Bilan

Coronavirus: le smartphone pour localiser pose question

Alors que les autorités suisses étudient les solutions de localisation des utilisateurs de téléphones mobiles pour lutter contre la propagation du coronavirus, diverses questions techniques et légales se posent, notamment sur la collecte et l’utilisation des données.

Lutter contre la propagation du coronavirus avec les smartphones: une solution déjà utilisée dans plusieurs pays (dont Singapour ci-dessus) et envisagée en Suisse.

Crédits: AFP

Le 25 mars 2020, soit moins de dix jours après les mesures de confinement annoncées par le Conseil fédéral, Swisscom officialise une offre de service: face à une série de comportements qui contreviennent aux consignes de distanciation sociale et sanitaire, l’opérateur de télécommunication propose de tracer les données de localisation des téléphones mobiles afin de repérer les lieux où se regroupent des gens, sur une demande des autorités fédérales.

Me Maëlle Roulet. (DR)
Me Maëlle Roulet. (DR)

Une proposition de tracking qui pose de nombreuses questions juridiques. «En premier lieu la définition de l’action: je ne suis pas certaine qu’il faille à ce stade utiliser le terme de tracking qui est largement employé dans les médias et sur les réseaux sociaux, explique Me Maëlle Roulet, spécialisée en droit des technologies au sein de l’Etude BRS Avocats. L’utilisation du mot tracking peut laisser penser que Swisscom établit et communique un profil de déplacement détaillé de chaque citoyen en temps réel. Or, selon les indications fournies par Swisscom, les données traitées ne seraient pas des données de géolocalisation qui permettent de suivre à la trace les téléphones. De plus, il y aurait un délai de 24h entre la collecte des données par Swisscom et la communication à l’OFSP. Si tel est bien le cas, il s’agirait donc plutôt d’un suivi rétroactif de positions géographiques. Cela signifie qu’on ne pourrait pas envoyer la police directement là où on détecte un rassemblement de plus de cinq personnes pour les amender. Se pose toutefois la question de savoir si ces données ne vont pas être utilisées à d’autres fins que celle annoncée de vérifier si l’interdiction de rassemblement est respectée. Les données pourraient par exemple aider indirectement à la prise de décisions des autorités concernant la fermeture des quais, des parcs ou tout autre lieu public qui accueillerait des rassemblements non autorisés.

Quelle technologie pour localiser les téléphones?

Une précision qui pose la question des moyens utilisés par l’opérateur pour localiser les utilisateurs. «Il existe plusieurs technologies qui permettent la localisation. Est-ce que Swisscom va déployer une application sur les appareils, inviter les utilisateurs à le faire, utiliser le GPS, le bluetooth, le wifi, ou plus probablement avoir recours à une méthode par triangulation des antennes? questionne Steven Meyer, CEO de ZENDATA et spécialiste de cyber-sécurité. Si c’est la triangulation, c’est déjà quelque chose qui existe depuis de nombreuses années et on ne peut pas y échapper». Une technologie notamment utilisée par Swisscom dans le cadre de sa plateforme Mobility Insight. «L’OFSP ne reçoit à aucun moment des données géographiques, mais seulement des statistiques et des visualisations que Swisscom peut calculer à partir de ces données», fait savoir l’opérateur, ce qui correspond à cette solution.

Me Juliette Ancelle. (DR)
Me Juliette Ancelle. (DR)

Cependant, si la solution de Swisscom existe déjà et est utilisée par plusieurs collectivités dont le canton de Berne et des communes comme celle de Montreux pour définir les flux de personnes, la Confédération ne l’a pas encore acceptée dans le cadre de la lutte contre la propagation du Coronavirus. «Le préposé fédéral à la protection des données a été saisi et se penche sur la légalité de ce que propose Swisscom, qui étudie d’autres propositions. Ce qui m’interpelle, c’est que Swisscom a évoqué un système d’opt-out pour les personnes ne souhaitant pas que leurs données soient utilisées. Or, si on utilise un opt-out, cela tendrait à aller dans le sens de données personnelles identifiables», questionne pour sa part Me Juliette Ancelle, avocate spécialisée dans le droit de la technologie au sein du cabinet idest avocats. «Si on est dans un contexte de données personnelles, Swisscom doit alors pouvoir s’appuyer sur un motif de traitement valable. Cette possibilité d’opt-out est en quelque sorte un moindre mal, mais elle soulève aussi de nombreuses questions».

«Selon la base légale invoquée par l’OFSP, pour traiter ces données de localisation dans le cadre de la pandémie, il faut soit le consentement de l’abonné, soit une anonymisation des données. Swisscom a parlé d’opt-out. Or si on permet un opt-out pour les abonnés, c’est que ces derniers n’ont à la base pas consenti de manière libre et éclairé. On est malheureusement un peu dans le cas des cases pré-cochées pour l’acceptation de la politique de protection des données sur les sites. C’est donc à mon sens l’anonymisation des données qui est la condition sine qua non au traitement de ces données dans le cadre de la pandémie», complète Maëlle Roulet.

Une démarche positive à Singapour

Pour cette dernière, «l’anonymisation des données est néanmoins très complexe à mettre en oeuvre. Son but est de ne pas pouvoir faire de lien entre la personne et ses données. Or, on peut avoir des données tierces qui permettent de refaire ces liens. Par exemple, dans un magasin, si on collecte les données de localisation des clients et des vendeurs, on peut remonter aux vendeurs car ceux-ci n’ont pas les mêmes types de déplacements. Sans compter que vu l’évolution technologique, ce qui est anonymisé aujourd’hui, ne le sera peut-être plus demain».

Le préposé valaisan à la protection de données, Sébastien Fanti, a adressé une dénonciation formelle au Préposé fédéral à la protection des données (PFPDT) quant à cette pratique, questionnant le recours à cette solution et son adéquation avec la lutte contre la pandémie. «On peut traiter les données personnelles en cas de danger et d’intérêt public prépondérant, et c’est un cas prévu dans le Règlement général sur la protection des données européen (RGPD) comme dans le droit suisse. Le préposé fédéral à la protections des données personnelles se penche sur la question, ce qui constitue déjà un garde-fou», note Juliette Ancelle.

L'app utilisée à Singapour. (AFP)
L'app utilisée à Singapour. (AFP)

Et si la solution résidait dans une alternative? A Singapour, les autorités ont promu la localisation des utilisateurs de façon positive. «Singapour a demandé aux gens d’installer une app en leur expliquant que celle-ci allait leur permettre d’être protégés en étant avertis d’un danger, si l’historique des déplacements croisés permettait aux autorités de leur dire s’ils ont croisé des personnes diagnostiquées positives, et ainsi d’être protégé. Si je sortais, je serais ravi de savoir que j’ai été dans un supermarché à moins de 40m d’une personne positive et que je peux être testé de façon précoce», suggère Steven Meyer. Singapour a d’ailleurs placé son application smartphone en open-source et d’autres pays dont la Suisse pourraient la reprendre pour leurs habitants. «Sans doute ne va-t-on pas aller vers uniquement du Swisscom, d’autres apps apparaissent y compris sur une base volontaire», note Juliette Ancelle.

Le silence des GAFAM

Et qui dit app dit smartphone et technologie. Or, dans ce débat, des acteurs majeurs du domaine sont étrangement discrets. Les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) sont les plus gros collecteurs et utilisateurs de données au monde. Via les appareils, des systèmes d'exploitation (iOS pour Apple, Android pour Google) ou les innombrables applications qu’ils détiennent et qui équipent des milliards de smartphones à travers la planète, ils détiennent déjà pour la plupart des données de géolocalisation. «La raison du silence des GAFAM est peut-être qu’ils détiennent ces données par le biais des conditions générales d’utilisation que nombre d’entre nous acceptent sans les lire attentivement. Les données sont le cœur de leur business. Veulent-ils sur ordre des Etats les livrer? On peut s’interroger. On peut se demander si cela les arrange d’éviter de se positionner et fournir trop d’informations sur les données en leur possession», glisse Maëlle Roulet.

Steven Meyer. (Bilan)
Steven Meyer. (Bilan)

Pour Steven Meyer, le constat est le même sur le fait que les géants du web détiennent ces données. Mais il serait ouvert à leur utilisation: «Si Google me dit qu’ils peuvent tracer les smartphones et offrent d’alerter les gens potentiellement infectés, je dis oui. Google et Apple ont déjà ces informations: qu’en faisaient-ils avant et qu’en font-ils maintenant? C’est une opportunité pour eux de montrer que les données peuvent faire le bien. Si les GAFAM unissaient leurs forces, ce serait positif et on arriverait à faire en sorte que les smartphones soient un système qui permet de protéger les populations et de sauver des vies».

Reste la question de l’avenir. Au-delà de la crise actuelle et des décisions qui pourraient aider à lutter contre la propagation du Coronavirus, une décision sur le recours au smartphone pour un usage décidé par les autorités pourrait-elle créer un précédent? «Il faut être très attentif à comment on aborde ces questions en période de crise. Après crise on aura pris l’habitude de certains comportements et il faudra faire attention. Là on a une prise de conscience: Swisscom peut avoir accès à ces données et les transmettre. Là ça devient concret. La protection des données pose des questions complexes: On n’est pas uniquement dans des pop-up pour valider des cookies. Il est utile d’en débattre et de s’assurer que le cadre légal est respecté», avertit Juliette Ancelle.

«Le canal utilisé aujourd’hui par la Suisse est inédit en matière de surveillance. Pourtant, des lois existent, telle que la Loi fédérale sur le renseignement ou la Loi sur la surveillance de la correspondance par poste et télécommunication. Lors de l’élaboration de ces lois, les garde-fous ont été largement débattus et ont effectivement été mis en place. Or là, on ne sait pas qui surveille le surveillant. On ne sait pas plus si le mandat conféré par la Confédération à Swisscom est une décision administrative ou un contrat du même type que ceux que Swisscom conclut avec des entreprises pour l’utilisation de sa plateforme Mobility Insight. On nage en eaux troubles. On est loin de ce qu’on connait habituellement en matière de surveillance: le consommateur et le citoyen ont besoin de davantage de clarté de la part des autorités», prévient Maëlle Roulet.

Matthieu Hoffstetter
Matthieu Hoffstetter

JOURNALISTE À BILAN

Lui écrire

Titulaire d'une maîtrise en histoire et d'un Master de journalisme, Matthieu Hoffstetter débute sa carrière en 2004 au sein des Dernières Nouvelles d'Alsace. Pendant plus de huit ans, il va ensuite couvrir l'actualité suisse et transfrontalière à Bâle pour le compte de ce quotidien régional français. En 2013, il rejoint Bilan et se spécialise dans les sujets liés à l'innovation, aux startups, et passe avec plaisir du web au print et inversement. Il contribue également aux suppléments, dont Bilan Luxe. Et réalise des sujets vidéo sur des sujets très variés (tourisme, startups, technologie, luxe).

Du même auteur:

Offshore, Consortium, paradis fiscal: des clefs pour comprendre
RUAG vend sa division Mechanical Engineering

Bilan vous recommande sur le même sujet

Les derniers Articles Techno

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Image Footer

"Tout ce qui compte.
Pour vous."