COVID-19 et applications mobiles de « suivi de contacts » : un appel à la vigilance numérique

Balthasar Staehelin & Cécile Aptel

18 juin 2020

Ce texte a été initialement publié en anglais sur le blog Law and Policy.

Alors que la pandémie de COVID-19 continue d'affecter tous les continents, des applications mobiles de « suivi de contacts » (« contact tracing ») sont développées dans l'objectif de freiner la propagation du virus. Le Mouvement de la Croix-Rouge et du Croissant-Rouge, qui constitue un vaste réseau humanitaire et qui dispose d'une grande expérience dans le domaine des soins de santé, en particulier dans les situations les plus complexes, est donc naturellement directement concerné par les questionnements qui entourent ces applications de « suivi de contacts ».

Dans cette note, Balthasar Staehelin, directeur de la transformation numérique et des données au CICR et Cécile Aptel, directrice du département politique, stratégies et connaissances de la Fédération internationale des Sociétés de la Croix-Rouge et du Croissant-Rouge, proposent une réflexion sur la nécessité d'étendre le principe humanitaire de « ne pas nuire » au domaine numérique et sur la manière d'y parvenir afin de préserver le principe d'humanité qui est le principe essentiel guidant toutes les activités humanitaires. Comment garantir qu'une application de « suivi de contacts » puisse être la plus efficace pour sauver des vies tout respectant les droits individuels et, en particulier, le droit au respect de la vie privée ?

 

La recherche de contacts, qui s'inscrit dans une réponse sanitaire globale plus large, constitue l'un des moyens utilisés pour lutter contre la propagation du virus au sein des populations. Toutefois, le procédé habituel qui permet d'identifier manuellement les personnes qui auraient pu entrer en contact avec une personne infectée lorsqu'elle était contagieuse, est chronophage et peine à couvrir des populations entières. C'est pourquoi, afin d'intensifier la lutte contre la pandémie de COVID-19, de nouvelles technologies sont conçues et mises au point.

Ces dernières semaines, le recours à des applications mobiles de « suivi de contacts » (« contact tracing ») bénéficie d'un engouement accru. Ceci suscite de vives discussions, aux confins de la santé publique, de la protection des données et du respect de la vie privée. Mais la confiance qui est placée dans cette technologie ainsi que les intérêts stratégiques et probablement économiques, sont aussi au cœur de ces discussions. Nous craignons qu'une conception ou un usage inadéquats de ces applications puissent conduire à stigmatiser, accroitre la vulnérabilité et la fragilité, la discrimination et la persécution de certaines catégories de la population et affecter leur intégrité physique et psychologique. Cette question rejoint celle, plus large, de l'utilisation responsable des technologies dans des situations, comme des réponses à des crises, où la confiance est indispensable [1].

Le « suivi de contacts » (« contact tracing ») : quels peuvent en être les risques ?

Dans de nombreuses situations dans lesquelles le Mouvement de la Croix-Rouge et du Croissant-Rouge intervient, il y a souvent un seul smartphone pour tous les membres de la famille. Ils peuvent laisser leur téléphone à charger dans des endroits dédiés, qui peuvent accueillir des douzaines de téléphones à la fois. De la même manière, il se peut que des gens soient dans la même pièce, mais qu'ils se protègent avec un masque ou qu'ils soient séparés par une vitre ou une cloison en plexiglas. Ainsi, d'une situation à une autre, la complexité des interactions entre les personnes et des pratiques sociales ou encore une maitrise relativement faible des outils numériques, peuvent rendre inopérantes l'utilisation d'applications spécifiques ou de technologies indispensables à leur fonctionnement (comme le Bluetooth).

Dans les contextes où l'accès aux smartphones et à internet peut ne pas être suffisant pour qu'ils soient utilisés de manière optimale, l'impact d'une technologie qui repose sur la proximité des capteurs des téléphones portables pourrait être sérieusement limité. Même là où les smartphones modernes sont largement utilisés, le risque d'exclure ou de marginaliser les franges de la population les moins connectées est réel, laissant les plus vulnérables de côté, pour finalement remettre en question l'utilité même du « suivi de contacts ». Le risque que les données collectées dans le but du suivi de contacts puissent être utilisées à d'autres fins – ou qu'elles soient croisées avec d'autres données afin d'identifier et peut-être de profiler des individus –constitue une préoccupation majeure. Ce détournement de la finalité pourrait mener à une surveillance intrusive, ou à un usage commercial indésirable et non consenti. Dans des situations de conflit armé, de violences ou de catastrophes, de telles pratiques peuvent avoir de graves conséquences humanitaires. L'une ou plusieurs de ces pratiques pourraient remettre en cause la confiance que les gens accordent au « suivi de contacts », aux politiques de santé publique et à ceux qui les encouragent. Sans cette confiance, l'utilisation et l'efficacité de ces applications seraient limitées.

Parallèlement, les applications de « suivi de contacts » ne sont pas à l'abri de cyberattaques ou de fuite des données, qui pourraient menacer la vie privée et la sécurité de leurs utilisateurs. Dans un monde divisé, qui se caractérise par des tensions inter-ethniques ou communautaires, ou encore par des inégalités économiques, les conséquences d'une telle menace pour la vie privée et les données personnelles seraient très préoccupantes.

À quoi pourrait ressembler une application de « suivi de contacts » efficace ?

Pour qu'une application de « suivi de contacts » soit un élément efficace de la réponse à la pandémie, il faut une politique de santé publique suffisamment robuste pour pouvoir mettre en place les mesures de suivi nécessaires qui doivent l'accompagner comme la possibilité de réaliser des tests appropriés et disposer d'établissements de santé pour isoler ou soigner les patients. Ceci souligne une fois encore la nécessité d'investir dans des systèmes de santé sur le long-terme.
Il convient aussi d'instaurer des freins et des contrepoids pour contrôler l'efficacité du « suivi de contacts » et veiller à ce que la gestion de l'ensemble de cet écosystème soit transparente et impartiale ; un équilibre doit être trouvé entre les impératifs de santé publique et les droits individuels, notamment le droit au respect de la vie privée. Ceci n'est pas possible dans tous les pays et est encore plus difficile dans des environnements fragiles, qu'il s'agisse de conflits armés, de violences ou de catastrophes, dans lesquels les capacités et les moyens des États sont souvent sérieusement ébranlés.

Pour évaluer ces éléments une fois le dispositif mis en œuvre, il est nécessaire de procéder au cas par cas et d'avoir une connaissance approfondie de chaque contexte. Il est impossible d'énumérer de façon exhaustive tous les dangers possibles ou les écueils des applications de « suivi de contacts » qui sont actuellement envisagées ou mises en place un peu partout dans le monde. Toutefois, au regard de notre pratique humanitaire et de notre particulière expérience dans le domaine de la protection des données, il convient de bien peser les avantages et les risques que présentent le « suivi de contacts ». Ces procédés devraient s'appuyer solidement sur les normes scientifiques, éthiques et juridiques les plus récentes et seules les solutions qui sont fondées sur une approche respectueuse de la « protection des données dès la conception » devraient être prises en considération.

Suivre une « protection des données dès la conception » est essentielle pour garantir le respect du principe humanitaire de « ne pas nuire » ainsi que les droits et la dignité des individus concernés. Ici, la « protection des données dès la conception » repose sur une architecture décentralisée conçue pour protéger autant que possible les données sensibles sur les appareils des utilisateurs. Il convient par ailleurs de veiller à limiter les risques de détournement de données et à fixer un délai de conservation des données, afin que les dispositifs de « suivi de contacts » soient immédiatement désactivés une fois qu'ils ne sont plus utiles. Un certain nombre de protocoles de « suivi de contacts » qui ont été conçus pour aider à freiner la propagation de la COVID-19, ont déjà été analysés sous l'angle de la protection des données dans l'action humanitaire. Un des protocoles décentralisés qui a le vent en poupe est celui proposé par le DP-3T consortium, qui s'appuie sur l'initiative d'Apple et Google et qui a été adopté par la Croix-Rouge autrichienne.

Conclusion : un appel à la vigilance numérique

Au fil de son histoire, le Mouvement a acquis une grande pratique dans l'évaluation tant des avantages que des risques présentés par les nouvelles technologies pour les opérations humanitaires. Aujourd'hui, confrontés à une pandémie qui menace des millions de personnes dans le monde, nous observons de nouveau les avantages que l'on peut retirer de ces nouvelles technologies et des menaces qu'elles présentent. Les applications de « suivi de contacts » pourraient constituer un vrai moyen pour maitriser la propagation du virus ; mais elles peuvent aussi soulever de gros questionnements au regard, entre autres, de la protection des données personnelles.

Dans cette perspective, les États devraient apprécier si une application mobile de « suivi de contacts » peut constituer un élément adéquat, efficace, éthique et sûr pour maîtriser la pandémie de COVID-19 dans une situation inédite où il s'agit de sauver des vies. Si un État considère que c'est là une bonne solution, alors il devrait bien peser les avantages et les risques de recourir à un protocole décentralisé tel que le DP-3T, mettre en place « une protection des données dès la conception » et veiller à ce que ces moyens respectent les normes scientifiques, éthiques et juridiques les plus récentes.


[1] Cette question a fait l'objet de discussions de fond lors de la dernière 33ème Conférence internationale de la Croix-Rouge et du Croissant-Rouge.