Propositions internationales de surveillance géolocalisée pour lutter contre le Covid-19

Traduction de l’article International Proposals for Warrantless Location Surveillance To Fight COVID-19

Les gouvernements ont, de façon répétée, étendu leurs pouvoirs en situation de crise et font fréquemment intrusion dans la vie de leurs citoyens. Cette tendance s’est développée à grande échelle à l’occasion de la pandémie du Covid-19. Depuis le déploiement de drones ou l’utilisation de bracelets de surveillance en application de consignes de quarantaine jusqu’aux propositions d’utiliser la reconnaissance faciale ou des caméras à détection thermique pour surveiller les espaces publics, les gouvernements du monde entier ont adopté des mesures intrusives au prétexte de contenir la pandémie.

L’EFF se bat depuis des années contre l’utilisation, souvent dissimulée, que font les gouvernements des données de géolocalisation des téléphones mobiles. Ils ont, de façon répétée, cherché à obtenir ces données sans ordonnance du tribunal, évité les audits sur la façon dont elles sont obtenues et utilisées, minimisé à dessein leur importance et forcé les opérateurs à les conserver. Auparavant, leur utilisation était le plus souvent justifiée pour les besoins d’enquêtes de police ou pour des raisons de sécurité nationale. Actuellement, certains de ces moyens de surveillance sont exigés – ou parfois simplement saisis – sans qu’ils contribuent significativement à contenir le Covid-19. Malgré une absence de preuves démontrant l’efficacité des données de géolocalisation pour arrêter la propagation du virus, les gouvernements de nombreux pays ont utilisé la crise pour instituer de nouveaux instruments de surveillance ou étendre ceux qui existent déjà à des objectifs liés au Covid. Par exemple, les lois sur la rétention des données obligent les opérateurs de télécommunications à collecter et à stocker des métadonnées de toute la population pendant une période de temps imposée. En Europe, la Cour de Justice de l’Union européenne a statué que de telles obligations sont illégales au regard des lois européennes.

Comme c’est le cas pour d’autres mesures d’urgence, se défaire de la surveillance par géolocalisation peut s’avérer un combat difficile une fois que l’épidémie recule. De plus, comme aucun gouvernement n’a démontré son efficacité, cette intrusion dans les libertés fondamentales des citoyens n’a aucune raison de leur être imposée.

Le traçage géolocalisé individuel

Il se trouve que les opérateurs de téléphonie mobile connaissent la position des téléphones de leurs abonnés (le plus souvent identique à la position des abonnés eux-mêmes) à chaque instant, car c’est ainsi que les réseaux cellulaires fonctionnent. Cette connaissance est devenue une des sources d’information les plus complètes des gouvernements – et assez souvent des publicitaires, harceleurs et espions – soucieux de suivre à la trace le déplacement des personnes. Cependant, bien que cette information de géolocalisation soit suffisante pour démontrer qu’une personne s’est rendue à l’église ou au cinéma, elle n’est pas assez précise pour prouver que deux personnes étaient assez proches pour se transmettre le virus (une distance de deux mètres entre elles étant généralement requise).

La surveillance géolocalisée est un problème récurrent, mais elle a connu une croissance rapide à l’occasion de la crise du Coronavirus. De nombreuses mesures législatives ont été adoptées en procédure accélérée durant l’état d’urgence sanitaire. Quelques gouvernements n’ont même pas eu recours au processus législatif et ont confié à l´exécutif le pouvoir de mettre en place une surveillance géolocalisée élargie – la rendant encore moins transparente et démocratique qu’elle ne l’est actuellement. Les gouvernements peuvent prétexter l’urgence de la crise pour repousser les limites imposées à la façon dont l’historique des données de géolocalisation des citoyens peut être utilisé, pour exiger qu’il soit communiqué en totalité aux autorités ou pour imposer aux entreprises de conserver les enregistrements qui indiquent où ils ont été.

La surveillance géolocalisée des téléphones cellulaires dopée par le Covid à travers le monde

Les gouvernements d’au moins sept pays ont fait des tentatives pour étendre la surveillance géolocalisée.

En Israël, la Cour suprême a récemment révoqué l’autorisation donnée à la police d’accéder sans ordonnance du tribunal aux données de géolocalisation afin de tracer les contacts entre personnes. Le 16 mars, le gouvernement avait approuvé les mesures d’urgence 48 heures après que le Premier ministre Benjamin Netanyahu a annoncé l’intention de son gouvernement d’approuver ces méthodes de traçage sanitaire.

Cette réglementation permettait à la police et à la sécurité intérieure d’Israël (aussi appelée Shabak ou Shin Bet en raison de son acronyme en hébreu) de tracer les allées et venues de personnes qui pouvaient être infectées par le Covid-19 (ou suspectées de l’être) sans ordonnance du tribunal. Cette réglementation d’urgence a maintenant été suspendue et la Cour suprême a imposé que le gouvernement statue sur l’utilisation du traçage par téléphone mobile par voie législative. En dépit de cette victoire, la lutte contre l’accès aux données de géolocalisation sans ordonnance du tribunal est loin d’être terminée : le 5 mai, la Commission du renseignement (Intelligence Subcommittee) de la Knesset a voté, six voix contre trois, une extension de l’accès sans ordonnance du tribunal octroyé au Shin Bet lui permettant de tracer les personnes contaminées. Dans le même temps, le gouvernement œuvre en faveur d’une loi destinée à pérenniser cette forme de surveillance. Le 16 mars, dès l’approbation des mesures d’urgence, l’Association for Civil Rights in Israel a déposé une pétition devant la Cour suprême d’Israël insistant sur le besoin de protéger la démocratie durant la pandémie :

« La mesure de la démocratie est précisément prise dans les situations où la population est apeurée, exposée jour et nuit à des scénarios catastrophe […]. C’est dans ces moments-là qu’il est vital d’agir posément et de façon réfléchie, au lieu de prendre des mesures draconiennes et extrêmes qui habituent la population à l’usage de moyens antidémocratiques […]. »

En Afrique du Sud , où un état d’urgence est en vigueur depuis le 15 mars, le gouvernement a amendé la loi pour instituer une base de données de traçage du Covid-19. Elle contiendra les données personnelles de ceux qui ont été infectés (ou suspectés de l’être) par le virus, y compris le résultat de leurs tests, ainsi que des informations détaillées à propos de ceux avec qui ils ont été en contact (ou suspectés de l’avoir été). Cette mesure législative (Act) permet au Director General of Health d’ordonner aux entreprises de télécommunications de révéler la position de toute personne infectée (ou suspectée de l’être), sans notification préalable, ainsi que la position de ceux avec qui elles sont en contact (ou suspectés de l’avoir été) et d’insérer toutes ces informations dans la base de données de traçage du Covid-19. Cette loi a rencontré une farouche opposition de la part de la société civile et a ensuite été amendée deux fois. La suppression du dernier amendement qui obligeait les entreprises de télécommunications à alimenter la base de données avec des informations de géolocalisation est une victoire pour la protection de la vie privée.

La Pologne , qui a décrété l’état d’urgence depuis la mi-mars, a empiété sur les règles de droit à plusieurs reprises, allant jusqu’à déclencher une procédure judiciaire au niveau européen destinée à corriger les violations des valeurs de l’Europe dont la Pologne s’est rendue coupable. La Commission européenne a affirmé que « l’appareil judiciaire du pays est à présent sous le contrôle politique de la majorité au pouvoir. En l’absence d’indépendance de la justice, d’importantes questions sont soulevées quant à l’application effective du droit de l’Union ». Grâce au Covid-19, le gouvernement polonais a aussi institué plusieurs mesures qui octroient de nouveaux pouvoirs de surveillance au pouvoir exécutif. L’article 11 de la loi Covid-19 oblige les opérateurs de télécommunications à collecter les informations de géolocalisation des personnes infectées par le virus ou sous quarantaine et à les fournir sur simple requête, ainsi que les données de géolocalisation agrégées des clients des opérateurs. La nouvelle loi précise que ces mesures resteront en vigueur jusqu’à la fin de l’épidémie.

La Slovaquie est un autre pays d’Europe de l’Est ayant étendu les obligations des entreprises de télécommunications en matière de rétention des métadonnées durant la crise. La Slovaquie est en état d’urgence partiel depuis le 15 mars. Plusieurs amendements aux lois sur les télécommunications sont passés en procédure accélérée au Parlement depuis cette date. Ces amendements, qui ont immédiatement provoqué des réactions indignées, autorisent les autorités de santé publique à demander des données de géolocalisation aux opérateurs de télécommunications en cas de pandémie. Comme en Pologne, la loi modifiée permet à la fois la rétention de données agrégées anonymisées, mais aussi celle des données de géolocalisation d’une personne particulière. Après avoir été remises en question par la Cour constitutionnelle ( Ústavný súd ), ces mesures ont récemment été suspendues en raison de leur imprécision et de l’insuffisance de garde-fous.

Le gouvernement Croate a tenté d’introduire des mesures similaires, par amendement en procédure accélérée, dans les lois sur les communications électroniques. Cette mesure aurait autorisé, à titre exceptionnel, l’exploitation de données de géolocalisation afin de « protéger la sécurité nationale ou publique », et aurait contraint les opérateurs de télécommunications à partager ces données avec le ministère de la Santé. Comme dans d’autres pays, la proposition a suscité des réactions indignées de la société civile, des experts et de l’opposition, et plus de quarante organisations de la société civile ont signé une lettre exigeant son retrait. Ces demandes ont finalement été entendues, mais l’exemple croate met en lumière la tendance des États à tirer parti de chaque opportunité qui leur est donnée pour étendre leurs pouvoirs de surveillance durant la crise, dans les Balkans ou ailleurs.

La Bulgarie , autre pays d’Europe de l’Est en état d’urgence, a fait passer une loi d’urgence qui inclut des amendements au code des communications électroniques. La loi oblige désormais les entreprises de télécommunications à conserver et à communiquer sur requête les métadonnées aux autorités compétentes, y compris la police, afin de vérifier que les citoyens se conforment aux mesures de quarantaine. La loi n’impose pas que les requêtes soient des ordonnances du tribunal et se contente d’établir un examen judiciaire de la procédure a posteriori identique à ce que le pays utilise en cas de rétention de données destinées à prévenir des attaques terroristes. Sans limite de temps, ces mesures resteront même en place après la fin de l’état d’urgence. Comme la Pologne, la Bulgarie a démontré des tendances autoritaires depuis plusieurs années et cette extension du régime de rétention des données du pays, inaugurée durant la crise du Covid, pourrait aider à consolider une autocratie. La tendance des pays européens en quête de surveillance géolocalisée ternit aussi l’image populaire d’une Union européenne particulièrement attachée à la protection de la vie privée.

Le Pérou , comme certains pays Européens, a aussi décrété l’état d’urgence. Il oblige les entreprises de télécommunications à autoriser les centres d’appel d’urgence à accéder aux antennes relais et aux données GPS de ceux qui ont appelé ces numéros et qui sont infectés par le Covid-19 ou suspectés de l’être. Le décret autorise aussi les centres d’appel à accéder à l´historique de gélocalisation des équipements depuis lesquels l’appel a été fait, et jusqu’à trois jours avant cet appel. Les organisations non gouvernementales péruviennes qui défendent les droits numériques émettent des doutes sur les bases légales de telles mesures de surveillance. Il y a aussi de quoi s´inquiéter des potentielles conséquences pour le Pérou d’une restriction des droits à la vie privée en état d’urgence. Le Pérou a déclaré l’état d’urgence de façon régulière en zone rurale lorsque des activistes protestaient pour défendre leurs terres, l’environnement ou leurs droits.

La Corée du Sud , un pays qui lutte contre des épidémies de Coronavirus depuis l´apparition du Syndrome respiratoire du Moyen-Orient (MERS) en 2015, a dramatiquement restreint les droits à la vie privée dans le contexte de la pandémie. La loi Infectious Disease Control and Prevention Act et son décret d’application permettent aux autorités de santé d’obtenir des données personnelles sensibles sur les personnes infectées, ainsi que leurs contacts et ceux avec qui ils sont suspectés d’avoir été en contact. Ces données incluent les noms, les identifiants d’enregistrement des résidents, le dossier d´immigration, les transactions liées aux cartes de crédit, de débit ou prépayées, les enregistrements des cartes de transport et les enregistrements de vidéo surveillance d´entreprises tierces. La police peut saisir ces données sans le consentement de la personne et sans contrôle judiciaire. La loi permet aussi aux officiels de santé et aux employés municipaux d’obtenir les données de géolocalisation des personnes infectées (ou suspectées d’être infectées) ainsi que leurs contacts (ou contacts suspectés) auprès des opérateurs de télécommunications et des fournisseurs de données géolocalisées (antennes relais et GPS).

L’ Équateur , le pays au troisième rang de la pire épidémie de Covid-19 en Amérique latine, a aussi confié au pouvoir exécutif l’extension de la surveillance géolocalisée utilisant GPS et antennes relais. Le décret d’urgence publié par le président Lenín Moreno utilise des termes vagues autorisant le gouvernement à « utiliser les satellites et les entreprises de téléphonie mobile pour tracer la position des personnes visées par une quarantaine ou un isolement obligatoire ». Les ONG d’Amérique latine ont immédiatement réagi, rappelant à l’Équateur que toute mesure de surveillance doit être nécessaire, proportionnée et, par conséquent, efficace pour contenir le virus. La déclaration des ONG fait écho aux déclarations des rapporteurs spéciaux auprès des Nations unies qui avaient conjointement demandé aux États membres de respecter les standards internationaux des droits de l’homme :

« Tout en reconnaissant la gravité de la crise sanitaire actuelle et le fait que le recours aux pouvoirs d’urgence est autorisé en vertu du droit international en cas de menace grave, nous rappelons instamment les États que toute intervention d’urgence face au coronavirus doit être proportionnée, nécessaire et non discriminatoire. »

L’appel fait suite à la déclaration de la haute commissaire des Nations unies aux droits de l’homme appelant à mettre les droits humains au centre des mesures relatives à l´épidémie de Coronavirus.

Conclusion

La surveillance géolocalisée s´accompagne de nombreux risques pour la vie privée des citoyens, la liberté d´expression et la protection des données personnelles. L’EFF mène un combat de longue date contre l’accès aux données de géolocalisation sans ordonnance du tribunal ou les obligations de rétentions de données et a enjoint les gouvernements à plus de transparence sur leurs programmes de surveillance. En ces temps de crise sanitaire majeure, alors que le gouvernement n’a pas démontré l’efficacité de l’utilisation des données de géolocalisation utilisant GPS et antennes relais, il lui incombe d’être aussi transparent que possible sur les données collectées et l’objectif poursuivi. Avant toute chose, la nécessité et la proportionnalité des mécanismes de surveillance géolocalisée doivent être démontrées.