En Belgique comme ailleurs, la palette d’outils employés pour lutter contre le coronavirus inclut une application mobile de traçage. Compte tenu de l’impact sur la vie privée, c’est un sujet sensible que l’Autorité de la Protection des données (APD) accompagne avec beaucoup de vigilance. Au final, ses avis fournissent aussi une vision intéressante de la méthode à adopter pour encadrer ce type de projet. On vous en parle ici.
L’application mobile de contact tracing, un sujet hautement sensible
Ce n’est pas peu de dire que l’Autorité de la Protection des Données est vigilante sur les moyens mis en œuvre par les instances publiques dans le cadre de la lutte contre le Covid.
Durant l’année 2020, elle s’est énormément investie, compte tenu des enjeux de protection de la vie privée. Elle a rendu dans l’urgence de nombreux avis sur des textes réglementaires et législatifs.
En avril par exemple, l’Autorité de la Protection des Données s’est ainsi prononcée sur deux avant-projets d’arrêtés royaux. Ces textes encadrent les deux projets technologiques phares sur lesquels la Belgique s’appuie :
- l’utilisation d’applications mobile de traçage ;
- la constitution d’une base de données « afin de prévenir la propagation du coronavirus ».
Les conclusions n’ont pas été tendres, appelant une révision de ces projets avant adoption. Pas franchement un blanc-seing. Pour autant, l’APD ne s’oppose pas par principe à ces projets.
Accord de coopération en août 2020, proposition de lois… les textes se sont ensuite succédés. Et les choses ont avancé rapidement.
L’application est désormais téléchargeable. Reste à savoir si elle sera adoptée par la population… En mars 2021, les statistiques d’utilisation étaient en tout cas décevantes.
Quoiqu’il en soit, l’effervescence n’est pas terminée et l’APD reste vigilante.
En février 2021, elle a adressé aux gouvernements et parlement belges un courrier appelant à la saisir préalablement à l’adoption de dispositifs législatifs ou réglementaires relatifs à ces questions.
Qu’est-ce qu’une application de contact tracing et pourquoi l’APD s’y intéresse-t-elle ?
Pourquoi une application mobile de traçage suscite-t-elle autant de préoccupation ?
En Europe, nombreux sont les États à vouloir se doter d’une application mobile de traçage.
Cette technologie viendrait en complément des dispositifs manuels existants.
Coronalert. C’est le nom de l’application mobile en Belgique. Comment fonctionne-t-elle ?
Si vous êtes testé positif, un identifiant aléatoire vous est attribué. L’application mobile sera capable de retrouver (à partir de leurs propres identifiants aléatoires) les personnes ayant été en contact avec vous pendant plus de 15 minutes et à moins d’un mètre 50 de distance. A condition bien sûr qu’elles aient elles aussi téléchargé l’application.
Les signaux de ces téléphones « que vous avez croisé » sont enregistrés pendant 14 jours par l’application. Ces personnes seront alors alertées et pourront décider de se faire tester.
On comprend qu’un tel traitement de données personnelles suscite de fortes inquiétudes :
- Numéro de téléphone, nom, prénom, données de géolocalisation (l’application fonctionne néanmoins à partir du bluetooth, pas du GPS)… les données collectées sont particulièrement intrusives pour la vie privée ;
- L’accès par l’État à une telle quantité de données pose forcément la question de la manière dont elles seront utilisées ;
- Le niveau de sécurité de l’application est une question critique. Une personne malintentionnée peut en effet décider de se faire passer pour vous et provoquer de fausses alertes.
Ces inquiétudes ont été relayées par des spécialistes de la sécurité informatique mais aussi par des structures telles que la Ligue des Droits Humains.
L’Autorité de la Protection des Données s’est de son côté livrée à une analyse poussée du fonctionnement de l’application. Et selon RTBF.be, elle en est ressortie plutôt rassurée.
Les inquiétudes se concentrent maintenant davantage sur sur le projet d’une base de données gérée de manière centralisée par Sciensano. A ce sujet, l’APD a rendu en mai 2020, dans l’urgence une fois encore, un avis critique sur une proposition de loi censée encadrer ce dispositif.
Les recommandations de l’APD concernant des applications mobiles de contact tracing
Vous pouvez recueillir des enseignements passionnants sur la manière de sécuriser un projet informatique ayant un fort impact sur la vie privée. Pour cela, il faut consulter :
- les avis rendus par l’autorité belge de la protection des données ;
- les lignes directrices rendues par l’EDPB.
Quels en sont les principaux apports ?
- L’installation de l’application doit reposer sur une base volontaire exclusivement. Hors de question de l’imposer. Et bien sûr, ceux qui refuseront de l’utiliser ne devront subir aucune conséquence (sanction, perte d’accès à un lieu…) ;
- L’anonymisation des données est essentielle. Les personnes alertées par l’application ne doivent pas connaître l’identité de la personne infectée. Prendre en charge cette anonymisation dans le téléphone de l’utilisateur permet aussi d’éviter que l’État n’accède aux données brut.
- Ce type de projet sensible doit faire l’objet d’une étude d’impact relative à la protection des données (DPIA) ;
- Il faut documenter la proportionnalité du dispositif envisagé. C’est une règle contraignante. En l’occurrence, certes une application mobile sera au final moins intrusive qu’un dispositif de suivi via des call-centers. Il est également indispensable d’examiner les alternatives moins intrusives et de démontrer pourquoi elles ne suffisent pas pour remplir l’objectif poursuivi.
- L’APD examine aussi l’architecture technique d’un projet technologique. En l’occurrence, elle regrette la multiplications des applications de contact tracing qui augmentent le risque sur la protection et la sécurité des données. Elle encourage au contraire le recours à une application labellisée unique.
- Le code source des applications de traçage doit être rendu disponible.
- Le recoupement des données collectées grâce à l’application de traçage avec d’autres sources doit être empêché.
Conclusion : l’application mobile de traçage, un projet sous surveillance de l’APD
L’APD ne s’est jamais opposée au recours à une application de traçage comme instrument de lutte contre la propagation du coronavirus.
Mais compte tenu des enjeux réels pour la protection de la vie privée, elle s’est fortement impliquée dans l’encadrement de cette ressource. C’est au même titre qu’elle s’est préoccupée de la création d’une base centralisée de détection des cas contacts.
Ses avis offrent un retour d’expérience intéressant pour vos démarches de mise en conformité RGPD. Notamment sur les mesures à mettre en place pour encadrer des projets très sensibles.