Le respect de la vie privée continue de préoccuper dans le contexte du débat sur les applications de traçage. Après un courrier signé en début de semaine par 300 chercheurs inquiets, c'est maintenant au tour du Comité européen de la protection des données (CEPD) de publier, mercredi 22 avril, ses lignes directrices, qui mettent en garde contre tout « effet cliquet ».
Les lignes directrices 04/2020 ont été adoptées lors de la session plénière du comité, la veille, en même temps que des lignes directrices sur le traitement des données de santé à des fins de recherche dans le contexte de l'épidémie de Covid-19 (https://bit.ly/2VR4dJ8 ). Elles comprennent également un guide pour les applications de recherche des contacts, sorte de guide non exhaustif qui vise à fournir des conseils généraux aux concepteurs et aux responsables de la mise en œuvre des applications de recherche des contacts.
Un partage de données volontaires et anonymisées
Comme il l'avait déjà fait savoir dans un courrier à la Commission européenne, le comité européen défend une approche aussi respectueuse que possible de la vie privée (EUROPE 12467/13). « Le CEPD souligne que l'on ne devrait pas avoir à choisir entre une réponse efficace à la crise actuelle et la protection de nos droits fondamentaux : nous pouvons atteindre les deux », met-il en avant. Il se concentre sur deux usages : la collecte de données mobiles pour soutenir la modélisation de la propagation afin d'évaluer l'efficacité globale des mesures de confinement et pour rechercher les contacts afin de briser les chaînes de contamination le plus tôt possible.
Le document soutient globalement l'approche de la Commission européenne (EUROPE 12468/5). Il rappelle les principes généraux d'efficacité, de nécessité et de proportionnalité ainsi que l'importance de l'anonymisation. Il recommande de publier le code source pour plus de transparence et appelle à réaliser des évaluations d'impact. Enfin, il insiste sur le fait que ces applications ne devraient pas reposer sur le suivi des mouvements individuels, mais plutôt sur des informations de proximité concernant les utilisateurs et rappelle les critères à remplir pour parler d'anonymisation.
Stockage centralisé ou décentralisé ?
Vu le débat actuel qui fait rage (notamment sur la question de savoir si le stockage de ces données devrait être centralisé ou décentralisé), il convient de noter que le comité accepte les deux approches, tout en notant en bas de page qu'« en général, la solution décentralisée est plus en ligne avec le principe de minimisation ».
En ce qui concerne les initiatives privées, plusieurs chercheurs suisses semblent s'être distanciés du partenariat PEPP-PT pour lancer un projet similaire, qu'ils estiment toutefois « plus respectueux de la vie privée » et qu'ils ont baptisé DP-3T, pour Decentralized Privacy-Preserving Proximity Tracing.
Il est à noter par ailleurs que le service de recherche du Parlement européen a, lui aussi, publié un document sur les applications de traçage, recensant les règles en vigueur et les initiatives publiques/privées en cours de développement.
Voir les lignes directrices sur les applications : https://bit.ly/2VuzZNj et le compte rendu du Parlement : https://bit.ly/34VPkJJ (Sophie Petitjean)