Lire l’article en Anglais.
Lire l’article en Arabe.
En réponse à la pandémie mondiale de COVID-19, un certain nombre de pays de la région MENA ont fait appel à la technologie dans le but de détecter et limiter la propagation du virus, que ce soit avec applications, des drones, ou des robots pour suivre le mouvement des citoyens en quarantaine. Maintenant que les pays cherchent à revenir peu à peu à la normale et de lever les mesures de confinement, de plus en plus de pays se mettent à développer leurs propres applications de traçage numérique comme cela fut le cas récemment au Maroc et en Tunisie.
Bien que les applications de traçage numériques pourraient aider à limiter la propagation du virus et sa transmission en identifiant les personnes possiblement contaminées, sans protections juridiques adéquates et mesures pour la protection de la vie privée, certaines de ces applications pourraient ouvrir la voie à des abus et violations les droits humains de la part des gouvernements autoritaires et nuire aux populations marginalisées.
Nous avons analysé les applications de traçage numérique mis en place dans cinq pays et nous avons relevé d’importantes lacunes relatives à la protection de la vie privée :
Tunisie
Le 19 mai, le Ministère de la Santé, en partenariat avec Wizzlabs, une start-up spécialisée dans le marketing digital pour des sociétés étrangères, a lancé une application mobile de traçage appelée E7mi qui a acquis 10 000 utilisateurs en 3 semaines. L’application est pour l’instant téléchargée de manière volontaire, mais elle pourrait devenir obligatoire pour accéder aux lieux publics si le taux de téléchargement reste bas.
L’application utilise la technologie Bluetooth et les données de géolocalisation GPS pour détecter et alerter les utilisateurs qui auraient pu être en contact avec des personnes infectés par le virus. Elle collecte aussi les données personnelles telles que les numéros de téléphone des utilisateurs qui sont exigées pour l’inscription.
Bien que le Ministère ait consulté l’Instance Nationale pour les Protection des Données Personnelles (INPDP) et que celle-ci ait déclaré que l’application est en conformité avec la loi de 2004 sur la protection des données, des inquiétudes persistent quant à la loi elle-même puisqu’elle n’est en rien adapté aux contexte numérique et ne couvre pas les nouvelles technologies. En 2017 la Tunisie a ratifié la Convention du Conseil de l’Europe pour la Protection des Personnes à l’égard du traitement automatisé des données à caractère personnel. De plus, l’année dernière le pays a officiellement signé le protocole modifiant la convention, signifiant qu’il s’est engagé pour réformer sa loi nationale pour la mettre en conformité avec les normes internationales, toutefois le projet de loi de 2018 ne semble plus être une priorité sur l’ordre du jour du Parlement.
A ces faiblesses dans le cadre juridique s’ajoute le fait que l’application ne contient pas une disposition qui détermine quand les données collectées seront effacées des téléphones et bases de données. L’application n’indique pas non plus ce qu’il adviendra de ces données lorsque l’utilisation de l’application n’est plus nécessaire ou même jusqu’à quand ce système sera utilisé. Le pays n’a pas déclaré de nouveaux cas locaux – excepté pour les cas des passagers arrivant des zones et pays affectés – depuis début mai, c’est-à-dire une semaine après le déploiement de l’application.
Qatar
Le gouvernement du Qatar a déployé une application de traçage numérique appelée EHTERAZ, développée par le Ministère de l’Intérieur. L’application utilise les technologies GPS et Bluetooth pour suivre les cas de COVID-19. Malgré les assurances du gouvernement sur le fait l’application est « totalement confidentielle » et est uniquement accessible par les professionnels de santé, une investigation récente menée par Amnesty Tech Security Lab a découvert une vulnérabilité critique qui pourrait permettre à des acteurs malveillants d’accéder aux données personnelles de plus d’un million d’utilisateurs dans le pays telles que les noms, numéro d’identité nationale, le statut médical et leurs données de géolocalisation.
Bien que le gouvernement ait agi rapidement pour réparer la faille de sécurité, selon l’investigation d’Amnesty, les données continuent à être stockées dans une base de données centralisée, les rendant vulnérables à un accès illégal. Les bases de données centralisées peuvent être des honeypots problématiques qui attirent des cybers attaques et des acteurs malveillants. A ce problème de sécurité s’ajoute le fait que le gouvernement peut activer la géolocalisation en temps réel des utilisateurs via l’application et ainsi surveiller leurs déplacements.
L’application est obligatoire pour tous les utilisateurs au Qatar. Toute personne refusant son utilisation risque une sanction excessive pouvant allant jusqu’à trois ans en prison et une amende approximative de 55,000 USD (200,000 Riyals Qataris).
Bahreïn
Le gouvernement du Bahreïn exige que les personnes en auto-confinement et les personnes arrivant dans le pays télécharge l’application BeAware, qui est accompagnée d’un bracelet pour notifier le gouvernement si les personnes quittent leur logement. Les mouvements peuvent être suivis à travers de leurs téléphones et les données de géolocalisation sont collectées. Toute personne refusant de suivre ces instructions seront soumis à des sanctions excessives pouvant aller jusqu’à des peines de prison d’un minimum de 3 mois et une amende allant de 1,000 à 10,000 Dinars Bahreïni (approximativement 1,000 – 26,000 USD), ou les deux.
Le Ministère de la Santé peut aussi exiger que les personnes en auto-confinement prennent des selfies de manière aléatoire montrant leur visage et le bracelet pour prouver qu’ils n’ont pas enfreint leur quarantaine. Alors que le pays prétend utiliser l’application de traçage pour endiguer la propagation du virus, les autorités l’utilisent en fait pour limiter et contrôler le mouvement des citoyens. Considérant l’augmentation rapide de cas confirmés dans le pays à ce jour, l’efficacité de l’application pour aider à réduire la propagation du virus est discutable.
Arabie Saoudite
Les autorités saoudiennes se sont également tournées vers la technologie en réponse à la pandémie. Le Ministère de la Santé a lancé l’application Tatamman qui collecte les données sanitaires des personnes en quarantaine ou en auto-confinement. Les utilisateurs peuvent évaluer leur état de santé, parler au personnel médical et obtenir des conseils. Récemment, l’application est devenue obligatoire pour les personnes revenant de l’étranger, qui doivent également à porter un bracelet couplé avec l’application via Bluetooth. L’utilisateur doit porter le bracelet 24/24 et 7j/7j, et rester dans un périmètre de dix mètres de son téléphone. Toute tentative visant à retirer ou endommager le bracelet, ou modifier un ou plusieurs de ses paramètres est passible d’une peine de prison allant jusqu’à 2 ans, une amende de 200 000 SR (53,268 USD) ou les deux. Tout comme au Bahreïn, ces mesures sont excessives et impactent la liberté de mouvement des personnes.
Maroc
Le 1er Juin, le gouvernement marocain a aussi lancé son application de traçage numérique Wiqaytna développée par le Ministère de l’Intérieur. L’application volontaire fonctionnant via la technologie Bluetooth a été téléchargée plus d’un million de fois en moins d’une semaine selon le Ministère de la Santé. En avril, la société civile marocaine s’était opposée à la proposition de déploiement de cette application par crainte que l’application se base sur l’utilisation de technologie de surveillance israélienne. L’autorité marocaine de protection des données la ‘CNDP’ a déclaré plus tard dans une déclaration que l’application est en conforme à la Loi No. 09-08 sur la Protection des personnes physiques à l’égard du traitement automatisé des données à caractère, et seules les personnes habilitées avaient accès aux données.
Malheureusement, la loi 09-08 ne fournit pas suffisamment de protection pour les données personnelles et certains de ses articles pourraient être sujets à interprétation ou exception larges . Par exemple, la collecte et le traitement des données personnelles ne s’appliquent pas « Aux données à caractère personnel recueillies et traitées dans l’intérêt de la défense nationale et de la sécurité intérieure ou extérieure de l’État, et la prévention et répression des crimes et délits ». L’article 4 de la loi fait une exception pour les autorités d’obtenir le consentement de la personne pour le traitement de ses données personnels si elles sont utilisées dans l’exécution d’une mission de d’intérêt public.
Le point commun de ses applications? La surveillance de masse de la population sous couvert de la protection de la santé
Il n’y a ce jour aucune preuve que l’utilisation de telles technologies est efficace pour limiter et réduire le nombre de cas de COVID-19. Selon les orientations provisoires de l’Organisation Mondiale de la Santé sur l’utilisation d’applications de traçage numérique COVID 19, « cette technologie ne peut pas capturer toutes les situations dans lesquelles un utilisateur pourrait contracter la COVID-19, et ne peut pas remplacer la recherche des contacts traditionnelle face-à-face de la santé publique, les tests et la sensibilisation qui sont normalement faits par téléphone ou en personne ».
Dans certains de ces pays où la surveillance ciblée et de masse est évidente, le dépistage/la recherche du virus peut très facilement se transformer en une surveillance de la population particulièrement en l’absence de lois solides, de garanties et de contrôle indépendant. Le fait que le Ministère de l’Intérieur soit impliqué dans le développement et le déploiement de ces applications, comme c’est le cas au Qatar et au Maroc, est un indice révélateur sur le fait que l’objectif sous-jacent de ces applications est de contrôler la population et non la mise en place de mesure sanitaire préventive.
Dans de nombreux pays de la région, les lois sur la protection des données n’existent pas ou bien, lorsqu’elles existent, elles remontent à l’ère pré-numérique, et ne couvrent pas certains des risques actuels telles que les cybers attaques ou les vols d’identité.
Par ailleurs, le manque de transparence et d’accès à l’information dans ces pays rend les opérations de contrôle concernant l’utilisation de telles technologies encore plus difficiles. Il est pratiquement impossible de vérifier si les données collectées et traitées sont sécurisées,que seuls les professionnels de la santé publique y ont accès et qu’elles seront supprimées dans des délais fixes et clairs. Dans les contextes politiques répressifs actuels, les citoyens n’ont pas ou peu de voies de recours en cas de violation de leurs droits et données personnelles à grande ou petite échelles par les autorités.
Quelles solutions ?
Access Now a développé une liste d’étapes à suivre et de pièges à éviter pour le développement et l’utilisations applications de traçage numérique afin de limiter leur interférence avec les droits humains, et en particulier le droit à la vie privée.
Le COVID-19 est une pandémie mondiale, la santé et la vie des gens sont en jeu. Cette crise sanitaire oblige les gouvernements à prendre des mesures pour limiter le nombres de cas et contrôler la transmission du virus, cependant. Ces décisions doivent aller de pair avec la réduction des effets pervers de tout solutionnisme basé sur la technologie.
Nous appelons tous les gouvernements de la région MENA à suspendre le déploiement des applications de traçages mis en place à l’heure actuelles puisqu’elles ne remplissent pas les exigences en termes de protection de la vie privée, qu’elles mettent en danger la vie des gens de part leur utilisation en tant qu’outil de surveillance. Ces applications sont clairement inadaptées à l’objectif de santé publique, excessives et manquent de garanties en termes de conception et d’utilisation.
Cette crise sanitaire et le recours à des solutions technologiques renforcent le besoin d’adapter les lois obsolètes en matières de vie privée et protection des données personnelles. La réponse des gouvernements de la région MENA durant la pandémie devraient permettre augmenter la transparence, bâtir la confiance avec leurs citoyens, respecter et défendre les droits fondamentaux.