COVID-19 : Cadre d’évaluation des solutions technologiques ayant un impact sur la vie privée
Écrit par Simon Du Perron, auxiliaire de recherche au Laboratoire de cyberjustice – Hiver 2020.
La question de l’utilisation des technologies numériques afin de limiter la propagation de la COVID-19 fait couler beaucoup d’encre notamment suite à l’annonce par Yoshua Bengio, fondateur de Mila et pionnier de l’apprentissage profond, du développement d’une application visant à estimer le risque d’infection d’une personne sur la base de l’analyse, par un algorithme d’intelligence artificielle, de ses déplacements et de ses interactions. Une première phase de cet outil, dont l’utilisation serait entièrement volontaire, pourrait d’ailleurs être déployée d’ici les prochains jours ou les prochaines semaines.
Dans la foulée de ces développements technologiques, trois organismes administratifs ont récemment partagé leur interprétation des principes clés devant être pris en compte dans l’évaluation de toute mesure de lutte contre la COVID-19.
Au Québec, la Commission d’accès à l’information (CAI) a diffusé un document de réflexion concernant le recours à certaines technologies (ex. traçage de contacts, bracelets connectés, utilisation de données de géolocalisation, etc.) dans le but de favoriser la reprise de l’activité économique tout en contribuant à limiter la pandémie. Un comité spécial de la Commission de l’éthique en science et en technologie (CEST) a également rendu public un rapport sur les conditions d’acceptabilité éthique de l’utilisation d’applications intégrant l’intelligence artificielle pour le contrôle de la propagation de la COVID-19, comme celle développée par l’équipe de Mila.
Au niveau fédéral, le Commissariat à la protection de la vie privée (CPVP) a publié son cadre d’évaluation des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée. Ce document vient préciser le document d’orientation sur la protection de la vie privée et l’éclosion de la COVID-19 publié en mars par le CPVP.
Voici donc un sommaire des principes en matière de vie privée, de protection des renseignements personnels et d’éthique qui devraient guider les organisations dans le développement et le déploiement d’initiatives technologiques visant à combattre la COVID-19.
Un test de proportionnalité
Toute organisation souhaitant mettre en œuvre une solution technologique ayant une certaine incidence sur le droit à la vie privée doit s’assurer que celle-ci est nécessaire et proportionnelle. En effet, le respect de la vie privée est un droit fondamental consacré par la Charte des droits et libertés[1]. Toutefois, ce droit n’est pas absolu.
Il est donc possible d’y porter atteinte à condition de démontrer que la mesure proposée poursuit un objectif légitime et sérieux et que l’intrusion dans la vie privée qu’elle provoque est proportionnelle à cet objectif.
Certes, toutes les initiatives s’inscrivent dans un contexte de crise de santé publique et visent à lutter contre la propagation de la COVID-19. Cependant, la CAI et le CPVP mentionnent qu’il ne suffit pas de faire valoir des préoccupations de santé publique ; il importe d’être en mesure de définir avec un certain degré de précision ce que l’outil cherche à accomplir et comment il compte y parvenir.
Ensuite, il doit y avoir un lien rationnel entre l’objectif poursuivi (ex. identifier les personnes susceptibles d’avoir été en contact avec des personnes infectées afin de limiter la contagion) et la solution proposée (ex. une application de traçage des contacts). Ainsi, la fiabilité d’un algorithme d’estimation du risque individuel d’infection doit être démontrée, notamment à l’aide de données probantes, le plus tôt possible et être réévaluée à chaque phase de développement.
De plus, l’atteinte au droit à la vie privée des individus doit être minimale. Il s’agit de se demander s’il n’existe pas d’autres moyens, moins intrusifs, qui permettraient de répondre à l’objectif poursuivi. Par exemple, l’utilisation de la technologie Bluetooth est moins intrusive que la géolocalisation par GPS puisqu’elle ne fait pas le suivi des déplacements.
Finalement, il est essentiel que les avantages concrets de la solution proposée surpassent ses effets préjudiciables pour les individus. Pour faire la balance des avantages et des inconvénients, on doit considérer toutes les conséquences concrètes susceptibles de se réaliser si l’on adopte l’outil technologique envisagé. Ainsi, on peut notamment se questionner sur la possible atteinte à d’autres droits fondamentaux, comme le droit à la dignité et à l’égalité.
Après avoir conclu que l’initiative technologique envisagée est une mesure nécessaire et proportionnelle dans le contexte actuel, l’organisation doit veiller à ce que le volet opérationnel de son outil soit en phase avec les principes et bonnes pratiques en matière de protection des renseignements personnels. En voici quelques-uns :
- Prévention : Pour assurer une protection de la vie privée dès la conception de l’application (« privacy by design »), il est nécessaire de procéder à une évaluation des facteurs relatifs à la vie privée afin d’ajuster le projet de manière à respecter les obligations légales et à éliminer ou atténuer les risques d’atteinte aux renseignements personnels. Si la prise de décisions à l’aide d’algorithmes d’intelligence artificielle est envisagée, il s’avère pertinent de réaliser une évaluation d’impact algorithmique afin d’éviter notamment la présence de biais susceptibles d’entraîner des répercussions disproportionnées sur les populations vulnérables.
- Limitation de la collecte : On ne devrait recueillir que les renseignements personnels qui sont nécessaires à l’accomplissement de la finalité poursuivie par la solution proposée. La CAI rappelle d’ailleurs que cette règle ne peut être contournée par l’obtention du consentement de la personne concernée. Ainsi, la collecte de renseignements de nature moins sensible comme les renseignements anonymisés ou dépersonnalisés devrait être privilégiée[2]. Par ailleurs, la CAI précise que les renseignements inférés par des algorithmes à partir de l’analyse des renseignements recueillis, par exemple votre risque d’avoir été infecté par le virus suite à votre visite d’un commerce X, peuvent constituer des renseignements personnels couverts par la loi s’ils concernent une personne physique et permettent de l’identifier.
- Transparence : L’organisation devrait indiquer en termes simples et compréhensibles quels renseignements seront recueillis par l’outil et quels sont les renseignements susceptibles d’être inférés par un algorithme. Il faudrait également décrire les usages projetés de ces renseignements, qui y aura accès, à quel endroit ils seront conservés et quelles sont les mesures mises en place pour en assurer la confidentialité et la sécurité.
- Consentement : Les utilisateurs doivent avoir l’occasion de formuler un consentement manifeste, libre, éclairé et limité dans la durée pour chacune des finalités poursuivies par le projet et, particulièrement, pour la collecte de données. L’utilisation de solutions technologiques qui portent atteinte aux libertés individuelles doit s’effectuer sur une base volontaire. D’ailleurs, l’estimation du risque individuel par une application ne devrait pas être utilisée par des particuliers pour gérer l’accès à des lieux publics et à des commerces de services.
- Finalité : Compte tenu de la sensibilité des renseignements personnels susceptibles d’être divulgués à des applications dans le but d’atténuer les effets de la COVID-19, l’utilisation de ceux-ci devrait être limitée aux finalités déclarées lors de la collecte. Ce principe invite les organisations à anonymiser ou dépersonnaliser les renseignements personnels autant que possible.
- Protection des populations vulnérables et non-discrimination : Il importe de maintenir des approches en parallèle aux solutions technologiques afin de tenir compte des personnes en situation de vulnérabilité qui n’ont pas toujours accès aux outils technologiques ou qui n’ont pas les habiletés numériques nécessaires pour bien comprendre l’information qui leur est communiquée.
Par ailleurs, les individus qui ont été jugés à risque par une estimation algorithmique ne devraient pas subir de préjudice en raison de la cote de risque qui leur est attribuée. Si cela est inévitable, des modes de compensation sont à prévoir.
- Durée limitée : Les mesures mises en œuvre pour faire face à la crise devraient être d’une durée limitée et prendre obligatoirement fin lorsqu’elles ne sont plus nécessaires. De plus, les renseignements personnels recueillis en situation d’urgence devraient être détruits dans un délai raisonnable une fois leur finalité atteinte.
- Reddition de compte : Toute solution qui implique la collecte, l’utilisation ou la communication de renseignements personnels devrait aussi être assujettie à des mesures de gouvernance et soumise à une autorité de contrôle indépendante. En outre, les responsables des outils technologiques devraient régulièrement rendre compte au public de l’efficacité de la mesure pour atteindre l’objectif, de la pertinence de la maintenir en vigueur et des mesures mises en place pour protéger les renseignements personnels recueillis.
L’application du test de proportionnalité et le suivi de ces principes constituent un cadre de référence pour les organisations qui développent des applications ayant un impact sur la vie privée en cette période de crise sanitaire. Toutefois, le déploiement de solutions technologiques basées sur la collecte de données à grande échelle nous pousse à reconsidérer notre approche en matière de protection des données axée sur l’individu.
À cet égard, Philip Dawson de la firme Element AI propose de recourir au modèle des fiducies de données pour régir les données collectées par des applications comme celle développée par Yoshua Bengio. L’idée de confier les décisions relatives à la collecte, au partage et à l’utilisation des données de traçage à un intermédiaire indépendant, assujetti à des obligations fiduciaires envers le public, permettrait d’assurer un équilibre et une pondération entre les besoins de la société et les droits des individus.
[1] RLRQ c. C-12, art. 5.
[2] Fait notable : la CAI propose une définition précise des renseignements anonymes et des renseignements dépersonnalisés, ce qui constitue, à notre connaissance, une première en droit québécois. La CAI énonce ainsi « qu’un renseignement peut être qualifié d’anonyme s’il n’est plus possible d’identifier un individu, de manière irréversible, même en ayant recours à d’autres informations ou techniques de réidentification. » Pour ce qui est des renseignements dépersonnalisés, il s’agirait « de renseignements personnels dont on a retiré des identifiants directs ou dont il n’est pas possible d’identifier une personne sans avoir recours à d’autres renseignements, à une clé de correspondance ou à d’autres techniques de réidentification. »
Ce contenu a été mis à jour le 9 juin 2020 à 13 h 19 min.