Ces derniers jours, les discussions autour de l'utilisation des données pour lutter contre la pandémie de corona se sont multipliées
Nous avons donc rédigé un document ad hoc (PDF, anglais) sur la conformité avec le GDPR et souhaitons profiter de cette occasion pour donner un premier aperçu de ces projets.
Aperçu des différentes mesures et projets
On y parle beaucoup des diverses mesures et projets corona qui visent à contenir la propagation du virus par l'utilisation des données Il s'agit, par exemple, de
- Les portails d'information (tels que les informations pour l'autodiagnostic ou les cartes des zones à risque),
- l'analyse de données anonymes (en particulier à partir des réseaux de téléphonie mobile),
- des applications qui tentent d'enregistrer les éventuelles situations d'infection (recherche de contacts),
- des applications pour vérifier les mesures de quarantaine jusqu'à,
- les tentatives de suivi des personnes infectées par le biais de diverses données telles que le suivi des téléphones portables ou l'utilisation des données des cartes de crédit.
Dans un article sur GDPRhub.eu, noyb a compilé un premier aperçu des applications et des projets concrets en Europe et au-delà, afin d'apporter un éclairage sur cette question également.
La grande majorité de ces approches sont très éloignées des formes problématiques de surveillance de masse ou "approches chinoises"
Le GDPR permet d'utiliser les données en cas d'épidémie - la question n'est pas de savoir si, mais comment.
Contrairement à de nombreux rapports initiaux, il n'y a pas de conflit général entre la protection des données (en particulier le GDPR) et l'utilisation de données personnelles dans la lutte contre une épidémie. Les déclarations affirmant qu'il faut "renoncer" à la protection des données semblent fondées sur une mauvaise compréhension du droit.
Max Schrems, président d'honneur du Noub : "Le GDPR prévoit explicitement le traitement des données dans la lutte contre les épidémies. Il ne faut donc pas "déroger" aux lois sur la protection des données, mais simplement observé.”
Les articles 6, paragraphe 1, point d), et 9, paragraphe 2, point i), du PIBR autorisent, selon les considérants du PIBR, le traitement de données, par exemple pour la lutte contre les "menaces transfrontalières pour la santé" ou pour la lutte contre les "épidémies"
Toutefois, le GDPR comprend également des règles visant à limiter au maximum les interférences avec nos droits fondamentaux, même dans la lutte contre le coronavirus
Max Schrems : "Les lois prévoient l'utilisation des données dans la lutte contre la couronne, mais seulement de manière raisonnable. La loi limite l'utilisation des données à ce qui est absolument nécessaire. Avec des concepts tels que "Privacy by Design", il est possible de développer des applications et des systèmes juridiquement solides qui aident à lutter contre cette épidémie. La question n'est donc pas de savoir s'il est possible d'utiliser des données personnelles, mais comment le faire correctement"
Il y a beaucoup de place entre une surveillance de masse excessive et la collecte et le traitement spécifique de certaines informations importantes. L'utilisation des données peut également représenter, en termes de droits fondamentaux, la "voie la moins onéreuse" par rapport aux restrictions actuelles à la liberté de circulation ou à la liberté d'entreprise.
Schrems : "Les applications volontaires basées, par exemple, sur l'autosurveillance stockée localement et cryptée peuvent être utiles. Si ces données ne sont décryptées qu'en cas de test corona positif, ces systèmes peuvent protéger de manière vérifiable la vie privée des utilisateurs. De telles approches s'apparentent davantage au port d'un détecteur de victimes d'avalanche privé - contrairement à un système de surveillance centralisé du gouvernement. “
Pour soutenir les projets de mise en œuvre de solutions conformes à la protection des données, le NIB a publié un document ad hoc sur les applications de recherche des contacts.
La confiance est nécessaire pour le succès de ces systèmes
Les gens doivent pouvoir faire confiance à la technologie dans la lutte contre le coronavirus, afin qu'un nombre suffisant de personnes y participent. Cela peut être réalisé par des mesures telles qu'un bon cryptage des données, le stockage des données dans les téléphones des utilisateurs et la publication du code source ("open source").
Schrems : "Ces projets ne fonctionnent que si une grande partie de la société y participe. Pour ce faire, nous avons besoin de systèmes qui permettent aux utilisateurs de contrôler leurs données. Le code source doit être révisable. Si cela est fait correctement, de tels systèmes peuvent certainement être recommandés"
Un point de vue réaliste sur les possibilités techniques
Ce qui surprend actuellement dans certaines déclarations, c'est la foi inébranlable dans la technologie. Des applications plus complexes, telles que la "recherche des contacts" après une infection, ne sont pas réalisables sans données très spécifiques. Des suggestions, telles que le calcul du risque d'infection entre deux personnes à l'aide de données de réseaux mobiles, sont davantage des vœux pieux qu'une éventuelle réalité technique.
Horst Kapfenberger, informaticien au NIB : "En raison de leur imprécision, les données de localisation des fournisseurs de téléphonie mobile sont absolument inadaptées, par exemple, pour déterminer d'éventuelles infections par le coronavirus. Nous ne pouvons pas construire de modèles significatifs avec des données brutes inexactes".
En outre, des incertitudes subsistent quant à la propagation du coronavirus. On dispose actuellement d'informations très différentes et souvent vagues sur les modes et le calendrier de la propagation du virus. Plus les paramètres entourant la propagation du virus sont flous, moins il est possible de calculer les contacts à risque spécifique à l'aide de solutions techniques.
Les utilisateurs risquent de se perdre dans une avalanche d'avertissements et d'informations non pertinentes ("surcharge d'informations"). Il est donc important de collecter des données pertinentes avec la qualité nécessaire, pour atteindre réellement les objectifs d'un projet.
Max Schrems : "Il ne s'agit pas de deviner les publicités qui pourraient nous intéresser, mais d'assurer la santé de la population. Nous avons donc besoin d'informations spécifiques, précises et correctes. Pour une statistique, des données brutes et anonymes sont souvent suffisantes. Pour tenter d'enregistrer des chaînes d'infection, il faut cependant des données très précises - qui peuvent être stockées localement et cryptées dans les locaux des utilisateurs"