De nombreux acteurs veulent géolocaliser les (potentiels) porteurs du coronavirus

De nombreuses entreprises, dont certaines connues pour leurs technologies de surveillance ou logiciels espion, ainsi que des ONG, proposent d'aider les autorités à surveiller la propagation de la pandémie en utilisant les données de géolocalisation des utilisateurs des services de Google, Facebook, voire des opérateurs téléphoniques, notamment.

D'après le Washington Post, le gouvernement américain serait en pourparlers actifs avec Facebook, Google et un large éventail d'autres entreprises technologiques et d'experts de la santé. Ils envisagent d'utiliser les données de géolocalisation captées par les téléphones des Américains pour lutter contre le nouveau coronavirus.

Les données agrégées seraient compilées de façon anonyme afin de s'assurer notamment qu'ils se tiennent à des distances sûres de sorte d'endiguer l'épidémie, de cartographier la propagation de l'infection, prédire les prochains hotspots ou décider où allouer les ressources sanitaires surchargées.

« Nous étudions les moyens de regrouper les informations de localisation anonymisées dans la lutte contre COVID-19 », a déclaré un porte-parole de Google, soulignant qu'un tel partenariat « n'impliquerait pas le partage de données sur l'emplacement, les mouvements ou les contacts de toute personne. Un exemple pourrait être d'aider les autorités sanitaires à déterminer l'impact de l'éloignement social, similaire à la façon dont nous montrons les horaires des restaurants populaires et les modèles de trafic dans Google Maps. »

Un groupe de travail créé par des cadres, entrepreneurs et investisseurs a présenté un éventail d'idées sur la cartographie des maladies et la télésanté à la Maison Blanche lors d'une réunion privée ce dimanche. Un responsable de l'Office of Science and Technology Policy, qui s'est exprimé sous couvert d'anonymat, a déclaré que le gouvernement était « encouragé par les entreprises technologiques américaines cherchant à exploiter des données agrégées et anonymisées pour glaner et découvrir des informations clés pour la modélisation de Covid-19. »

D'après le Post, Facebook travaillerait d'ores et déjà avec des chercheurs en santé et des ONG dans plusieurs pays afin de leur fournir des statistiques anonymisées et agrégées sur les mouvements des personnes, avec leur consentement, grâce à un projet appelé « cartes de prévention des maladies ».

Google a déclaré de son côté qu'il n'avait partagé aucune donnée agrégée et anonymisée, soulignant que le projet en était encore à ses débuts. Elle ne prévoit pas non plus d'exploiter les informations de localisation de ses utilisateurs pour l'aider dans ses efforts de « recherche de contacts » afin de trouver des personnes à risque.

NSO, Palantir et Clearview proposent eux aussi leurs « services »

Des marchands d'armes de surveillance numérique proposent eux aussi leurs « services ». La société israélienne NSO, connue pour ses logiciels espions, a ainsi confirmé à Bloomberg avoir développé un nouveau produit d'analyse de données capable de cartographier la propagation de l'épidémie, mais refusé de faire tout commentaire.

Une douzaine de pays testerait sa technologie qui, en analysant le suivi géolocalisé des téléphones portables des personnes contaminées – le temps d'incubation du virus – comparé aux données de localisation collectées par les opérateurs de téléphonie mobile, permettrait rétrospectivement d'identifier les personnes à proximité du patient pendant plus de 15 minutes, et seraient dès lors potentiellement vulnérables à la contagion.

Dans la mesure où il ne s'agit pas d'un logiciel permettant d'espionner un individu en particulier, le système n'aurait pas besoin d'obtenir d'autorisation d'exportation du gouvernement pour le vendre à des ministères de la santé étrangers, a précisé la source de Bloomberg.

À l'en croire, si le logiciel détecte un éventuel cas de contagion, un SMS serait envoyé au titulaire du téléphone portable, sans pour autant révéler son identité aux autorités. A contrario, lorsque les citoyens seraient testés positifs, et auraient donné leur autorisation, les autorités seraient en mesure de pouvoir corréler leurs cartes SIM avec leur identité.

Lundi, le gouvernement israélien avait déjà autorisé l'agence de sécurité intérieure du Shin Bet du pays à déployer une technologie similaire, initialement développée pour surveiller les mouvements des terroristes présumés, pour retracer le graphe social des Israéliens infectés.

D'après le Wall Street Journal, Palantir, la société de Peter Thiel soutenue par le fonds d'incubation de la CIA et qui travaille notamment avec les services de renseignement américain (ainsi qu'avec la DGSI, aussi), travaillerait avec le Centre pour le contrôle et la prévention des maladies (CDC) américain, tout en faisant de la protection de la vie privée une « priorité ».

La société Clearview, dont le logiciel de reconnaissance biométrique faciale, testé par des milliers de forces de police, a récemment fait polémique, serait lui aussi en discussion avec différentes agences fédérales afin de traquer les patients infectés, mais également identifier ceux qui auraient été « vidéosurveillés » à proximité de personnes connues pour avoir été contaminées.

K Health Inc, une start-up proposant une application utilisant l'intelligence artificielle pour donner des conseils médicaux personnalisés, et qui propose un diagnostic gratuit du COVID-19, serait elle aussi en pourparlers avec le CDC pour lui fournir des données aggrégées lui permettant de localiser où sont les patients ayant recensés des symptomes potentiellement associés au coronavirus. Elle a même mis en ligne une carte indiquant, quartier par quartier, le nombre de personnes ayant déclaré, aux États-Unis, des symptômes pouvant laisser penser qu'ils seraient porteurs du virus.

13 nouveaux clients, dont les urgences de la ville de Nouvelle Orleans, testeraient gratuitement, précise Forbes, une application similaire développée par Carbyne, combinant visioconférence et géolocalisation. La start-up, soutenue par Peter Thiel et l’ancien premier ministre israélien Ehoud Barak, s'était fait connaître en France lorsque la CNIL avait fait cesser le test de son application de vidéosurveillance participative Reporty dans la ville de Nice, car sans base légale et disproportionnée. Sur son site web, Carbyne explique vouloir soutenir les efforts pour stopper le coronavirus en offrant ses services aux gouvernements du monde entier. 

D'après Vice, Athena Security – société texane qui fournissait jusque là une intelligence artificielle censée pouvoir détecter les couteaux, armes à feu, comportements agressifs, chutes, accidents et « visiteurs importuns » dans les images de vidéosurveillance – propose aujourd'hui d'identifier ceux qui auraient de la fièvre via des caméras thermiques. Elle chercherait à les commercialiser dans les épiceries, hôpitaux, bureaux de vote, aéroports, agences gouvernementales, etc.

« Vous avez recommandé à tout le monde de ne pas aller aux bars. Vous ont-ils écouté ? »

Des technologues, épidémiologistes et professionnels de la santé ont, dans une lettre ouverte, listé « 13 choses que les entreprises technologiques peuvent faire pour lutter contre le coronavirus ». Ils appellent notamment Apple, Google et les autres fournisseurs de systèmes d'exploitation mobiles à fournir à leurs utilisateurs une option (en opt-in, et préservant la confidentialité des données) permettant de prendre en charge le suivi des contacts, afin de leur notifier s'ils se sont trouvé dans des zones à risque, encourager l'auto-quarantaine, le suivi, la détection précoce et la prévention des cas tertiaires.

Andrew Schroeder est le vice-président de la recherche et de l'analyse chez Direct Relief, une ONG qui, depuis 2017, utilise des outils de cartographie développés par l'équipe Data for Good de Facebook pour suivre les mouvements de population lors de catastrophes naturelles et d'épidémies.

Le week-end dernier, explique Protocol, il a travaillé « littéralement jour et nuit », avec la contribution de Facebook, sur un outil utilisant les données de localisation agrégées et dépersonnalisées d'utilisateurs Facebook qui ont activé l'historique des positions dans leurs applications, pour signifier aux responsables de la santé publique si les gens se déplacent plus ou moins dans un comté donné. 

« C'est exactement le genre de problème que ces données devraient révéler », a déclaré Schroeder. « Vous avez recommandé à tout le monde de ne pas aller aux bars. Vous ont-ils écouté ? », tout en reconnaissant que « ce que cela ne vous montrera pas, c'est est-ce que cela suffit ? »

Wired rappelle qu'en 2011, deux scientifiques britanniques avaient travaillé sur un projet de FluPhone (le téléphone de la grippe) afin d'alerter leurs utilisateurs si l'une des personnes qu'ils avaient préalablement croisées avait été contaminée, et que deux projets open source entendaient aujourd'hui mettre le concept à jour. 

CoEpi (pour Community Epidemiology In Action) espère ainsi « combler le fossé entre les actions gouvernementales de santé publique et l'attention individuelle à l'hygiène » et « permettre aux individus et à leurs réseaux personnels de suivre automatiquement et anonymement leurs propres contacts et de s'informer ainsi que leurs amis et leur famille des risques d'infection accrus ».

Private Kit, lancé par des personnes du MIT et de Harvard, ainsi que des ingénieurs logiciels de sociétés telles que Facebook et Uber, sur leur temps libre, voudrait pour sa part sécuriser le fait que ses utilisateurs puissent partager leurs géolocalisations avec ceux qu'ils désirent, et offrir de nouvelles opportunités aux chercheurs travaillant sur les pandémies ou les migrations, par exemple.

« Cela reste inenvisageable dans l'état actuel de notre droit »

Les États-Unis ne sont pas le seul pays à vouloir utiliser ce genre de technologie pour combattre le coronavirus.  Les opérateurs de téléphonie mobile partagent des données avec les autorités sanitaires en Italie, en Allemagne et en Autriche, relève Reuters. Ils aident à lutter contre le coronavirus en contrôlant si les gens suivent les restrictions de circulation tout en respectant les lois européennes sur la confidentialité.

Les données, anonymes et agrégées, permettent de cartographier les concentrations et les mouvements des clients dans les « zones chaudes » où le virus s'est installé. Le tracking reste cela dit moins invasif que l'approche adoptée par des pays comme la Chine, Taïwan et la Corée du Sud, qui utilisent des relevés de localisation des smartphones pour retracer les contacts des personnes testées positives ou pour appliquer des ordonnances de quarantaine.

En Italie, les opérateurs de téléphonie mobile Telecom Italia, Vodafone et WindTre ont proposé aux autorités des données agrégées pour surveiller les mouvements des personnes. A1 Telekom Austria Group, la plus grande société de téléphonie mobile autrichienne, partage les résultats d'une application d'analyse de mouvement développée par Invenium, une spin-off de l'Université de technologie de Graz, qu'elle a soutenue.

En Belgique, rapporte Le Soir, le ministre de la Santé publiqué a autorisé les opérateurs télécom à transmettre une partie de leurs données à un tiers privé, la société Dalberg Data Insights, spécialiste du « data for good », pour lutter de manière plus ciblée contre l’épidémie.

Si ce projet d'alliance venait à se concrétiser, précise L'Écho, les données (géolocalisation, âge,...) liées aux utilisateurs de smartphones en Belgique pourraient, à terme, être utilisées pour évaluer l'évolution de l'épidémie. En identifiant, par exemple, les « superpropagateurs » (ceux qui voyagent le plus sur le territoire) ou les profils à risques. Et ce, afin de pouvoir les sensibiliser, là encore, de manière théorique à ce stade et de façon ciblée. Pourquoi pas à l'aide de SMS en temps réel.

« Cela reste inenvisageable dans l'état actuel de notre droit », précise le député LREM Eric Bothorel à BFMTV, ajoutant que le suivi des personnes contaminées serait de fait limité et peu pertinent, en raison du manque de tests de dépistage du Covid-19, et nonobstant le confinement censé limiter les déplacements.

« Pour le moment, un tel dispositif n’est pas évoqué et ne correspond pas à notre culture. Il est même exactement aux antipodes », complète Jean-Michel Mis, député LREM, et co-rapporteur de la mission d’évaluation de la loi renseignement de 2015. Il est à ses yeux « hors de question de sortir des sentiers battus et il s'agit, au contraire, de garder un peu de sang froid, de méthode ».

Une séance de questions au gouvernement devrait néanmoins se tenir ce jeudi et aborder la question, précisait BFMTV : « L’opposition et la majorité vont nécessairement interpeller le gouvernement sur la mise en œuvre de tels dispositifs et de la façon dont elles toucheront à l'exercice des libertés publiques ».

Las : aucune des 17 questions au gouvernement, qui portaient pourtant toutes, directement ou indirectement, sur la pandémie, n'a évoqué la question.

Des données de santé et de localisation collectées pendant six mois ?

Deux sénateurs (Républicains), Patrick Chaize –qui préside le groupe Numérique du Sénat– et Bruno Retailleau –qui préside, lui, le groupe LR–, n'en ont pas moins déposé un amendement au projet  de loi d'urgence « pour faire face à l'épidémie de covid-19 », à l'occasion de son examen en commission.

Ils comptaient « faciliter les procédures imposées aux opérateurs dans la collecte et le traitement des données de santé et de localisation », pendant une durée de six mois après publication au J.O. de la future loi. La commission des lois, que nous avons contactée, nous a répondu que l'amendement avait été rejeté, mais sans que l'on ne sache à ce stade pourquoi.  Il pourrait cela dit être de nouveau redéposé lors de l'examen du projet de loi en séance.

[MaJ, 17h15] En séance, les deux sénateurs ont réintroduit leur amendement (voir notre brève : État d’urgence : mise en quarantaine et isolement parmi les mesures envisagées), qui n'en a pas moins été retiré à la demande du rapporteur et de la ministre.

L'exposé de l'amendement ne précisait pas, non plus, quels types de données de santé ni de localisation auraient été concernés, ni à quelles fins, ni dans quels cadres (lieu de stockage, durée, traitements, droits...). Le texte, déposé hier en procédure accélérée, sera examiné ce jeudi 19 mars en commission des lois puis en séance.

Dans son rappel sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées dans le contexte de crise sanitaire telle que celle du Covid-19, la CNIL avait opportunément précisé que « des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation ».

Elle précisait à ce titre que « l'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ».

Des « dérogations » en matière de partage de données médicales personnelles

À toutes fins utiles, la Global Privacy Assembly, qui réunit plus de 130 autorités de protection des données personnelles, a de son côté répertorié les déclarations faites au sujet du coronavirus par près d'une quarantaine de ses membres. Mais vu l'état d'urgence sanitaire qui tend à s'imposer dans le monde entier à l'aune de la catastrophe annoncée, il est loisible de penser qu'entre sécurité et libertés, le curseur va de nouveau tanguer.

Le secrétaire d'État du département de la Santé et des Services sociaux des États-Unis (HHS) vient ainsi de lever certaines sanctions prévues par le Health Insurance Portability and Accountability Act (HIPAA), censé protéger les données personnelles médicales et la vie privée des citoyens américains, afin d'améliorer le partage de données et les soins aux patients pendant la pandémie.

En vertu de cette dérogation, les hôpitaux ne seront pas pénalisés pour avoir omis d'obtenir le consentement du patient avant de partager des informations avec sa famille sur les soins qui lui ont été prodigués, pour ne pas avoir respecter le droit du patient de demander des restrictions en matière de confidentialité, ni même lui avoir expliquer ses droits en la matière.

Outre la dérogation, l'avis rappelle également aux prestataires de soins de santé que les informations sur les patients peuvent être partagées pour un large éventail de raisons, y compris à des fins de traitement censés renforcer la coordination ou la gestion des soins entre les prestataires impliqués.

Des divulgations sont également autorisées pour prévenir ou atténuer les menaces graves et imminentes. L'avis décrit également les raisons acceptables de partager les informations sur les patients avec les membres de la famille, les amis et les autres personnes impliquées dans les soins de la personne.

Le HHS a cela dit souligné que sans le consentement d'un patient, les divulgations aux médias et à d'autres personnes non impliquées dans les soins du patient ne sont toujours pas autorisées.