L’application StopCovid respecte elle votre vie privée ?

Le gouvernement français lance en ces temps de pandémie une application permettant de préparer le déconfinement.

Serez vous fliqué ? Surveillé par la police ? Comme l’a fait la chine, état totalitaire ?

Vigilant sur le respect de la vie privée, je vous propose ma petite analyse sur le sujet !

J’aimerais vous remettre dans le contexte de la vigilance autour de la protection de la vie privée, avant d’éclairer sur les avis autour de l’utilisation de l’application.

Scrollez sur le sujet qui vous intéressera !

Nos libertés bafouées ?

Être vigilant sur l’utilisation de vos données personnelles est important.

Le fichage comme l’ a pu le connaître la France, au temps de la seconde guerre mondiale.

Les tentatives de fichage des Français, en croisant des fichiers informatiques en 1974 par le gouvernement français peuvent nous alerter.

C’est d’ailleurs par la révélation du journal le monde du projet « Safari » sur ces dérives possibles que la commission nationale informatique et liberté ( CNIL ) a été créée.

Cette commission indépendante de l’état est là pour conseiller, alerter et sanctionner en cas de dérive.

A la vue du développement d’une application inédite de surveillance généralisée de nos déplacements, de nos données de santé, la CNIL est une chance pour nous citoyens français.

Ensuite, le règlement général de la protection des Données ( RGPD ) permet de donner un cadre sur ce que peuvent faire ou pas les entreprises, et les organismes publiques. Y compris les états européens. ( à relire ici : le RGPD, protéger les citoyens, ).

Profiter de la crise pour surveiller ?

Sous des motifs louables, les gouvernements imposent des règles qui peuvent amener à réduire nos libertés fondamentales.

Avec l’application du gouvernement, on pourrait désormais identifier chaque individu. Voir où il se trouve. Voir qu’il participe à une manifestation politique, syndicale. Suivre tous ses déplacements. Voir avec qui nous conversons.

De fait, savoir qui vous êtes, pour qui vous avez voté. Puisque vous vous êtes rendus à la permanence ou une manifestation politique.

Participer à la survie de milliers de vie est un but louable.

Le même but louable qu’avait mis en valeur les États-Unis pour lutter contre le terrorisme.

On se souviendra les tristes conséquences : la collecte de masse des. Données de tous les citoyens. Géolocalisation, contenu des e-mails échanges, photos, réseaux sociaux, sms.

Toutes ces données ont été collectées. Sous prétexte de lutte contre le terrorisme, Edward Snowden, lanceur d’alerte s’est aperçu qu’on ne collectait pas les données de terroristes. Mais du monde entier. Et que les données des citoyens américains étaient le plus collecté.

Aussi, nous protéger ( contre le terrorisme , ou contre une épidémie ) ne signifie pour nous citoyens de ne pas tout accepter.

Qu’en pense Edward Snowden ?

En avril 2020, Edward Snowden reprend les mêmes alertes qu’il avait lancées, avec raison, sur la surveillance par la NSA. Il avertit :

 « Les gouvernements utilisent le coronavirus pour construire une architecture de l’oppression ».

Tout d’abord, Snowden rappelle que les scientifiques, chercheurs savaient ce qui nous arriverait.

« Et en fait, toutes les agences de l’intelligence le savaient, parce qu’elles lisent les rapports qui ont été publiés sur la pandémie ».

« Alors que l’autoritarisme se répand, alors que les lois d’urgence prolifèrent, alors que nous sacrifions notre capacité à arrêter cette glisse dans un monde moi libéral et moins libre : croyez-vous que la première vague de pandémie, puis la seconde, et la 16ème vague du coronivarius nous fera oublier que tous ces outils de surveillance ne seront pas gardés ?

Croyez-vous que les bases de données ne seront pas conservées ? Peu importe de la façon dont tout cela est utilisé.

Il est clair que nous sommes en train de construire l’architecture de l’oppression.

[ Source ici : interview Snowden conivarius covid19 ]

Que font les autres pays en matière de traçage des citoyens ?

  • israel :

L’application « The Shield » stocke régulièrement les données GPD et le SSID (le nom du réseau Wi-Fi, NDLR) du smartphone des utilisateurs permettant de cartographier les déplacements.

Lorsqu’un malade du coronavirus est détecté, le malade indique dans les endroits il a été. L’application « The Shield » alerte ainsi tous ceux qui étaient à proximité. L’application se base sur le volontariat.

Les défenseurs s’inquiètent cependant d’une deuxième application, beaucoup plus intrusive en terme de collecte de données. Celle-ci est normalement utilisée pour l’anti-terrorisme. Mais une dérogation a été apportée pour gérer la pandémie.

[ source : israel : traçage, surveillance et covid19 ]

  • Chine :

En chine, le citoyen n’a pas le choix. Pas de volontariat ou de consentement.

impossible de circuler si vous n’utilisez pas l’appli Alipay Health développée par le géant du e-commerce AliBaba. Elle fait apparaître un code couleur sur votre smartphone : vert pour une libre circulation, jaune pour les quarantaines de sept jours et rouge pour le double. D’après un article du New York Times, cette application est configurée pour renseigner la police et servir au-delà de la crise sanitaire.

[ source : Chine surveillance coronavirus ]

  • Corée du sud :

En Corée du sud, le gouvernement a ordonné à des personnes en quarantaine d’installer une application pour vérifier le respect du confinement.

Les données de localisation détenues par les opérateurs de télécommunications ont également été utilisées pour identifier les personnes exposées. Les lieux ont une contamination sont rendus publics, et très précis.

Les coréens ont peur de la divulgation de ces informations, très précises. Rendant visible à tous sa vie privée.

[ source  : Corée du sud et respectée de la vie privée, traçage ]

  • Singapour, Pologne et pays Européens.

Certains pays utilisent le volontariat.

A Singapour, l’application développée utilise le bluetooth du téléphone, sur la base du volontariat. Elle permet de prévenir les personnes qui auraient pu être à proximité de malades.

En Pologne, l’application développée permet de vérifier le confinement des personnes soumises à une quarantaine, suite à un retour de l’étranger.

Les autres pays, notamment Européens utilisent plutôt des données anonymisées, et aggrégées pour suivre le respect global de la population du confinement.

C’est le cas par exemple en France, où l’opérateur Orange a permis de constater qu’un million de parisiens s’étaient déplacés hors de la capitale.

Un avis favorable de la CNIL ?

La commission nationale informatique et liberté a donné un avis favorable sur l’application StopCovid, si son usage reste facultatif pour la population.

  • Pourquoi et comment peut elle donner un avis ?
  • Est-ce fiable ? Quelles précautions pour respecter nos droits ?
  • Quelle méthodologie ?

La CNIL se base sur 2 lois en vigueur.

  • Le RGPD qui donne le cadre de la protection des données, dès que ces données sont des données personnelles ( nom, prénom, email, téléphone, données de santé ..).
  • La directive européenne de 2002 ( e-privacy ) sur l’usage des données dans le domaine des télécommunications ( internet, réseaux sociaux, téléphonie ).

Nous avons la chance en Europe de disposer du fameux règlement européen . C’est une loi de bon sens, avec un cadre général. Qui peut s’appliquer à toute situation et tout contexte.

Et c’est génial, même sur des situations aussi exceptionnelles qu’une crise sanitaire. Jamais vécue depuis des dizaines d’année.

Nous sommes armés, soldats de la protection de la vie privée, pour avoir l’éclairage sur la mise en place d’une application gouvernementale qui va s’immiscer.

Aussi cela permet en tout cas de nuancer l’alarmisme d’Edward Snowden sur le sujet.

Ces textes réglementaires ne doivent pas en toit cas être vus comme empêchant les initiatives technologiques pour vaincre la pandémie.

Marie-Laure Denis, présidente de la CNIL précise ainsi, dans le rapport d’audition :

 » Les textes qui protègent les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, pour la protection de la santé publique. Ces textes imposent, essentiellement, de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives ».

[ source : crise sanitaire audition Cnil au sujet des applications de surveillance Covid19 ]

 

La bonne mise en pratique du RGPD permet plutôt de permettre la confiance des citoyens à l’utiliser. Et d’augmenter le taux d’acceptabilité à l’utilisation de ces outils. Ce qui est attendu, si l’on veut résoudre le problème sanitaire à grande échelle.

Collecter nos données de déplacement est-il légitime ?

Un des grands fondements majeur du règle européen ( RGPD ) est la légitimité, la proportionnalité et la pertinence du traitement des données.

La question de ces applications est bien : que va-t-on en faire ?

3 finalités sont entrevues :

  • cartographier l’étendue du virus.
  • s’assurer que les règles de confinement sont suivies.
  • faire du suivi de contact : permettre de retrouver qui a pu éventuellement être contaminé.

L’application StopCovid semble répondre à cette dernière finalité.

Cela peut sembler légitime d’accepter ces objectifs, afin de s’assurer de la santé, et surtout survie de nos citoyens.

Cependant, si le but est légitime, la question essentielle suivante à se poser est :

« Est ce que cette collecte massive de données est elle pertinente pour assurer la fin de l’épidémie » ?

Il faut se méfier de solution « tout technologique » ( comme le rappelle la présidente de la CNIL,  Marie-André Denis ).

Est ce bien efficace ? N’y a-t-il pas des solutions alternatives ? Moins intrusives pour le respect de notre vie privée ?

Et avec un bénéfice / risque pour le citoyen plus acceptable.

C’est la question méthodologique que pose le cadre du règlement européen.

Prenons un exemple :

Celui de l’entrée dans les lycées des élèves le matin. Certaines municipalités ont souhaité installer des systèmes de reconnaissance faciale. Alors qu’une simple carte d’étudiant avec une photographie peut suffire.

On voit ici que le risque ( ficher tous les étudiants de manière automatisée par de la reconnaissance faciale ) est bien plus important que le bénéfice retenu ( celui de quelques élèves indisciplinés ). Avec une solution alternative qui est aussi efficace.

Dans le cas de l’utilisation d’une application comme StopCovid, la CNIL s’appuie donc sur l’avis de scientifiques de la santé pour considérer si l’application pourrait être vraiment efficace et utile.

Dois-je accepter l’utilisation de StopCovid ?

Est-ce que le gouvernement peut forcer la population à utiliser l’application StopCovid ?

Non.

Tout d’abord, la directive européenne de 2002 sur la protection de la vie privée dans le domaine des télécommunications ( dite « e-Privacy » ) est claire : un consentement du citoyen doit être demandé.

L’utilisation des données de géolocalisation de votre smartphone ( qui sont bien des données personnelles ) ne peut être faite sans consentement de votre part.

Les opérateurs téléphoniques comme Orange qui utilisent les données de votre smartphone pour cartographier les zones de confinement traitent vos données ; mais dans ce cas elles sont anonymisées.

Une seule exception est faite pour ne pas devoir demander votre accord : celles par des mesures législatives, et limitées dans certaines conditions. Il s’agit par exemple de la « sécurité publique ».

En France, cela nécessiterait une loi, à la vue de notre constitution, selon la CNIL.

Sur quelle base légale peut on justifier le traitement de nos données personnelles pour gérer la crise sanitaire ?

Utiliser vos données personnelles peut être fait sous certaines conditions seulement.

Dans le domaine commercial où les usages courants, vos données sont utilisées sans consentement car vous signez un contrat : se faire livrer un produit chez vous par exemple nécessite évidement d’avoir votre adresse. Ces éléments sont précisés dans le contrat que vous signez.

Dans les autres cas, on peut utiliser vos données si:

  • c’est soumis à une obligation légale
  • Si vous donnez votre consentement explicitement. On demande votre accord.
  • Pour les intérêts vitaux de la personne concernée, notamment en cas d’épidémie.
  • Si le motif est légitime. Dans une entreprise on ne vous demande votre accord pour construire un annuaire d’entreprise avec votre nom, prénom et email car il est légitime que l’entreprise puisse utiliser des donner dans le but de travailler avec vos collègues.
  • Pour des motifs de recherche.

Le règlement européen protège de manière encore plus grande certaines données. Et c’est le cas des données de santé. Leur collecte et traitement est interdite, si vous ne donnez pas de consentement.

L’exception est possible pour les professionnels de la santé ( comme la gestion de votre mutuelle santé par exemple, les analyses pratiquées par les médecins ). Dans ce cas, le secret professionnel est nécessaire.

Pour l’application StopCovid, il ne semblerait pas qu’il y ait de collecte de donnée de santé, mais uniquement les déplacements.

En conclusion, le traçage des déplacements n’est possible que si vous êtes volontaire. Une loi serait nécessaire en France si le gouvernement voudrait passer outre, selon le rapport d’audition de la CNIL.

On s’interrogera cependant sur l’aspect volontaire. Si je décide de ne pas utiliser l’application stopVid, serai- je interdit de circuler ?

Le règlement européen précise bien l’aspect libre ( le consentement libre ). Si le citoyen refuse, il ne doit pas en subir des conséquences.

Si le gouvernement veut utiliser l’application pour autoriser Adhoc qui peut ou ne soit circuler librement, une loi s’impose.

Minimiser les données nécessaires, et temporairement.

Autoriser l’application stopCovid n’est en cas une carte blanche a tout collecter de votre vie privée.

Le principe de minimisation ion est de collecter uniquement les données nécessaires à répondre à l’objectif de l’application.

Ainsi par exemple, si le but recherche de l’application est de tracer les contacts proches éventuels, il n’est pas nécessaire de collecter votre âge, votre sexe.

Les données collectées par l’application doivent être détruites lorsque lorsque l’objectif est atteint. Ainsi, à la fin de la pandémie par exemple, l’historique de vos déplacements doit être supprimé.

Mieux, si la période de contamination est d’une durée de 14 jours, au delà, on peut procéder également à la suppression.

Le stockage illimité de vos déplacements est le sujet qu’ edward Snowden a soulevé un peu plus haut. Plusieurs vagues de pandémie pourraient laisser le gouvernement stocker de manière plus longue toute ces données. Et pire, ne pas le faire.

En ce sens, la CNIL a toute son importance ; la commission a un rôle de contrôle qu’elle pourra mener.

On se souviendra par exemple qu’elle avait épinglé le gouvernement sur le stockage des plaques d’immatriculation par les radars, sans supprimer ces donnees.

En 2019. la CNIL avait mis en demeure le ministère de l’intérieur. [ source : CNIL mise en demeure ministère de l’intérieur et radars automatiques ]

Vos droits.

Au delà de l’acceptation de l’application stopCovid, vous avez certains droits.

Le droit d’accès aux informations qu’on a collecté, le droit de rectification, et le droit à faire effacer ces données.

( sur ce dernier point, un refus peut être fait si cela va à l’encontre d’une loi légale qui empêcherait son effacement ).

La sécurité de vos données.

Les informations collectées sont personnelles et doivent être sécurisées. L’application stopVid doit respecter des règles techniques fortes de sécurité. Empêchant le vol de ces données à des fins malveillantes. Devant l’augmentation de hacking, de cybercriminalité.

Enfin cela paraît évident, mais ces données ne peuvent être partagées, revendues à des tiers.

Voilà, à la vue de ces réflexions, vous avez les éléments factuels pour faire propre idée sur le sujet.

Évitant les fakenews qui je suis sur vont polluer sur internet

La vigilance est de votre devoir pour contre balancer la protection de votre vie privée, et votre santé.

A suivre.

4 réflexions au sujet de « L’application StopCovid respecte elle votre vie privée ? »

  1. Ping : Chronique Zeboute Data privacy – 3 | Zeboute Infocom’

    1. zeboute Auteur de l’article

      Merci beaucoup pour votre retour ! Et de cet encouragement. Effectivement, la protection des données personnelles des citoyens nécessite vigilance.
      Et une méthodologie comme expliquée ici. Cordialement, Guillaume.

      Répondre

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.