« Mettre sur pause » les app de recherche de contacts
Amnesty International s’inquiète de l’imperfection et du caractère intrusif de certains outils pouvant conduire à une surveillance de masse des citoyens
Sale temps pour les applications de recherche de contacts en temps de pandémie. Alors qu’Ottawa a rejeté la semaine dernière l’offre et l’application de l’Institut québécois d’intelligence artificielle (Mila), en raison des risques d’intrusion dans la vie privée et de privatisation des données récoltées, Amnesty International a appelé mardi les gouvernements à « mettre sur pause » le développement de ce type d’outil qui pourrait être « imparfait » ou « excessivement intrusif » en matière de vie privée, et ce, au nom de la protection des droits de la personne.
L’organisme international sonne également l’alarme sur les outils de recherche de contacts utilisés en Norvège, à Bahreïn et au Koweït, en raison de la surveillance de masse qu’ils induisent. « Pour que les applications de recherche de contacts jouent un rôle efficace dans la lutte contre la COVID-19, les personnes doivent avoir confiance dans le respect de leur vie privée », a commenté mardi Claudio Guarnieri, chef du laboratoire de sécurité d’Amnesty International, par voie de communiqué.
Lundi, les autorités sanitaires de la Norvège ont d’ailleurs décidé de mettre fin à l’usage de leur application, baptisée Smittestopp (Stop à la contagion) après que l’organisme national de la protection des données, le Datatilsyn, a estimé que le niveau d’intrusion dans la vie privée était démesuré au regard de la situation pandémique en cours dans le pays. « À la lumière de la situation actuelle, avec la faible étendue de l’épidémie, le faible taux d’utilisation de Smittestopp et les carences dans la réalisation des objectifs de recherche de contacts et d’évaluation des mesures sanitaires, nous ne considérons plus Smittestopp comme une intrusion proportionnée dans la protection des données personnelles », a-t-il indiqué.
600 000 personnes l’avaient téléchargée sur une population de 5,4 millions d’habitants, soit à peine 11 %, alors que l’efficacité de ce type de surveillance repose sur une adoption par plus de 60 % d’une population. Pis, tout comme les applications BeAware Bahreïn et Shlonik du Koweït, Smittestopp s’est démarquée « parmi les outils de surveillance de masse les plus alarmants », selon l’évaluation réalisée par Amnesty, « les trois effectuant activement un suivi en direct ou quasi direct de l’emplacement des utilisateurs en téléchargeant fréquemment leurs coordonnées GPS sur un serveur central », résume l’organisme.
Dans les dernières semaines, le laboratoire de sécurité d’Amnesty a examiné 11 applications de suivi des contacts en Algérie, à Bahreïn, en France, en Islande, en Israël, au Koweït, au Liban, en Norvège, au Qatar, en Tunisie et aux Émirats arabes unis. Il a découvert une faille de sécurité majeure dans l’application EHTERAZ du Qatar qui met à la merci de pirates les « informations personnelles sensibles de plus d’un million de personnes », mais également souligné le manque de transparence dans le stockage des données de l’application française, StopCovid, montrant même du doigt une possible « désanonymisation » des informations personnelles récoltées et pourtant anonymisées par respect de la vie privée.
« Le traçage des contacts est une composante importante pour combattre efficacement la pandémie, et les applications de traçage des contacts peuvent soutenir cet objectif », estime Amnesty en soulignant toutefois que la collecte de données doit être minimale et ces données stockées de manière sécuritaire. « Toute collecte de données doit être limitée au contrôle de la propagation de la COVID-19 et ne doit pas être utilisée à d’autres fins (application de la loi, sécurité nationale ou contrôle de l’immigration). Ces données ne doivent pas être mises à la disposition d’un tiers ou utilisées à des fins commerciales et rester anonymes, y compris lorsqu’elles sont combinées avec d’autres ensembles de données. »
La réidentification des données personnelles anonymisées était une « possibilité » identifiée par plusieurs experts en technologie et intelligence artificielle consultés par Le Devoir dans l’analyse de l’application du Mila, rejetée par le fédéral depuis. Le gouvernement du Québec réfléchit toujours à son adoption. Le projet de traçage du Mila envisage également de placer la gestion des données récoltées dans la structure opaque d’un OBNL, dans laquelle les représentants du gouvernement n’auraient que des postes d’observateurs.
« Les gouvernements qui déploient des applications centralisées de suivi des contacts avec un suivi de localisation en temps réel doivent revenir à la planche à dessin. Il existe de meilleures options disponibles qui équilibrent la nécessité de retracer la propagation de la maladie sans rassembler les informations personnelles sensibles de millions de personnes », a résumé Claudio Guarnieri d’Amnesty.