Lettre ouverte aux responsables politiques – Lutte contre le Covid-19 et développement de solutions technologiques de « tracking » – les droits humains ne doivent pas devenir des victimes collatérales

Bruxelles, le 17 Avril 2020

Madame la Première Ministre,

Mesdames et Messieurs les Ministres,

Il paraît évident, suite à la déclaration gouvernementale de ce 15 avril 2020 et à la feuille de route européenne proposée pour encadrer la levée des mesures de confinement liées au Covid-19, que les États européens, dont la Belgique, se préparent à avoir recours à des solutions technologiques dites de « tracking » pour traiter la crise actuelle.

Engagés dans une démarche constructive, étant étendu que nous faisons face à une situation exceptionnelle, nous sommes néanmoins convaincus de la nécessité de gérer la crise dans le respect des droits humains fondamentaux. A cet égard, nous, Fédération internationale des droits humains, Ligue des droits humains et Liga voor Mensenrechten, souhaitons pointer le caractère a priori excessif et prématuré des projets de « tracking » visiblement à l’étude, au vu de l’état de la situation à l’heure actuelle et des éléments dont nous disposons.

En effet, préalablement au recours à ces dispositifs attentatoires aux droits fondamentaux des individus, l’ensemble des autres moyens de sortie de crise doivent être étudiés, détaillés, publiés et clairement privilégiés. Il ne nous semble pas que cela soit le cas.

Si toutefois l’idée de recourir à ce type de moyens était arrêtée, préalablement à toute mise en œuvre, nous souhaitons

  • solliciter la constitution d’un groupe pluridisciplinaire d’expert.e.s,
  • attirer l’attention du gouvernement sur certains principes fondamentaux,
  • et appeler à la réalisation d’une phase test, si le recours à des mesures de traçage ou de surveillance devait être sérieusement envisagées.

Il s’avère en effet que l’expérience acquise depuis quelque mois dans d’autres États

[1] est de nature à offrir quelques enseignements sur les conséquences néfastes qu’on déjà pu avoir un recours précipité aux technologies de surveillances et de pistage. Ainsi,

  • En Israël, l’élargissement des mesures d’exception préexistantes et le manque de précautions sont dénoncés. On rapporte que ce sont les mesures établies à des fins particulières, telle la lutte contre le terrorisme, qui sont aujourd’hui utilisées à d’autres fins[2]. En outre, et pour ce faire, il est fait appel à des entreprises réputées pour leurs violations des droits fondamentaux[3].
  • Les doutes quant à la proportionnalité entourant les mesures prises, ainsi que les rapports quant au manque de transparence ou aux dérives autoritaires nous reviennent de Chine, d’Equateur, de Taiwan, de Colombie, etc[4].
  • En Corée du Sud, le défaut de précaution a conduit à mettre en danger la population et à susciter des comportements de stigmatisation et de discrimination[5].
  • Dans un autre contexte épidémiologique, au Libéria, le manque d’analyse et de connaissance du virus et de ses modalités de propagation, de même que le peu d’analyse du cadre légal et logistique ont conduit à l’échec grave des mesures entreprises[6].

Ainsi, de circonstances exceptionnelles en circonstances exceptionnelles, il est un risque non négligeable de s’inscrire progressivement et durablement dans un modèle social non désiré. En outre de nombreux impacts sont possibles, et doivent être en conséquence anticipés et examinés.

Dans ce contexte, les recommandations se multiplient[7] et la société civile du monde entier appelle à la prudence et à la réflexion. Les doutes sont en effet pléthore quand à la nécessité et l’efficacité des mesures de traçage et de surveillance proposées, tandis que la possibilité d’impacts disproportionnés sur les droits fondamentaux est dénoncée[8]. Tant l’application ou la technologie utilisée que l’usage qui en est fait et la stratégie sanitaire globale dans laquelle elle s’inscrit doivent respecter et protéger les droits humains.

Les études réalisées, recommandations et arguments avancés doivent en conséquence être soigneusement pris en considération. Parmi ceux-ci figurent :

Légalité, nécessité, proportionnalité et non-discrimination

Les mesures doivent respecter les droits fondamentaux. Elles doivent être coulées dans une loi, doivent être nécessaires et proportionnées. Des voies de recours doivent être assurées.

En soumettant les individus à un suivi constant et ininterrompu et, le cas échéant permettant son identification, les technologies de surveillance ont nécessairement un impact tant sur la vie privée que sur le bien être et le comportement général des individus. L’impact potentiel sur les droits et libertés peut être important. L’examen de la nécessité et de la proportionnalité doit en conséquence s’opérer tant au regard des principes de protection de la vie privée qu’au regard des autres droits fondamentaux (les libertés d’association, de réunion, de pensée et d’expression, le droit à la sécurité, le droit à la santé et le droit à la non-discrimination).

L’objectif poursuivi (la ou les raison(s) concrète(s) pour lesquelles l’application est proposée) doit être clairement défini et s’inscrire comme l’un seulement des éléments essentiels d’une stratégie globale de sortie de crise, qui doit être complète et cohérente. Il s’agit de s’assurer que la mesure est nécessaire, un élément essentiel d’une stratégie de lutte contre la mortalité. La mesure de traçage doit être plus efficace que tout autre moyen qui serait pourtant moins invasif et également susceptible de contribuer à contingenter le taux de morbidité. S’il existe d’autres procédés, même non technologiques, pour atteindre des résultats similaires, les procédés moins invasifs doivent nécessairement être préférés. Des solutions moins invasives doivent ainsi nécessairement être proposées, étudiées, analysées, discutées (recrutements pour procéder aux enquêtes relatives aux historiques de contacts, par exemple). L’ampleur des données partagées ou recueillies ne peuvent dépasser les mesures liées au seul COVID[9]. La mesure doit être clairement limitée dans le temps, les critères préétablis et la nécessité de son maintien doivent faire l’objet d’un ré-examen régulier. Selon le type de traçage (géolocalisation, bluetooth, etc.) et les méthodes d’alerte (alerte contact en temps réel, historique de contact en cas d’infection avérée, etc.), les implications sont différentes, tant en termes d’efficacité ou de potentiel s’agissant de traiter la congestion hospitalière et le taux de morbidité, qu’en termes d’impacts potentiels sur les droits humains.

De nombreux paramètres devront être pris en compte, qu’ils soient ou non liés à la technologie (disponibilité des tests, contamination asymptomatique, contamination sans contacts interpersonnels (par les surfaces), instabilité et inexactitude des technologies, échantillon minimal nécessaire de personnes acceptant de partager leurs données, etc.). Les faux positifs et négatifs doivent être identifiés et inclus dans l’étude, de même que l’impact des comportements et vécus individuels sur la fiabilité des données et l’efficacité des mesures (sentiment de sécurité, stress accru, stratégie d’évitement, stigmatisation, diffamation, entre autres exemples). L’inefficacité et le manque de fiabilité peuvent entraîner un risque accru de contamination. Si l’efficacité de la mesure (et donc sa nécessité) dépend de la mise en place de certaines conditions, elles devront être assurées avant que ne soit prise la décision quant à la surveillance (capacité hospitalière, dépistage, accès aux médicaments et matériel de protection, maintien de principes de distanciation sociale, mesures !uiççç additionnelles destinées à assurer l’accès aux soins sur un pied d’égalité sans laisser se développer des poches de contamination (migrant.e.s, détenu.e.s, personnes sans abris, personnes en maisons de repos ou en centre paramédicaux, etc).

Consentement

Le consentement est requis. Il doit être libre et informé.

Pour que le consentement puisse être pleinement libre et pour que la mesure ne soit pas discriminatoire, l’application ne peut pas donner lieu à un avantage personnel quelconque qui serait de nature à forcer le consentement (ex : accès au dépistage dès lors que l’application a identifié un contact douteux, dépistage qui n’est pas accessible de la même manière pour les personnes n’utilisant pas l’application, etc.). La mesure ne peut non plus donner accès à un avantage qui romprait avec le principe de l’égalité pour tous devant l’accès au soin (ex : prise en compte de la fracture numérique).

Le consentement doit être libre en tout temps. En conséquence, les applications doivent régulièrement rappeler à l’utilisateur qu’elles sont « activées ». Elles doivent en outre être facilement désactivées et pouvoir être facilement et définitivement supprimées. Les individus doivent pouvoir connaître en tout temps les données qui sont conservées et pouvoir renoncer à utiliser les outils proposés autant que requérir que ses données soient effacées.

Afin que le consentement puisse être informé, les conditions attachées aux éventuelles applications doivent être intelligibles et disponibles en format téléchargeable. Un FAQ accessible et didactique doit être mis en place. Une voie rapide et accessible doit être mise en place pour répondre aux questions.

Accès à l’information, transparence, devoir de vigilance et voies de recours

La transparence et l’accès à l’information doivent être respectés tout au long de la procédure de décision et d’implémentation. Il s’agit de droits fondamentaux qui doivent être garantis pour eux même, outre qu’ils contribuent au caractère libre et éclairé du consentement.

Les analyses d’impacts, résultats de la phase de test et évaluations des conditions de nécessité et de proportionnalité doivent être disponibles. De même, les spécifications techniques et, le cas échéant, le code source. Les conditions contractuelles entre les autorités et le(s) partenaire(s) privé (s) doivent être publiées, les voies de recours et responsabilités clairement définies.

Aucun contrat ne doit être passé avec des entreprises ou acteurs impliqués dans des violations des droits humains ou ne disposant pas d’une politique efficace relative à son devoir de vigilance en matière de droits fondamentaux[10]. Un contrat spécifique doit préciser les mesures de vigilance requises et un rapport régulier doit être exigé sur les mesures prises pour identifier, prévenir et réparer les éventuelles violations des droits humains qui surviendraient. Un résumé de ce rapport doit être mis à disposition du public. Une interdiction doit impérativement leur être faite d’une réutilisation, transmission ou d’une vente des données.

Sécurité des données, vie privée et autres droits fondamentaux

Pour correctement veiller au respect de la vie privée des individus, il faut prendre en considération non seulement l’application dont il est question mais également la manière dont elle s’intègre dans un environnement plus large de partage de données.

Le cryptage des données et l’anonymat doivent être garantis, la ré-identification doit être rendue techniquement impossible (voir par exemple l’absence d’anonymat garanti dans les techniques de triangulation ou signal GSP[11]). Toutes les affirmations selon lesquelles les données sont anonymes doivent se fonder sur des éléments probants et être étayées par des renseignements suffisants quant à la manière dont l’anonymat est préservé. Seules les données et métadonnées minimales et dans la seule mesure nécessaire au fonctionnement des applications doivent être recueillies (ex : contact-durée). Les données qui ne sont plus nécessaires doivent être immédiatement supprimées.

Les données doivent être stockées et cryptées sur le téléphone. Aucun recoupement des données collectées ne doit être autorisé avec d’autres données (publiques ou non publiques). Le partage de données avec des tiers doit être interdit.

Une évaluation des risques sur les autres droits fondamentaux doit être réalisée, spécifiquement la protection contre les atteintes aux libertés d’association, de réunion, d’expression, la protection contre les atteintes à la sécurité, les violations portées au droit du travail, les atteintes à la non-discrimination et la réalisation des droits économiques et sociaux (accès aux soins, au logement, à l’alimentation, à l’emploi, etc.).

Enfin une évaluation des risques indirects doit être opérée. Ainsi par exemple du risque d’un changement de comportement social qui rende la population davantage vulnérable à l’avenir aux ingérences dans sa vie privée, une accumulation excessive de données aux mains de certains acteurs privés (Apple, Google, etc.), la diversification des activités ou relations d’affaires de ces acteurs avec d’autres acteurs et secteurs économiques dont résulterait un impact potentiel en matière d’accès aux droits économiques et sociaux (assurances, emploi, etc.).

Expertise et évaluation/suivi

Un groupe transdisciplinaire d’expert.e.s et de praticien.ne.s doit être constitué. Il doit comprendre à tout le moins des épidémiologistes, du personnel hospitalier, des médecins, spécialistes de la santé mentale, spécialistes de l’éthique, sociologues, développeurs, informaticiens, juristes (en droits humains, droit public et droit privé).

Ce groupe doit participer à l’analyse des conditions de nécessité, proportionnalité et d’efficacité de la mesure. Il doit pouvoir suivre la phase de test et suivre également la mise en œuvre pendant toute sa durée s’il est finalement décidé d’y avoir recours.

Une phase de test doit être réalisée pour mesurer l’efficacité, la fiabilité et l’impact de la proposition, tant dans ses dimensions technologiques que sociales (comportement individuels et impacts sociétaux) et logistiques (pression sur l’infrastructure “sous-jacente”). La transparence doit être assurée dans le suivi des résultats et, dans l’hypothèse où les résultats ne sont pas ceux espérés, la possibilité de ne pas avoir recours à cette application doit à nouveau être envisagée.

*    *

*

 

Dans l’état actuel des choses, notamment au vu de l’impossibilité de mise en place d’un dépistage massif de la population, le recours à ces solutions de traçage nous semble ne pas pouvoir respecter les principes fondamentaux qui justifient une telle atteinte aux droits fondamentaux des individus. A ce titre, de tels outils ne devraient pas être développés ni adoptés.

Si les autorités devaient néanmoins choisir cette voie, faute de procéder à une analyse approfondie sur base des critères développés ci-dessus et de prendre les précautions précitées, une décision de traçage pourrait non seulement se révéler contraire aux droits fondamentaux mais également nous conduire de manière inconsidérée vers un modèle social non désiré et non maîtrisé.

En vous remerciant pour l’attention que vous voudrez porter à cette lettre, nous vous prions de croire, Madame la Première Ministre, Mesdames et Messieurs les Ministres, à l’expression de nos sentiments les meilleurs.

 

Kati Verstrepen

Olivia Venet

Gaëlle Dusepulchre

 

Pour les organisations suivantes :

Ligue des droits humains
Fédération Internationale pour les droits humains

Liga voor Mensenrechten

[1] Pour un apercu de celles-ci: Top10vpn; Covid-19 Digital Rights Tracker, https://www.top10vpn.com/news/surveillance/covid-19-digital-rights-tracker/

[2] Israel to use geolocation and ‘counter-terrorism’ surveillance to track coronavirus patients, 15 Mars 2020, https://mondoweiss.net/2020/03/israel-to-use-geolocation-and-counter-terrorism-surveillance-to-track-coronavirus-patients/

[3] Mass Surveillance in Age of Covid 19: Israel and the Occupied Palestinian Territory, Mars 25  https://www.cambridge.org/core/blog/2020/03/25/mass-surveillance-in-the-age-of-covid-19-israel-and-the-occupied-palestinian-territory/

[4] In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags,  https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html ; Access Now, Recommendations on privacy and data protection in the fight against COVID-19, Mars 2020, https://www.accessnow.org/cms/assets/uploads/2020/03/Access-Now-recommendations-on-Covid-and-data-protection-and-privacy.pdf#h.gffujbnki8na Derechos Digitales, Civil society from Latin America and the Caribbean demands to respect human rights when governments deploy digital technologies to fight against COVID-19, 19 mars 2020, https://www.derechosdigitales.org/14301/civil-society-from-latin-america-and-the-caribbean-demands-to-respect-human-rights-when-governments-deploy-digital-technologies-to-fight-against-covid-19/

[5] ‘More scary than coronavirus’: South Korea’s health alerts expose private lives, 6 Mars 2020, https://www.theguardian.com/world/2020/mar/06/more-scary-than-coronavirus-south-koreas-health-alerts-expose-private-lives South Korea is reporting intimate details of COVID-19 cases: has it helped?, 18 Mars 2020, https://www.nature.com/articles/d41586-020-00740-y ; Access Now, Recommendations on privacy and data protection in the fight against COVID-19, Mars 2020, https://www.accessnow.org/cms/assets/uploads/2020/03/Access-Now-recommendations-on-Covid-and-data-protection-and-privacy.pdf#h.gffujbnki8na

[6] https://cis-india.org/papers/ebola-a-big-data-disaster

[7] European Union, Joint European Roadmap towards lifting COVID-19 containment measures, 15 March 2020 https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf Recommendation of 8 April 2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data(C(2020) 2296 final);  ; European Data Protection Supervisor, The EDPS quick-guide to necessity and proportionality, https://edps.europa.eu/sites/edp/files/publication/20-01-28_edps_quickguide_en.pdf ; European Data Protection Supervisor, letter to the European Commission, monitoring spread of Covid-19, https://edps.europa.eu/sites/edp/files/publication/20-03-25_edps_comments_concerning_covid-19_monitoring_of_spread_en.pdf ; Hogan Lovells, Receuil des différentes positions et recommendations émises par les autorité nationales de protection des données dans les différents Etats membres de l’Union européenne, 16 Mars 2020 https://www.hldataprotection.com/files/2020/03/Coronavirus-and-Data-Protection-Guidance-by-DPAs-Hogan-Lovells-1.pdf ; Rapporteurs sépciaux de l’ONU, COVID-19: Les États ne devraient pas abuser des mesures d’urgence pour supprimer les droits de l’homme, 16 Mars 2020, https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=25668&LangID=Ehttps://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=25722&LangID=E ; Haut commissaire aux droits de l’homme, Coronavirus: les droits humains doivent être au premier plan des réponses, déclare Bachelet, 6 Mars 2020 ; Déclaration conjointe sur le droit à la protection de données dans le contexte de la pandémie à COVID-19 par Alessandra Pierucci, Présidente du Comité de la Convention 108 et Jean-Philippe Walter, Commissaire à la protection des données du Conseil de l’Europe, 30 Mars 2020, https://www.coe.int/fr/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter; European Data Protection Board, Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, 16 Mars 2020, https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_nl ;

[8] La quadrature du Net, Nos arguments pour rejeter le StopCOVID, 14 Avril 2020, https://www.laquadrature.net/2020/04/14/nos-arguments-pour-rejeter-stopcovid/  KUL individuals, Contact tracing tools for pandemics, Factors that should shape the decision-making to deploy contact tracing apps for pandemic containment measures, https://rega.kuleuven.be/if/tracing-tools-for-pandemics  Factors that should shape the decision-making to deploy contact tracing apps for pandemic containment measures; Liga vor Menserechten, Een app in de strijd tegen corona? Alleen met respect voor privacy, 05 Avril 2020,  https://mensenrechten.be/nieuwsberichten/een-app-in-de-strijd-tegen-corona-alleen-met-respect-voor-privacy; CEPS, Will privacy be one of the victims of COVID-19?, 23 Mars 2020, https://www.ceps.eu/will-privacy-be-one-of-the-victims-of-covid-19/; aux pays bas : http://allai.nl/wp-content/uploads/2020/04/Online-versie-Brief-Minister-President-Rutte-Ministers-De-Jonge-Van-Rijn-Grapperhaus-de-heer-Sijbesma-inzake-COVID-19-tracking-en-tracing-en-gezondheidsapps.pdf; Déclaration conjointe de la société civileLe recours aux technologies de surveillance numérique pour combattre la pandémie doit se faire dans le respectdes droits humains, 2 Avril 2020 https://www.amnesty.org/download/Documents/POL3020812020FRENCH.pdf ; CREDOF, L’utilisation des données personnelles dans le cadre de la lutte contre l’épidémie de Covid-19, un risque pour les droits et libertés ?  Avril 2020, https://journals.openedition.org/revdh/9059  EDRI, EDRi calls for fundamental rights-based responses to COVID-19, 20 Mars 2020 https://edri.org/covid19-edri-coronavirus-fundamentalrights/  ; La ligue des droits de l’homme, france, https://www.ldh-france.org/la-crise-sanitaire-ne-justifie-pas-dimposer-les-technologies-de-surveillance/

[9] Ainsi, dans des application de traçage, le flux de données (qui couvre tous les contacts enregistrés par l’application, que les individus soient ou non porteurs) est plus important que l’historique qui mérite d’être fait pour remonter l’historique des seuls individus porteurs.

[10] Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_FR.pdf Les principes directeurs de l’OCDE à l’intention des entreprises multinationales, http://www.oecd.org/fr/daf/inv/mne/2011102-fr.pdf

[11] https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html