Application SOS Italia. Confidentialité et mégadonnées à l'époque de la Covid-19.
L'évolution dramatique de la crise sanitaire liée à la Covid-19 en Italie a contraint le gouvernement à mettre en place des mesures exceptionnelles pour faire face à cette situation d'urgence, notamment le recours à de nouveaux outils technologiques jamais utilisés auparavant par les institutions nationales.
Le 20 mars 2020, le ministère de l'Innovation technologique, en collaboration avec le ministère du Développement économique et le ministère de l'Enseignement supérieur et de la Recherche, a lancé un appel à tous les acteurs de l'écosystème numérique italien afin de contribuer à simplifier la gestion de la pandémie grâce au développement de plateformes numériques et d'autres systèmes de traitement des données.
C'est ainsi qu'a été lancée l'application mobile « SOS Italia », un projet développé par l'Association italienne pour la révolution numérique, en collaboration avec l'éditeur de logiciels Sielte, qui devrait être bientôt disponible sur les boutiques d'applications des systèmes d'exploitation iOS et Android.
« SOS Italia » a pour objectif de surveiller et de limiter la propagation du Covid-19 grâce à une interface conviviale (connexion via Google, Facebook, SMS avec code OTP sur le numéro de téléphone et intégration native avec SPID) qui permettra aux citoyens de trouver facilement les communications officielles du gouvernement, les règles de conduite à adopter, les numéros à appeler en cas d'urgence et d'autres informations utiles.
Les citoyens pourront remplir un questionnaire d'autodiagnostic et signaler aux autorités s'ils sont en isolement obligatoire ou préventif, s'ils présentent des symptômes ou s'ils ont été testés positifs au virus.
Chaque utilisateur pourra également choisir de numériser son auto-évaluation pour les déplacements autorisés et recevoir des notifications en cas de risque d'infection. Cela sera possible car, une fois que la personne aura téléchargé l'application de son plein gré, la fonctionnalité GPS restera active même si l'utilisateur n'utilise pas l'application. Il sera ainsi possible de cartographier tous les lieux fréquentés par la personne et de constituer un registre des personnes avec lesquelles elle a été en contact.
À l'instar de ce qui a déjà été expérimenté en Corée du Sud, on tente donc également en Italie de mettre en place une solution technologique, fondée sur l'utilisation du Big Data et d'algorithmes, afin de freiner la courbe de contagion. Mais si, d'une part, les fonctionnalités techniques de l'application fournissent des outils d'une importance incontestable pour la surveillance et l'endiguement de la pandémie, d'autre part, les implications inévitables en matière de protection des données sont préoccupantes.
En période de crise sanitaire nationale et mondiale, la protection du droit fondamental à la santé peut entrer en conflit avec un certain nombre d'autres valeurs dignes d'être protégées. La gestion de la situation d'urgence actuelle implique inévitablement que les autorités restreignent certains droits fondamentaux, notamment la liberté individuelle et la protection des données à caractère personnel (vie privée).
Examinons les aspects liés à la protection de la vie privée. Le RGPD prévoit la licéité du traitement des données, y compris pour les catégories particulières, même en l'absence de consentement exprès de la personne concernée, lorsque ce traitement est nécessaire à la sauvegarde de ses intérêts vitaux (ou de ceux d'une autre personne physique), ou lorsqu'il est indispensable à l'exécution d'une mission d'intérêt public. Sur la base de cette disposition, le traitement des données de la personne physique, y compris celles relatives à sa santé, peut donc avoir lieu indépendamment de l'octroi du consentement lorsque la finalité de ce traitement est de limiter la propagation de la Covid-19.
En ce qui concerne le traitement des données de télécommunications, telles que les données de localisation, les législations nationales transposant la directive « vie privée et communications électroniques » doivent également être respectées. La directive « vie privée et communications électroniques » autorise les États membres à adopter des mesures législatives visant à garantir la sécurité publique.
Le décret-loi n° 14/2020, qui contient des dispositions d'urgence visant à renforcer le Service national de santé dans le cadre de l'urgence liée à la Covid-19, prévoit la possibilité pour les entités relevant du Service national de protection civile, des services du ministère de la Santé et de l'Istituto Superiore di Sanità, ainsi que pour toutes les autres entités chargées de surveiller et de garantir la mise en œuvre des mesures de confinement liées à la pandémie, puissent partager et échanger entre eux les données à caractère personnel des citoyens (y compris celles relatives à leur état de santé) qui sont nécessaires à l'exercice de leurs fonctions. Ils peuvent également omettre de fournir la politique de confidentialité (ainsi que les instructions aux sous-traitants) ou ne la fournir que verbalement.
Ce décret précise également que le traitement des données à caractère personnel doit, dans tous les cas, être effectué conformément aux principes de licéité, de transparence et de loyauté prévus à l'article 5 du RGPD, en limitant ce traitement au strict minimum (principe de minimisation).
À ce jour, toutefois, on ne sait pas encore clairement comment ces principes seront mis en œuvre dans la pratique, qui, parmi les différentes autorités concernées, sera effectivement désigné comme responsable du traitement, ni quelles entités, publiques ou privées, seront chargées du traitement susmentionné.
L'une des questions qui suscite le plus d'inquiétudes concerne le traitement des données relatives à la localisation des citoyens et la manière dont ces données peuvent être utilisées par les autorités.
Dans diverses interviews, le Garant de la protection de la vie privée, en la personne de son président, a réaffirmé que le droit à la vie privée pouvait faire l'objet de certaines restrictions face à un intérêt collectif, à condition que l'équilibre nécessaire soit assuré entre la protection des droits individuels et la sauvegarde des biens juridiques collectifs, notamment en prévoyant que toute dérogation législative ait une durée déterminée et coïncide avec la période d'urgence.
Par ailleurs, une question inévitablement liée à cela concerne la durée de conservation des données, qui devra également être limitée à la période d'urgence susmentionnée ; il faudra en outre préciser au préalable quelles opérations de traitement seront autorisées à l'issue de cette période et ce qu'il adviendra des données collectées.
Le Garant de la protection de la vie privée a précisé que « la protection des données peut même constituer un outil très utile dans la lutte contre l'épidémie, lorsque cette action s'appuie sur des données et des algorithmes dont l'exactitude, la qualité et la vérification « humaine » doivent être garanties, le cas échéant, comme dans le cas de décisions automatisées erronées fondées sur des préjugés ».
À cet égard, poursuit le Garant de la protection de la vie privée, un décret-loi pourrait allier rapidité d'action et participation parlementaire. Il va sans dire que la durée doit être étroitement liée à la persistance de la situation d'urgence.
La déclaration commune du président de la Convention 108 et du commissaire à la protection des données du Conseil de l'Europe contient une recommandation intéressante concernant l'utilisation de tests préliminaires en « sandbox », à savoir de tester l'application dans un environnement sûr et privé avant de la mettre à la disposition du public.
Le Garant de la protection de la vie privée peut, si nécessaire, être associé à la consultation préalable ; toutefois, la logique du traitement et les mesures de sécurité doivent dans tous les cas être vérifiées par des experts-conseils capables de mettre au point des architectures de protection de la vie privée adéquates et de mettre en place des opérations de traitement – dès la conception et par défaut – dans le respect de nos droits fondamentaux.
En conclusion, la protection de la vie privée ne constitue pas un obstacle au traitement massif des données, même sensibles, mais ces opérations, qui ont une incidence sur nos droits fondamentaux, doivent être efficaces, progressives et proportionnées.