explicite des utilisateurs. Par exemple, l’initiative d’Israël n’a pu être déployée qu’après l’adoption par le gouvernement de réglementations autorisant la police israélienne à suivre les téléphones portables des individus positifs au COVID-19 à l’aide de son système anti-terroriste, Shin Bet, de localisation de téléphones portables.
Le Royaume-Uni se serait joint à l’Allemagne, à l’Autriche, à l’Espagne, à la Belgique ainsi qu’à d’autres en Europe pour obtenir des données de localisation anonymisées directement à partir des opérateurs de télécommunications. Après la Chine, l’Europe a été la plus durement touchée par la propagation du virus début mars. Selon certains rapports, les données sont utilisées pour déterminer combien de personnes se déplacent et se rassemblent.
Est-ce légal ? Le Comité Européen de la Protection des Données (EDPB), créé dans le cadre du RGPD, a publié une déclaration sur le traitement des données pendant la crise sanitaire. Cette dernière souligne que :
L’urgence est une condition légale qui peut légitimer les restrictions des libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence.
Ajoutant que ces conditions s’appliquent lorsque le traitement est nécessaire pour des raisons d’intérêt général majeures dans le domaine de la santé publique :
Dans ces circonstances, il n’est pas nécessaire de se baser sur le consentement des individus.
Ces conditions particulières ne signifient pas pour autant que les gouvernements peuvent librement faire tout et n’importe quoi avec les données personnelles. Les autorités doivent s’appuyer sur des techniques de protection des données, a ajouté le Comité. Le RGPD inclut l’anonymisation parmi ces techniques, bien que, comme les chercheurs et les militants l’ont démontré par le passé, vous pouvez toujours reconstruire l’identité des personnes à partir d’ensembles de données anonymes.
D’autres pays font aux citoyens une offre qu’ils ne pouvaient pas refuser. La Pologne a lancé une application téléphonique pour les personnes placées en quarantaine obligatoire de 14 jours après leur retour de voyage à l’étranger. Ils doivent prendre des photos d’eux-mêmes plusieurs fois par jour pour prouver qu’ils ne sont pas à l’extérieur, selon un porte-parole. S’ils ne parviennent pas à installer l’application, la police peut se rendre à leur domicile pour un contrôle aléatoire. L’application utiliserait à la fois le suivi de localisation et la technologie de reconnaissance faciale.
Toute ces initiatives soulèvent une question majeure : dans quelle mesure les droits civils, en particulier la vie privée, doivent-ils être affaiblis face à une menace aussi terrible que le COVID-19 ? Dans une lettre ouverte, un groupe de professionnels de la technologie et de la médecine dirigé par notre éminent confrère, expert EFF en technologie, le Dr Peter Eckersley, ne recommande pas la collecte directe de données par les gouvernements, mais appelle à l’aide les fournisseurs de systèmes d’exploitation mobiles. En mentionnant notamment Apple et Google, il a déclaré qu’une telle possibilité devrait être intégrée directement dans le système d’exploitation mobile avec une option d’activation :
Les utilisateurs qui auraient activé l’option pourraient alors être alertés de manière non identifiable s’ils ont été amenés à se trouver dans les mêmes endroits tels que ceux mentionnés dans les cas cités ci-dessus, afin de permettre l’auto-quarantaine, le suivi, la détection précoce et la prévention de cas tiers. Si une telle caractéristique pouvait être développée avant que le SRAS-CoV-2 ne soit omniprésent, alors elle pourrait empêcher la contamination de nombreuses autres personnes.
Que pensez-vous de l’utilisation des données de localisation pour aider à lutter contre la propagation du COVID-19 et pour surveiller les pratiques d’auto-isolement pendant l’épidémie ? De telles pratiques doivent-elles être obligatoires ? Si elles ne permettent de sauver qu’une seule vie, ne valent-elles pas la peine d’être testées ?
Dernier podcast Sophos-Naked Security
Billet inspiré de Should governments track your location to fight COVID-19?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.