Après des semaines de débats et de discussions entre les experts et le gouvernement italien, l’Italie met en place sa propre application de traçage social pour (on l’espère) arrêter la propagation de la COVID-19, qui maintient le pays entier (ainsi que la plupart du monde) à domicile. Le « Groupe de travail sur les données pour la crise de la COVID-19 », créé par le gouvernement italien dans le but de soutenir ses décisions et ses actions dans la lutte contre le virus, a sélectionné – parmi plus de 300 propositions – le projet « Immuni » présenté par la société Bending Spoons conjointement avec le Centre de Diagnostic Sant’Agostino et Jakala.
L’application est conçue selon deux principes de base : le téléchargement volontaire de l’application et l’utilisation de la technologie Bluetooth, plutôt que de la technologie GPS. Ces deux éléments ont été exigés par le Conseil européen de la protection des données et ont été définis dans sa lettre du 14 avril à la Commission européenne comme des conditions fondamentales (entre autres) pour envisager des applications de traçage social conformes au Règlement Général sur la Protection des Données.
Cela signifie qu’il n’y aura aucune obligation que les citoyens italiens téléchargent et utilisent l’application et que la technologie à utiliser pourra suivre les contacts d’une personne qui a été testée positive au virus afin d’alerter les contacts qui ont été proches d’une personne positive et d’effectuer des contrôles supplémentaires. L’application n’utilisera pas la technologie GPS – qui est capable de localiser l’individu dans l’espace – qui a été estimée plus intrusive et moins utile pour suivre la propagation du virus.
Mais, dès que la nouvelle de l’application a été rapportée dans les journaux, le débat – déjà très animé sur la valeur du traçage social et sa conformité avec les lois sur la vie privée – s’est encore intensifié. Il faut dire qu’à part l’annonce de la décision, peu d’informations non techniques ont été publiées sur le fonctionnement d’Immuni, et les informations fournies ont été fragmentaires.
Les principaux doutes entourant cette nouvelle tournent autour de la question de savoir si le téléchargement de l’application est vraiment facultatif pour les citoyens italiens et si elle traitera effectivement des données « anonymes ».
En ce qui concerne le premier point, il y a deux préoccupations principales : (i) pour que l’application soit utile, elle doit être téléchargée par plus de 60 % de la population italienne : cela semble être un objectif assez ambitieux (mais pas totalement hors de portée) si l’application doit être téléchargée par choix libre ; (ii) certains administrateurs publics ont suggéré des restrictions de déplacement pour ceux qui n’utilisent pas l’application afin d’encourager les téléchargements, ce qui signifierait que l’utilisation de l’application n’est pas vraiment volontaire et libre.
En ce qui concerne le deuxième point, il semble que l’application utilisera des codes d’identification aléatoires et que l’agenda de contact sera stocké sur le smartphone plutôt que dans une base de données centralisée. C’est certainement une bonne nouvelle et une mesure de sécurité appropriée à la lumière du principe de minimisation énoncé par le RGPD, mais cela ne rend pas les données « anonymes », juridiquement et techniquement ; les données semblent plutôt « pseudonymisées ».
En outre, le fondement juridique approprié pour le traitement des données par l’application devrait être établi. Même si l’application est volontaire, le consentement ne serait en tout cas pas la base juridique appropriée pour ce traitement. Si l’application doit traiter des données de santé ou des données de géolocalisation, l’intérêt public en matière de protection de la santé publique doit être précisé par une loi dûment approuvée par le Parlement italien.
Par ailleurs, dans les pays où des applications de traçage social ont été mises en place, leur mise en œuvre s’est accompagnée d’un degré élevé de transparence et d’un important flux d’informations aux citoyens. Le besoin de transparence n’est pas une chose « agréable à avoir », mais un droit fondamental dans l’UE, comme le reconnaissent expressément le RGPD et les lois de l’UE. Toute initiative publique visant à fournir des détails sur la stratégie globale des autorités italiennes ainsi que sur le fonctionnement de l’application est non seulement hautement souhaitable, mais également nécessaire à la lumière du principe de responsabilité et afin de garantir le respect des droits fondamentaux des citoyens.
Enfin, l’utilité de l’application dépendra des multiples mesures qui seront adoptées par le gouvernement italien pour contrôler et arrêter la propagation du virus. Pour que l’application soit efficace, il est nécessaire d’utiliser des tests à grande échelle : si l’application n’est pas incluse dans une stratégie globale impliquant les autorités de santé publique et nos administrations locales et nationales, il est très probable qu’elle n’atteindra pas son objectif.