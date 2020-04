Des mesures exceptionnelles ont été prises pour analyser les déplacements des citoyens belges. Le cadre légal qui les entoure garantit la protection des données et le caractère temporaire des mesures. L’arrivée d’applications de surveillance des déplacements d’un autre type pourrait changer la donne.

La situation exceptionnelle que nous vivons tous actuellement a le don de remettre en question notre quotidien, nos certitudes et ce que nous sommes prêts à accepter. Personne ou presque ne s’est offusqué de voir les données de nos smartphones utilisées pour analyser le respect des mesures de confinement. En temps normal, ce type de proposition aurait été accueilli par un tollé de protestations. Allons-nous trop loin dans la surveillance? La réponse est nuancée.

Très vite après le début de la crise, plusieurs personnalités technophiles belges ont appelé à l’utilisation des données de nos smartphones. L’idée a rapidement fait consensus et a découlé sur la mise en place d’un groupe de travail (taskforce) baptisé "Data Against Corona" avec un objectif : utiliser les données des opérateurs télécoms pour lutter contre la propagation de l'épidémie de coronavirus. Sur le principe, tout le monde s’est accordé, mais la protection des données et celle des libertés individuelles sont deux enjeux majeurs qui découlent de cette décision.

"Dans le pire des cas, on peut imaginer que l’État possède la localisation de tout le monde en temps réel et sans limite de temps." Yves-Alexandre de Montjoye Professeur à l’Imperial College London

Du côté de la taskforce, on assure que tout a été mis en place pour respecter un cadre légal très strict. "Depuis le départ, le point central a été de faire ça dans les règles de l’art, sans aucun aspect de surveillance. L’APD (Autorité de protection des données) a donné son feu vert. Tout se fait complètement dans le cadre du RGPD et nous allons même plus loin : un comité éthique a été mis en place pour analyser les résultats avant de les transmettre aux ministres compétents", explique Laurent Hublet, membre de la taskforce "Data Against Corona" et CEO de BeCentral, l’épicentre de l’entrepreneuriat technologique bruxellois.

Un cadre légal indispensable

L’équipe mise en place veut donner toutes les garanties que la vie privée est respectée. Selon nos informations, les données ne sortent effectivement pas du périmètre des opérateurs de télécommunication. Les données arrivent toujours sous forme agrégée et ce sont au minimum des groupes de 30 personnes qui sont analysés. L’Autorité de protection des données aurait mené une enquête minutieuse avant de rendre un avis favorable pour cette démarche.

"Ce sont les données de déplacement, la matrice de mobilité uniquement, qui sont analysées. Il n’y a aucune donnée personnelle. Le but est de pouvoir lier ça avec les données épidémiologiques pour aider à affiner les modèles de prévision de propagation. Il n’y a aucun tracking individuel comme en Corée du Sud par exemple", affirme Laurent Hublet. Les données peuvent être conservées 4 mois pour être auditées par l’APD. L’action de cette taskforce est régie par un mandat d’action qui prendra fin en sortie de crise et qui suspendra automatiquement le transfert des données entre les opérateurs du pays et les analystes du groupe de travail. Pas de risque donc de voir cette mesure se prolonger ensuite.

"Un comité éthique a été mis en place pour analyser les résultats avant de les transmettre aux ministres compétents." Laurent Hublet CEO de BeCentral et membre de la taskforce "Data Against Corona"

Un document a permis d'établir un cadre légal rapidement: le RGPD, le Règlement général sur la protection des données. Instauré avec bruit et fracas en 2019, plusieurs passages de ce règlement sont dédiés aux situations de crise ou exceptionnelles. Un cadre législatif avait donc déjà été prévu, ce qui a permis d’activer rapidement des mesures fortes tout en garantissant la protection des données des citoyens. Ce cadre manque aujourd’hui cruellement dans d’autres parties du globe, comme aux États-Unis, où ces questions doivent se poser dans l’urgence et pourraient découler sur des décisions et des lois "émotionnelles".

Google sait où vous êtes

Si l’utilisation des données des opérateurs télécoms se fait dans un cadre bien défini et est observée attentivement par l’APD, qu’en est-il des géants technologiques? Google a, par exemple, dévoilé ce vendredi les données de localisation de ses utilisateurs depuis le début des mesures de confinement. Google possède ces données à partir du moment où l’utilisateur a "accepté de les partager", en réalité il s’agit d’une petite case à décocher dans l'application Maps de Google qui permet aujourd'hui au géant technologique d'offrir ces données aux autorités.

Google annonce s'engager à respecter la vie privée de ses utilisateurs et dit utiliser la technique de la confidentialité différentielle, qui offre des garanties mathématiques qu'une personne dans un ensemble de données ne sera pas identifiée.

Aller un pas plus loin ?

Pour certains, on ne va pas assez loin. Une nouvelle forme de "surveillance" a donc vu le jour avec des applications mobiles dites de "Contact Tracing". Elles sont plébiscitées par certains épidémiologistes pour lutter plus efficacement contre la propagation du coronavirus. Elles sont en train d’être développées en Allemagne, aux États-Unis, en Angleterre et l’une d’elles est déjà active à Singapour. Le fonctionnement de ces applications mobiles est simple. Elles utilisent la localisation et surtout la technologie Bluetooth. "La technologie Bluetooth est utilisée pour des questions de précision et permet d’enregistrer les personnes autour de nous", nous explique Yves-Alexandre de Montjoye, professeur à l’Imperial College London, qui a publié un rapport sur le sujet.

En Belgique, on apprend à bonne source que le groupe de travail "Data Against Corona" évalue actuellement des propositions d’applications de tracking.

L’idée est d’enregistrer les gens qui sont autour de nous en permanence. Lorsqu’une personne est officiellement testée positive au Covid-19, l’hôpital qui la prend en charge va générer un code qui va lui permettre de s’enregistrer comme "positive" dans l’application. L’application va ensuite informer toutes les personnes qui ont été en contact avec elle dans les 7 ou 14 derniers jours. Problème, ces applications présentent des risques énormes au niveau de la vie privée et de la sécurité des données personnelles. "Ce sera une décision gouvernementale d’utiliser ce type d'application ou non. Si c’est le cas, il faut mettre en place des garde-fous", explique Yves-Alexandre de Montjoye. Pour pouvoir les utiliser, il faudrait définir comment la protection des données et l’anonymat seront garantis, quelle sera la quantité de données stockées et qui y aura accès, ce qui n'est pas le cas pour l'instant. "Dans le pire des cas, on peut imaginer que l’État possède la localisation de tout le monde en temps réel sans limite de temps." Le groupe de travail demande des garanties et propose des recommandations d’utilisation.

L'Allemagne en veut plus

En Allemagne, où ce type d'application aurait été impensable voici un mois encore, le principe d’acceptation se développe. Nos voisins allemands vont s’équiper de l’application singapourienne Pepp-PT qui fonctionne sur le modèle décrit ci-dessus. L’utilisation de ce type d’application fera passer le côté "surveillance" de la crise à un autre niveau. En Belgique, on apprend auprès de l'APD que le groupe de travail "Data Against Corona" évalue actuellement des propositions d’applications de tracking.