Le Security Lab d’Amnesty International a examiné des applications de traçage des contacts déployées en Afrique du Nord, en Europe et au Moyen-Orient, et procédé à l’analyse technique détaillée de 11 applications utilisées en Algérie, à Bahreïn, aux Émirats arabes unis, en France, en Islande, en Israël, au Koweït, au Liban, en Norvège, au Qatar et en Tunisie ; certaines de ces applications ont été jugées mauvaises et d’autres dangereuses pour les droits humains. Les applications « BeAware Bahrain » à Bahreïn, « Shlonik » au Koweït et « Smittestopp » en Norvège sont les outils de surveillance de masse les plus inquiétants qu’Amnesty a examinés : ils procèdent tous activement à la localisation en direct ou quasiment en direct des utilisateurs en envoyant fréquemment des coordonnées GPS à un serveur central.
Lundi, le gouvernement norvégien a annoncé qu’il allait faire une pause dans l’utilisation de son application de traçage des contacts. Cette décision est intervenue quelques heures seulement avant la publication par Amnesty International des résultats de son étude, et après que l’organisation a fait part de ses conclusions aux autorités norvégiennes et à l’agence norvégienne de protection des données, le 2 juin. Amnesty a également rencontré le 10 juin le responsable de la conception de l’application « Smittestopp ».
« Bahreïn, le Koweït et la Norvège n’ont tenu aucun compte du droit au respect de la vie privée des personnes : ils ont utilisé des outils de surveillance très invasifs qui outrepassent largement les limites de ce qui est justifié pour lutter contre la pandémie de COVID-19, a déclaré Claudio Guarnieri, responsable du Security Lab d’Amnesty International.
« L’application norvégienne était très invasive et la décision qui a été prise de revoir la copie est la bonne. Nous demandons aux gouvernements de Bahreïn et du Koweït de faire de même et de cesser immédiatement d’utiliser des applications très intrusives sous leur forme actuelle. Globalement, elles informent en temps réel une base de données gouvernementale du lieu où se trouvent les utilisateurs, ce qui semble inutile et disproportionné dans le contexte d’une politique de santé publique. La technologie peut jouer un rôle utile en ce qui concerne le traçage des contacts pour contenir la pandémie de COVID-19, mais le droit au respect de la vie privée ne doit pas faire les frais du déploiement par les gouvernements de ces applications. »
Les outils de surveillance de masse
Les applications de traçage des contacts utilisées à Bahreïn au Koweït et en Norvège sont basées sur une approche invasive et centralisée qui représente une grave menace pour le droit au respect de la vie privée. Ces systèmes collectent les données de localisation au moyen du GPS et les envoient à une base de données centrale, effectuant ainsi un suivi en temps réel des déplacements des utilisateurs. L’application « EHTERAZ » du Qatar est capable d’activer le suivi en direct de la localisation de tous les utilisateurs ou de certaines personnes en particulier (au moment de la rédaction de ce communiqué, cette fonction restait désactivée).
Les autorités dans tous ces pays peuvent facilement relier ces informations personnelles sensibles à une personne précise, car le Qatar, Bahreïn et le Koweït demandent aux utilisateurs de s’enregistrer avec leur numéro d’identification national, et la Norvège demande de s’enregistrer avec un numéro de téléphone valide.
D’autres applications examinées par le Security Lab, comme l’application « E7mi » de la Tunisie, sont également basées sur un modèle centralisé, mais au lieu d’enregistrer les coordonnées GPS, elles utilisent le système de balayage de proximité Bluetooth pour surveiller les contacts entre utilisateurs en temps réel. L’application « EHTERAZ » du Qatar enregistre et télécharge les contacts Bluetooth entre les appareils des utilisateurs, ainsi que les coordonnées GPS du lieu de rencontre.
Une grave vulnérabilité en matière de sécurité a été décelée dans l’application EHTERAZ du Qatar, qui met à découvert des informations personnelles et sensibles de plus d’un million de personnes. Cela est particulièrement préoccupant dans la mesure où l’utilisation de cette application a été rendue obligatoire le 22 mai. Cette vulnérabilité a été réparée quand Amnesty a averti les autorités de ce problème à la fin du mois de mai. La faille de sécurité aurait permis à des pirates informatiques d’accéder à des données personnelles et sensibles telles que le nom, le numéro d’identification nationale, l’état de santé et le lieu de confinement déclaré des utilisateurs.
Les applications de traçage de pays tels que les Émirats arabes unis, la France et l’Islande utilisent un modèle centralisé, mais les informations sur les contacts entre les appareils ne sont téléchargées que lorsque les utilisateurs décident volontairement de se signaler comme étant symptomatiques, ou à la demande des autorités sanitaires. Cet envoi volontaire et consensuel des données réduit au moins le risque de surveillance de masse, car les informations ne sont pas automatiquement téléchargées. Le modèle centralisé sur lequel est basée l’application de traçage des contacts de la France, ainsi que l’absence de transparence en ce qui concerne la conservation des données soulèvent des questions quant à la possibilité d’identifier les utilisateurs.
« Les gouvernements partout dans le monde doivent marquer une pause dans le déploiement d’applications de traçage des contacts défectueuses ou excessivement intrusives qui ne protègent pas les droits humains. Pour que les applications de traçage des contacts puissent contribuer efficacement à la lutte contre la pandémie de COVID-19, il faut que les gens aient confiance en ce qui concerne la protection de leur vie privée », a déclaré Claudio Guarnieri.
De nouvelles formes de surveillance
L’application de Bahreïn a même été couplée à une émission de télévision nationale intitulée « Êtes-vous chez vous ? », qui offrait des prix aux personnes restant chez elles pendant le ramadan. Les informations récupérées au moyen de cette application ont été utilisées pour tirer au sort, avec un programme informatique, chaque jour 10 numéros de téléphone, et ces numéros étaient appelés en direct pour vérifier si les utilisateurs de l’application étaient chez eux. Ceux qui se trouvaient chez eux gagnaient un prix. La participation au tirage au sort de l’émission de télévision a été obligatoire jusqu’à ce que l’Autorité de l’information et des services gouvernementaux en ligne de Bahreïn ajoute une option dans l’application BeAware Bahrain permettant aux utilisateurs de « refuser » de participer à cette émission. Les autorités bahreïnites ont également publié en ligne des informations personnelles et sensibles sur des cas suspects de COVID-19, notamment l’état de santé, la nationalité, l’âge, le genre et l’historique des déplacements d’une personne.
Les applications de Bahreïn et du Koweït peuvent s’appairer avec un bracelet Bluetooth utilisé pour s’assurer que l’utilisateur reste proche de son téléphone, afin de renforcer les mesures de confinement. L’application koweïtienne vérifie régulièrement la distance entre le bracelet Bluetooth et l’appareil, et transmet à un serveur central les données de localisation toutes les 10 minutes.
Les données de localisation ainsi que d’autres informations de diagnostic récupérées par le bracelet Bluetooth lié à l’application bahreïnite BeAware Bahrain sont fréquemment envoyées à un serveur central. Toutes les personnes enregistrées pour le confinement ont l’obligation de porter ce bracelet, et celles qui ne le font pas risquent d’être condamnées à des peines d’amende ou d’emprisonnement au titre de la Loi n° 34 de 2018 relative à la santé publique, qui prévoit notamment au moins trois mois d’emprisonnement ou une amende allant de 1 000 à 10 000 BHD (environ 2 700 USD et 27 000 USD respectivement).
Respect de la vie privée et des droits humains dès la conception
Le traçage des contacts est une composante importante d’une politique efficace de lutte contre la pandémie et les applications de traçage des contacts peuvent permettre d’atteindre cet objectif. Toutefois, afin d’être compatibles avec les obligations relatives aux droits humains, elles doivent, entre autres choses, intégrer dès leur conception la protection de la vie privée et des données, c’est-à-dire que les données collectées doivent correspondre au minimum nécessaire et être conservées de manière sécurisée. Toute collecte de données doit se limiter au contrôle de la propagation du COVID-19 et ne doit pas servir à d’autres fins, comme l’application des lois, la sécurité nationale ou le contrôle de l’immigration. En outre, ces données ne doivent pas être mises à disposition d’un tiers ni utilisées à des fins commerciales. Toute décision individuelle concernant le téléchargement et l’utilisation d’applications de traçage des contacts doit être prise sur une base entièrement volontaire. Toutes les données récupérées doivent rester anonymes, y compris quand elles sont associées à d’autres ensembles de données.
« Les gouvernements qui déploient des applications de traçage des contacts centralisées avec un pistage en temps réel doivent revoir leur copie. Il existe de meilleurs moyens de remplir cette fonction, avec un respect de l’équilibre entre la nécessité de pister la propagation de la maladie et celle de protéger les utilisateurs en ne récoltant pas les données personnelles de millions de personnes », a déclaré Claudio Guarnieri.