La Norvège a été un des premiers pays européens à lancer sa propre application de contact tracing… ce sera le premier pays à la suspendre. L’Agence de protection des données (APD) norvégienne estime que le logiciel, appelé « Smittestopp » basé sur la géolocalisation de ses utilisateurs, constitue une « menace disproportionnée » pour leur vie privée. Au 3 juin, l’application avait été téléchargée 1,6 million de fois et comptait environ 600 000 utilisateurs actifs.
Suspendue au moins jusqu’au 23 juin
À la suite cette mise en garde, l’Institut norvégien de santé publique (FHI) a annoncé, lundi 15 juin, suspendre la collecte de ces données GPS. Le téléchargement de l’application est désormais suspendu. La FHI doit, d’ici le 23 juin, date fixée au préalable par l’APD, faire des changements techniques pour se mettre en conformité. Le FHI a fait savoir son désaccord mais a déclaré qu’il allait supprimer les données stockées relatives aux utilisateurs « dès que possible ».
« Nous ne sommes pas d’accord avec l’avis de l’APD, mais nous devons maintenant supprimer toutes les données et interrompre le travail à la suite de leur notification », a affirmé la directrice de FHI, Camilla Stoltenberg, dans une déclaration traduite par TechCrunch. « La pandémie n’est pas terminée. Nous n’avons aucune immunité dans la population, aucun vaccin et aucun traitement efficace. Sans l’application Smittestopp, nous serons moins bien équipés pour prévenir de nouvelles éclosions qui pourraient survenir à l’échelle locale ou nationale. »
Un dispositif disproportionné
Le RGPD permet de traiter les données à caractère personnel à des fins de santé publique urgentes. Le gendarme norvégien de la protection des données avait précédemment convenu qu’une application pouvait être un outil approprié pour lutter contre la propagation du covid-19. L’agence n’avait pas été consultée activement pendant l’élaboration de l’application. Pourtant, elle avait exprimé des réserves et avait promis qu’elle suivrait de près son évolution.
Au regard des faibles taux de malades et de téléchargements, le dispositif Smittestopp lui parait désormais disproportionné.
« Nous pensons que FHI n’a pas démontré qu’il est strictement nécessaire d’utiliser les données de localisation pour la détection des infections », a déclaré Bjørn Erik Thon, directeur de l’APD norvégienne, dans une déclaration publiée sur son site traduite par TechCrunch.
La localisation GPS au coeur des critiques
Contrairement à de nombreuses applications nationales en Europe, l’appli norvégienne suit également les données de localisation GPS en temps réel. En France, l’appli StopCovid utilise uniquement les signaux Bluetooth pour estimer la distance entre les utilisateurs afin de calculer leur risque d’exposition au Covid-19.
La Norvège a, elle, décidé de suivre les localisations GPS des utilisateurs avant que le European data protection board (EDPB), qui rassemblent les agences de protection des données européennes, dont la Commission nationale de l’informatique et des libertés (Cnil), n’estime que la géolocalisation des utilisateurs individuels n’était pas nécessaire. L’EDPB penchait plutôt pour l’utilisation de « données de proximité ».
Pas d’anonymisation totale
Les problèmes soulevés par l’APD norvégienne sont essentiellement dûs à ces données de localisation car elles sont plus difficiles à anonymiser. FHI ne les aurait pas anonymisées de manière assez robuste. Mais, le gendarme norvégien note également que les utilisateurs n’ont pas le choix d’accepter que leurs données soient utilisées non seulement pour le dépistage des « personnes contact coronavirus » mais aussi à des fins de recherche. Sans possibilité de refus.
Autre particularité : la Norvège a opté pour une architecture d’application centralisée -ce qui signifie que les données des utilisateurs sont téléchargées sur un serveur central contrôlé par l’autorité sanitaire- la France a fait un choix similaire. Mais l’Allemagne ou l’Italie ont choisi des architecture décentralisée qui permettent de stocker localement les données recueillies sur l’appareil. Pour rappel, l’API de Google et Apple ne prenait en charge que les applis décentralisées.
Des conséquences ailleurs en Europe ?
Pour l’instant, la FHI a seulement demandé aux utilisateurs de suspendre l’accès à leur localisation GPS -et non de supprimer le programme de leur smartphone, le temps de faire les modifications nécessaires. Mais, Luca Tosoni, chercheur au Centre norvégien de recherche sur les ordinateurs et le droit de l’université d’Oslo, interrogé par TechCrunch estime néanmoins peu probable que l’appli se tourne vers le Bluetooth. Pour lui, cette « interdiction inédite » pourrait faire des émules en Europe.
« Il est possible que d’autres autorités européennes imposent des interdictions similaires à l’avenir et exigent que les applications de contact tracing soient modifiées à partir du moment où les niveaux de contagion diminuent considérablement. C’est ce qu’on observe dans d’autres régions d’Europe même si la Norvège a actuellement l’un des taux de contagion les plus faibles de la zone », analyse le chercheur.
Source : TechCrunch