Le défi de la Suisse en matière de garantie de la vie privée

mercredi, 03.06.2020

Gabriela de Godoy*



Gabriela de Godoy

Les applications mobiles de recherche de contacts se déploient partout, y compris en Suisse. Un consortium de chercheurs dirigé par l’EPFL et de l’ETZ développe une application de traçage de contacts open source, DP3T (Decentralized Privacy-Preserving Proximity Tracing). Cette application, testée par des soldats de l’armée permettra d’alerter les portables des personnes susceptibles d’avoir croisé des patients positifs au COVID-19.

Les résidents téléchargeront l’application volontairement même les patients infectés. Après examiner les rapports des développeurs, nous avons constaté que l’application ne fonctionne pas sur la base de la localisation, mais utilise plutôt l’antenne Bluetooth des téléphones pour identifier les appareils à proximité.

Le projet DP3T n’envoie pas de données à des serveurs externes à l’exception des identifiants du patient infecté. Les données envoyés sont automatiquement supprimées après 14 jours. À la fin de la pandémie, les utilisateurs supprimeront l’application eux-mêmes.

Si l’application est développée de manière appropriée et si des mesures de sécurité et de protection de la vie privée adéquates sont mises en place, elle pourrait bien fonctionner pour ralentir la propagation du COVID-19.

Bien que les rapports de la communauté DP3T semblent indiquer que le système est sécurisé et anonyme, la Suisse ne dispose d’aucune législation pour gérer une telle application (comme le Règlement sur la protection des données de l’UE). Il est impossible de savoir si des audits ou des tests externes de sécurité ont été effectués.

La Suisse n’a pas fait de mise à jour majeure de sa loi sur la protection des données depuis 1992. Jusqu’à présent, il n’est pas possible de garantir légalement une limitation de l’utilisation ou de la divulgation secondaire des informations collectées.

D’autres pays, comme l’Australie, ont adopté une nouvelle législation définissant l’utilisation des applications de traçage de contacts, garantissant que les données ne seront pas utilisées par le gouvernement ou par la police.

Les rapports de la communauté DP3T montrent que le risque de violation des données personnelles est limité, car les serveurs ne contiennent des informations identifiables.

Cependant, les exigences en matière de protection de la vie privée, telles que la notification en temps utile des violations de données, le droit d’être oublié en cas de partage de données, la visibilité sur les tiers concernés et le lieu où l’application envoie les données, doivent néanmoins être prises en compte.

Le gouvernement devrait définir une politique claire et compréhensible en matière de respect de la vie privée et d’utilisation des données.

Ces éléments sont essentiels pour gagner et garantir la confiance de la population.Selon les experts de l’Université d’Oxford, 60% des citoyens doivent adopter l’application pour en constater les avantages. La confiance et l’expérience des utilisateurs seront les principaux facteurs d’adoption par les résidents suisses.

Une politique de confidentialité et d’utilisation des données clairement définie, et une garantie écrite que les données de cette application NE SERONT PAS utilisées à d’autres fins que la lutte contre la COVID-19, rendra cet objectif plus envisageable.

*Cybersecurity Manager EY