La recherche de contacts, qui s’inscrit dans une réponse sanitaire globale plus large, constitue l’un des moyens utilisés pour lutter contre la propagation du virus au sein des populations. Toutefois, le procédé habituel, qui permet d’identifier manuellement les personnes qui auraient pu entrer en contact avec une personne infectée lorsqu’elle était contagieuse, est chronophage et peine à couvrir des populations entières. C’est pourquoi, afin d’intensifier la lutte contre la pandémie de COVID-19, de nouvelles technologies sont conçues et mises au point.
Ces dernières semaines, le recours à des applications mobiles de « suivi de contacts » (« contact tracing ») bénéficie d’un engouement accru. Ceci suscite de vives discussions, aux confins de la santé publique, de la protection des données et du respect de la vie privée. Mais la confiance qui est placée dans cette technologie ainsi que les intérêts stratégiques et probablement économiques qu’elle implique sont aussi au cœur des discussions. Nous craignons qu’une conception ou un usage inadéquats de ces applications puissent conduire à stigmatiser, accroître la vulnérabilité et la fragilité, la discrimination et la persécution de certaines catégories de la population et affecter leur intégrité physique et psychologique. Cette question rejoint celle, plus large, de l’utilisation responsable des technologies dans des situations de crise où la confiance est indispensable [1].
Le « suivi de contacts » (« contact tracing ») : quels peuvent en être les risques ?
Dans de nombreuses situations dans lesquelles le Mouvement de la Croix-Rouge et du Croissant-Rouge intervient, il y a souvent un seul smartphone pour tous les membres de la famille. Ils peuvent laisser leur téléphone à charger dans des endroits dédiés, qui peuvent accueillir des douzaines de téléphones à la fois. De la même manière, il se peut que des gens soient dans la même pièce, mais qu’ils se protègent avec un masque ou qu’ils soient séparés par une vitre ou une cloison en plexiglas. Ainsi, d’une situation à une autre, la complexité des interactions entre les personnes et des pratiques sociales ou encore une maîtrise relativement faible des outils numériques, peuvent rendre inopérante l’utilisation d’applications spécifiques ou de technologies indispensables à leur fonctionnement (comme le Bluetooth).
Dans les contextes où l’accès aux smartphones et à internet peut ne pas être suffisant pour que ces derniers soient utilisés de manière optimale, l’impact d’une technologie qui repose sur la proximité des capteurs des téléphones portables pourrait être sérieusement limité. Même là où les smartphones modernes sont largement utilisés, il existe un risque réel d’exclure ou de marginaliser les franges de la population les moins connectées, laissant les plus vulnérables de côté, pour finalement remettre en question l’utilité même du « suivi de contacts ». Le risque que les données collectées soient utilisées à d’autres fins – ou qu’elles soient croisées avec d’autres données afin d’identifier et peut-être de profiler des individus –constitue une préoccupation majeure. Ce détournement de la finalité pourrait mener à une surveillance intrusive, ou à un usage commercial indésirable et non consenti. Dans des situations de conflit armé, de violences ou de catastrophes, de telles pratiques peuvent avoir de graves conséquences humanitaires. L’une ou plusieurs de ces pratiques pourraient remettre en cause la confiance que les gens accordent au « suivi de contacts », aux politiques de santé publique et à ceux qui les encouragent. Sans cette confiance, l’utilisation et l’efficacité de ces applications seraient limitées.
Parallèlement, les applications de « suivi de contacts » ne sont pas à l’abri de cyberattaques ou de fuite des données, qui pourraient menacer la vie privée et la sécurité de leurs utilisateurs. Dans un monde divisé, qui se caractérise par des tensions inter-ethniques ou communautaires, ou encore par des inégalités économiques, les conséquences d’une telle menace pour la vie privée et les données personnelles seraient très préoccupantes.
À quoi pourrait ressembler une application de « suivi de contacts » efficace ?
Pour qu’une application de « suivi de contacts » devienne un élément efficace de la réponse à la pandémie, il faut une politique de santé publique suffisamment robuste pour pouvoir mettre en place les mesures de suivi nécessaires qui doivent l’accompagner, comme la possibilité de réaliser des tests appropriés et de disposer d’établissements de santé pour isoler ou soigner les patients. Ceci souligne une fois encore la nécessité d’investir dans des systèmes de santé sur le long-terme.
Il convient aussi d’instaurer des freins et des contrepoids pour contrôler l’efficacité du « suivi de contacts » et veiller à ce que la gestion de l’ensemble de cet écosystème soit transparente et impartiale ; un équilibre doit être trouvé entre les impératifs de santé publique et les droits individuels, notamment le droit au respect de la vie privée. Ceci n’est pas possible dans tous les pays et est encore plus difficile dans des environnements fragiles, qu’il s’agisse de conflits armés, de violences ou de catastrophes, dans lesquels les capacités et les moyens des États sont souvent sérieusement ébranlés.
Pour évaluer ces éléments une fois le dispositif mis en œuvre, il est nécessaire de procéder au cas par cas et d’avoir une connaissance approfondie de chaque contexte. Il est impossible d’énumérer de façon exhaustive tous les dangers possibles ou les écueils des applications de « suivi de contacts » qui sont actuellement envisagées ou mises en place un peu partout dans le monde. Toutefois, au regard de notre pratique humanitaire et de notre particulière expérience dans le domaine de la protection des données, il convient de bien peser les avantages et les risques que présentent le « suivi de contacts ». Ces procédés devraient s’appuyer solidement sur les normes scientifiques, éthiques et juridiques les plus récentes et seules les solutions qui sont fondées sur une approche respectueuse de la « protection des données dès la conception » devraient être prises en considération.
Suivre une « protection des données dès la conception » est essentielle pour garantir le respect du principe humanitaire de « ne pas nuire » ainsi que les droits et la dignité des individus concernés. Ici, la « protection des données dès la conception » repose sur une architecture décentralisée conçue pour protéger autant que possible les données sensibles sur les appareils des utilisateurs. Il convient par ailleurs de veiller à limiter les risques de détournement de données et à fixer un délai de conservation des données, afin que les dispositifs de « suivi de contacts » soient immédiatement désactivés une fois qu’ils ne sont plus utiles. Un certain nombre de protocoles de « suivi de contacts » qui ont été conçus pour aider à freiner la propagation de COVID-19, ont déjà été analysés sous l’angle de la protection des données dans l’action humanitaire. Un des protocoles décentralisés qui a le vent en poupe est celui proposé par le consortium DP-3T, qui s’appuie sur l’initiative d’Apple et Google et qui a été adopté par la Croix-Rouge autrichienne.
Conclusion : un appel à la vigilance numérique
Au fil de son histoire, le Mouvement a acquis une grande pratique dans l’évaluation tant des avantages que des risques que représentent les nouvelles technologies pour les opérations humanitaires. Aujourd’hui confrontés à une pandémie qui menace des millions de personnes dans le monde, nous observons à nouveau les avantages que l’on peut tirer de ces nouvelles technologies et des menaces qu’elles présentent. Les applications de « suivi de contacts » pourraient constituer un vrai moyen pour maîtriser la propagation du virus ; mais elles peuvent aussi soulever d’importants questionnements au regard, entre autres, de la protection des données personnelles.
Dans cette perspective, les États devraient apprécier si une application mobile de « suivi de contacts » peut constituer un élément adéquat, efficace, éthique et sûr, pour maîtriser la pandémie de COVID-19 dans une situation inédite où il s’agit de sauver des vies. Si un État considère que c’est là une bonne solution, alors il devrait bien peser les avantages et les risques de recourir à un protocole décentralisé tel que le DP-3T, mettre en place « une protection des données dès la conception » et veiller à ce que ces moyens respectent les normes scientifiques, éthiques et juridiques les plus récentes.
[1] Cette question a fait l’objet de discussions de fond lors de la dernière 33ème Conférence internationale de la Croix-Rouge et du Croissant-Rouge.
Commentaires