COVID-19 pourrait avoir son propre PATRIOT Act, mais nous avons besoin de garanties de confidentialité

Avec l’augmentation des infections à COVID-19 aux États-Unis, les autorités cherchent désespérément des moyens de suivre et de contrôler la propagation, en particulier avec des tests limités disponibles.

Google et Apple ont annoncé vendredi dernier un effort commun pour créer un réseau de recherche de contacts anonymes volontaire activé par Android et iOS qui surveillerait la propagation des infections en gardant une trace des personnes infectées et de celles avec lesquelles elles entrent en contact. Les gens téléchargeraient des applications mobiles auprès des responsables de la santé publique qui les avertiraient s’ils étaient à proximité immédiate de personnes infectées qui utilisent également le réseau. Le système utiliserait des transmissions Bluetooth Low Energy (BLE), plutôt que le GPS, de sorte que l’emplacement ne serait pas suivi, et les données de suivi seraient stockées sur le téléphone et non dans une base de données centralisée – tout cela aiderait à maintenir la confidentialité de participants.

Cependant, il existe de nombreux autres efforts d’atténuation du COVID-19 qui ne sont pas aussi respectueux de la vie privée car ils utilisent le suivi de l’emplacement et, très probablement, le stockage central des données.

Google a annoncé qu’il publiera des «rapports sur la mobilité communautaire» qui montrent les tendances au fil du temps par géographie, sur la base de données agrégées anonymisées provenant de téléphones de personnes ayant activé le paramètre d’historique de localisation. Facebook et d’autres sociétés fournissent aux épidémiologistes du monde entier des données agrégées anonymisées provenant de téléphones mobiles dans le cadre du réseau de données de mobilité COVID-19.

Et les Centers for Disease Control (CDC) suivent les mouvements anonymisés des citoyens américains sur la base des données de localisation des agences de publicité mobile. Bien que les défenseurs de la vie privée considèrent ce type de mécanismes de suivi comme invasif et troublant, ces données aident à révéler les espaces publics qui attirent encore des foules et guident les décisions politiques ultérieures, mais elles suscitent des inquiétudes.

Bien que j’applaudisse les efforts du gouvernement pour arrêter plus efficacement la propagation des infections, il doit y avoir des conditions et des limites spécifiques sur la façon dont ces données sont utilisées, sinon nous, en tant que nation, subirons de graves conséquences. Le gouvernement doit se mobiliser pour combattre cet ennemi invisible, mais nous devons également avoir des paramètres sur la façon dont les données sont protégées et utilisées. Plus précisément, nous avons besoin de cinq garanties.

Temporalité

La loi PATRIOT, adoptée seulement six semaines après le 11 septembre, a donné au gouvernement le pouvoir sans précédent d’espionner les citoyens américains. Cela avait peut-être du sens à l’époque, mais le gouvernement continue à aspirer des millions d’appels téléphoniques et de messages texte à ce jour. Si des entreprises comme Google et Facebook sont disposées à partager des données avec le gouvernement, il doit y avoir une période claire et définie quant à la durée du partage et à la période de conservation de ces données partagées.

Libertés civiles

Suite aux attaques du 11 septembre, les services chargés de l’application des lois comme le NYPD ont mené des activités de surveillance illégales de la population musulmane locale. Ce programme a été comparé aux camps d’internement américano-japonais de la Seconde Guerre mondiale et à la surveillance par le FBI des Afro-Américains qui s’opposaient à la ségrégation dans le mouvement des droits civiques.

Nous ne devons pas permettre que cette pandémie actuelle devienne un autre exemple de libertés civiles tombant au bord du chemin. Les données partagées pour nous protéger maintenant ne peuvent pas être utilisées pour des tactiques de surveillance ou de discrimination, maintenant ou à l’avenir.

Transparence

Toute entreprise qui partage des données sensibles avec le gouvernement, telles que des données de localisation, doit être tenue de fournir des rapports de transparence complets et opportuns, faciles à interpréter pour le public.

Spécifications d’utilisation et de but limitées

Les principes de pratiques équitables en matière d’information (FIPP) de l’OCDE stipulent que les données à caractère personnel ne doivent pas être utilisées à des fins autres que la finalité spécifiée de l’activité de traitement des données. Nous avons assisté à de nombreux exposés dans les médias et actions réglementaires contre les entreprises qui partagent des données de localisation à des fins secondaires. Dans ce cas, les données de localisation collectées et utilisées pour limiter la propagation du virus ne doivent être utilisées qu’à cette fin spécifique.

Sécurité des données

L’intention bien intentionnée du gouvernement de protéger les citoyens ne signifie pas automatiquement qu’il sécurisera leurs données sensibles. Si quoi que ce soit, il y aura probablement une légère augmentation de la cybercriminalité pendant la pandémie. Le gouvernement doit à ses citoyens de veiller à ce que les garanties administratives, techniques et physiques appropriées soient en place.

Alors que les responsables américains explorent leurs options, il est difficile de savoir quelles leçons de l’histoire ou quels types de protection des données, le cas échéant, sont réellement discutées. Nous ne pouvons que reprendre ce que nous avons entendu des reportages: Palantir, la société d’exploration de données qui utilise les outils de War on Terror pour suivre les Américains, est en pourparlers avec le CDC pour effectuer la collecte de données liées au suivi des maladies.

La société de reconnaissance faciale Clearview AI, qui a été durement critiquée pour avoir vendu ses logiciels aux forces de l’ordre, aux entreprises privées et aux régimes autoritaires, discute avec les agences d’État de l’utilisation de ses informations basées sur les données pour suivre les infections. Unacast a donné aux comtés locaux des notes de distanciation sociale basées sur les données de localisation des citoyens.

Que la liberté retentisse

Les États-Unis doivent trouver une voie pratique à suivre. Il existe en fait plusieurs types différents de données de localisation collectées, utilisées et partagées par une variété d’entités commerciales différentes – il serait donc préférable de déterminer d’abord quelles données sont les plus précieuses et qui sont les partenaires clés. Les médecins, les chercheurs, les universitaires, les éthiciens et les experts juridiques devraient être activement impliqués dans les conversations avec ces entreprises technologiques.

De plus, des techniques de préservation de la confidentialité doivent être utilisées lors du partage des données de localisation. L’effort conjoint Apple-Google est le dernier; d’autres incluent Private Kit: Safe Paths et la plateforme SafeTrace du MIT, qui permettent également aux utilisateurs de partager volontairement des données par des moyens anonymisés, décentralisés et chiffrés.

Le défi ici est qu’il est difficile de garantir réellement que les données anonymisées (données qui n’ont aucune chance d’identifier une personne) sont vraiment anonymes, sans être soumises à des contrôles contractuels, techniques et administratifs supplémentaires. Et les plates-formes qui dépendent des utilisateurs qui soumettent volontairement leur emplacement et leur état de santé pourraient se retrouver avec un faible taux d’adoption, conduisant à des résultats biaisés et inexacts.

Doit-il alors être laissé à notre gouvernement de mandater tous les citoyens américains avec un smartphone à partager leurs données de localisation au nom de la santé publique? Quoi qu’il arrive, maintenant, plus que jamais, il est impératif que nos autorités locales, étatiques et fédérales prennent en compte les différentes propositions de partage de données d’une manière qui place le citoyen américain en premier.



Traduit de l’anglais de https://techcrunch.com/2020/04/16/covid-19-could-have-its-own-patriot-act-but-we-need-privacy-guarantees/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.