Écrit par Ruth Promislow, Michael Whitt and Stephen Burns

Dans la lutte contre la propagation du COVID-19, les gouvernements du monde entier ont envisagé l’utilisation d’applications numériques de recherche des contacts. Les applications de recherche des contacts cherchent à interrompre la transmission ultérieure du coronavirus en identifiant et en notifiant les contacts récents d’une personne infectée de manière anonyme. Les questions de protection de la vie privée ont été au cœur des considérations sur la façon dont cette technologie devrait être mise en œuvre pour atteindre cet important objectif de santé publique avec le moins d’impact possible sur la vie privée des personnes.

Dans certains systèmes numériques de recherche des contacts, les renseignements sur l’emplacement et l’identité peuvent être envoyés à un système central aux fins d’analyse, le plus souvent exploité par un organisme de santé gouvernemental. Dans d’autres, les systèmes sont décentralisés, où les utilisateurs obtiennent des informations et sont invités à mettre à jour leur état de santé COVID-19 (résultats positifs aux tests, par exemple). Cette technologie décentralisée de recherche des contacts est généralement décrite comme suit :

• les utilisateurs téléchargent une application et activent les communications Bluetooth sur leurs smartphones;
• l’application envoie une balise unique et anonymisée à d’autres appareils à proximité en utilisant la même application. Lorsque deux appareils sont dans une proximité définie pendant une période de temps spécifiée, chacun enregistre le « jeton » de l’autre appareil, et ils deviennent un « contact » anonyme de l’autre aux fins de l’application;
• une fois qu’une personne est confirmée comme infectée, avec son consentement, son téléphone télécharge les 14 derniers jours de jetons (ou en d’autres termes, les 14 derniers jours de « contacts »);
• les contacts enregistrés de la personne infectée sont appariés aux contacts téléchargés des utilisateurs enregistrés, et ces contacts sont informés de leur exposition au risque; et
• les données sont stockées sous une forme anonyme, de sorte que ni la personne infectée ni les contacts ne peuvent être identifiés, et les données ne peuvent être consultées par personne.
• Apple et Google ont proposé conjointement un logiciel pour leurs systèmes d’exploitation mobiles distincts (IOS et Android) qui est conçu pour interagir sur une base d’identité protégée, anonymisée et dépendante du consentement. Contrairement au modèle décentralisé de l’application de recherche des contacts, Apple et Google ont récemment confirmé qu’ils interdiraient l’utilisation du suivi de localisation dans les applications qui utilisent le nouveau système de recherche des contacts.

Le gouvernement fédéral canadien n’a pas encore publié sa position officielle sur l’utilisation des applications de recherche des contacts, mais certaines provinces (Alberta, Terre-Neuve-et-Labrador) ont déjà fait des pas vers l’utilisation de cette technologie sur une base volontaire. L’Alberta a mis au point l’application ABTraceTogether, une application volontaire qui peut être téléchargée sur son appareil personnel. Des détails sur les mesures de protection de la vie privée sont disponibles sur le site Web du gouvernement de l’Alberta. Les principales dispositions des mesures de protection de la vie privée sont les suivantes : seuls le nom d’utilisateur anonymisé aléatoire et d’autres données dépersonnalisées seront utilisés; le consentement peut être retiré à tout moment; et les journaux utilisés pour la recherche des contacts ne sont stockés que pendant 21 jours. Un certain nombre de problèmes de technologie et de sécurité ont été soulevés en ce qui concerne l’application ABTraceTogether, ce qui a ralenti son adoption. Une version mise à jour est attendue sous peu.

Le gouvernement de Terre-Neuve-et-Labrador a indiqué qu’il avait l’intention d’offrir une application de recherche volontaire des contacts, mais l’application n’a pas encore été rendue disponible.

Les commissaires fédéraux, provinciaux et territoriaux à la protection de la vie privée ont publié la semaine dernière un Déclaration conjointe aux Canadiens concernant l’utilisation et la mise en œuvre d’applications de recherche des contacts compte tenu des « risques importants d’atteinte à la vie privée » soulevés par cette technologie. Les commissaires affirment que certaines applications de la technologie n’offrent pas un niveau de protection efficace. L’utilisation des données de localisation est spécifiquement identifiée comme une préoccupation en matière de confidentialité. Les commissaires énoncent les principes à respecter dans la mise en œuvre de la technologie :

• Consentement et confiance : L’utilisation des applications doit être volontaire.
• Pouvoir légal : Les mesures proposées doivent avoir un fondement juridique clair et le consentement doit être valable.
• Nécessité et proportionnalité : Les mesures doivent être fondées sur la science, nécessaires à un but précis, adaptées à cet objectif et susceptibles d’être efficaces.
• Limitation de l’objectif : Les renseignements personnels doivent être utilisés à des fins de santé publique et à aucune autre fin.
• Dépersonnalisation : Les données dépersonnalées ou agrégées doivent être utilisées dans la mesure du possible, à moins qu’elles n’atteignent pas l’objectif défini. Il faut tenir compte du risque de réidentification, qui peut être accru dans le cas des données de localisation.
• Délai de prescription : Les mesures d’exception devraient être limitées dans le temps : tous les renseignements personnels recueillis pendant cette période devraient être détruits à la fin de la crise et l’application mise hors service.
• Transparence : Les gouvernements devraient être clairs quant au fondement et aux conditions applicables aux mesures exceptionnelles. Les Canadiens devraient être pleinement informés des renseignements à recueillir, de la façon dont ils seront utilisés, des personnes qui y auront accès, de l’endroit où ils seront entreposés, de la façon dont ils seront conservés en toute sécurité et du moment où ils seront détruits.
• Responsabilisation : Les gouvernements devraient élaborer et rendre public un plan de suivi et d’évaluation continus concernant l’efficacité de ces initiatives et s’engager à publier le rapport d’évaluation dans un délai précis.
• Mesures de protection : Des mesures de sécurité juridiques et techniques appropriées, y compris des mesures contractuelles solides avec les développeurs, doivent être mises en place pour s’assurer que les parties non autorisées n’accèdent pas aux données et que les données ne sont utilisées à aucune fin autre que leur objectif de santé.

La présente déclaration conjointe fait suite à la Publication préliminaire par le Commissariat à la protection de la vie privée du Canada d’un cadre d’évaluation visant à aider les institutions fédérales à répondre à la crise de la COVID-19. Le cadre d’évaluation d’avril a établi les mêmes principes que ceux ci-dessus pour guider le gouvernement dans l’évaluation des mesures proposées pour lutter contre la COVID-19 et qui ont une incidence sur la vie privée des Canadiens. Ce sont ces mêmes principes qui constituent l’épine dorsale des lois fédérales sur la protection des renseignements personnels et provinciales sur la protection des renseignements personnels.

Des directives similaires ont été émises par la Commission européenne de protection des données, qui a récemment publié des directives à l’intention des gouvernements de l’UE qui énoncent les caractéristiques et les exigences auxquelles les applications de recherche des contacts doivent répondre pour assurer la conformité à la législation de l’UE sur la confidentialité et la protection des données personnelles. Les principales caractéristiques identifiées sont la nécessité pour les gens d’avoir la certitude que les applications ne seront utilisées qu’à des fins spécifiquement définies et ne seront pas utilisées pour la surveillance de masse.

Le commissaire à l’information du Royaume-Uni a émis un avis sur l’initiative conjointe Apple-Google sur la technologie de recherche des contacts. Dans son opinion écrite, le commissaire déclare que la technologie proposée est « conforme aux principes de protection des données par conception et par défaut ». Elle note, entre autres, que l’application ne génère qu’une quantité limitée de données et que les jetons ne sont associés à aucune autre donnée qui pourrait être utilisée pour identifier ou localiser l’utilisateur de l’appareil. Le commissaire énonce des principes similaires à ceux énoncés par les commissaires canadiens et par la Commission européenne de protection des données à respecter dans la mise en œuvre de cette technologie, y compris la minimisation des données, ainsi que la transparence et le contrôle des utilisateurs.

Un certain nombre d’applications de recherche des contacts ont été élaborées ou proposées dans diverses administrations. Tous ont fait l’objet d’un examen minutieux de la part des défenseurs de la vie privée et des organismes de réglementation. Dans certaines parties du monde (comme l’Indonésie, la Chine, la Corée du Sud, Taïwan, l’Inde et la Norvège), les gouvernements ont déjà mis en œuvre des applications de recherche des contacts. L’Inde a utilisé une application obligatoire de traçage des contrats pour les fonctionnaires. En Australie, une application de recherche volontaire des contacts est en cours de finalisation par le gouvernement.

Alors que certains gouvernements ont mis en place une application de recherche des contacts sans l’utilisation de la technologie Apple-Google, plusieurs l’adoptent à la place d’alternatives. Sans la technologie Apple-Google, les applications créées par les gouvernements ont apparemment des limites. Par exemple, l’une des limites identifiées est que l’écran du téléphone doit être déverrouillé pour que l’application fonctionne correctement, ce qui soulève un certain nombre de problèmes de technologie et de sécurité. L’Allemagne a récemment changé de cap sur le type de technologie à utiliser, choisissant de procéder avec la technologie Apple-Google. Un nombre croissant de pays européens optent également pour une approche qui intègre la technologie Apple-Google.

La pandémie de COVID-19 présente des problèmes sans précédent, qui impliquent nécessairement des considérations de confidentialité. De cette manière, la pandémie a forcé l’innovation et la protection des données à coexister. Pendant que les gouvernements déploient la mise en œuvre de cette technologie, il est clair que les organismes de réglementation de la protection de la vie privée et les commissaires du monde entier surveilleront la situation. Pour de plus amples renseignements sur la COVID-19 et les questions liées à la protection de la vie privée, veuillez consulter le Bennett Jones COVID-19 Resource Centre.

Télécharger le PDF