- Global Voices en Français - https://fr.globalvoices.org -

Coronavirus et technologies de surveillance en Inde : santé publique contre vie privée

Catégories: Asie du Sud, Inde, Censure, Droits humains, Gouvernance, Médias citoyens, Technologie, COVID-19, Advox
Un drone en vol équipé de caméras. [1]

Image de S. Hermann et F. Richter via Pixabay, sous licence Pixabay.

[Sauf mention contraire, tous les liens renvoient vers des pages en anglais, ndlt]

La surveillance en Inde a monté d'un cran ces dernières semaines avec l'arrivée d'une nouvelle technologie, pas encore testée, qui permettrait de lutter contre le Covid-19 [2] [fr].

Un article [3] publié par le magazine hebdomadaire Outlook explique que les pouvoirs publics envisagent d'associer un « réseau de caméras de surveillance au système Aadhaar ». Si ce projet voit le jour, ces caméras seront capables de prendre la température corporelle et d'enregistrer le visage d'un individu, puis de croiser ces informations avec la base de données [du système national d'identification numérique] Aadhaar [4] [fr]. Les autorités pourront ainsi identifier plus aisément de potentielles contaminations au Covid-19.

Utilisation des données Aadhaar pour la reconnaissance faciale via des drones. Que quelqu'un envoie ça à la Cour suprême et à tous les défenseur·e·s de Product Nation qui affirmaient qu'Aadhaar ne serait pas utilisé pour la surveillance.

Aadhaar est le programme d'identification numérique basé sur une technologie biométrique, adopté par l'Inde. Plus de 1,25 milliard de personnes [10] sont recensées dans cette base de données, qui constitue sans doute le plus grand système de collecte de données biométriques au monde [11].

Un ancien responsable de l’Autorité indienne d'identification unique [12] (UIDAI), en charge du programme Aadhar, est cité dans l'article paru dans Outlook. Il y explique que les données personnelles stockées dans la base de données Aadhaar peuvent servir à identifier rapidement les cas de contamination au Covid-19 et ainsi aider les autorités à procéder tout de suite à des contrôles physiques. La base de données en question contient de nombreuses informations à caractère confidentiel, comme l'adresse du domicile et le numéro de téléphone d'un individu ainsi que des détails sur son entourage. Ce sont autant d'éléments qui peuvent s'avérer déterminants pour identifier une personne.

Mishi Choudhary [14], avocate en droit du numérique et directrice juridique de l'organisation Software Freedom Law Center [15] [fr], et Srinavas Kodali [16], un chercheur renommé dans le domaine des technologies et de la gouvernance, ont été consulté⸱e⸱s par Subhashish Panigrahi de Global Voices pour apporter leur éclairage sur l'emploi des technologies de surveillance en Inde dans la lutte contre le Covid-19.

Subhashish Panigrahi (SP) : Au vu du contexte lié à la pandémie, comment se situe actuellement l'Inde en matière de droits individuels ?

Mishi Choudhary (MC): While we cannot expect the same levels of privacy as in times of peace, we can expect that rules caution is not thrown to the wind and time-limited measures are put in place. Any data collected should be destroyed completely once the pandemic is over and should not be used for any commercial or another purpose unrelated to public health.

Mishi Choudhary (MC): Nous ne pouvons pas nous attendre à ce que la vie privée soit aussi bien respectée qu'en temps de paix. Toutefois, nous aurions pu espérer que les mesures de précaution ne soient pas jetées par les fenêtres et que les décisions prises actuellement soient temporaires. N'importe quelle donnée collectée doit être complètement détruite une fois la pandémie terminée. Elle ne doit être exploitée ni dans un but commercial, ni à des fins sans relation avec la santé publique.

SP : D'un point de vue juridique, quel est votre avis sur l'application Aarogya Setu et sur l'avènement annoncé de ces nouvelles caméras de surveillance associées au système Aadhar ?

[Aarogya Setu [17] est une application mobile mise en place par les autorités indiennes pour pister les cas de Covid-19. Les utilisateur·ice·s sont informé·e·s quand elles ou ils se trouvent à moins de 2 mètres d'une personne infectée par le coronavirus, sous réserve que son statut d'infection ait été mis à jour, ndé.]

MC: The liability limitation clause of the Terms of Service limits the government's liability even if inaccurate information is given by the [Aarogya Setu] app or in case of failure to generate true positives. It is pertinent to note that this acquits the government’s liability in case of any harm caused due to incorrect information. Therefore the app’s policies render the app as nothing but another data grabbing exercise.

Moreover, the liability clause also exempts the government from liability in the event of “any unauthorized access to the [user’s] information or modification thereof” (emphasis supplied). This means that there is no liability for the government even if the personal information of users are leaked.

MC : Une clause dans les conditions générales d'utilisation limite la responsabilité des pouvoirs publics, y compris si l'application transmet des informations erronées ou si des cas de vrai positif au Covid-19 ne sont pas détectés. Il convient de noter que la responsabilité des autorités n'est pas engagée en cas de préjudice lié à la transmission de fausses informations. Aussi, avec ces règles, l'application n'est qu'un outil de plus pour récuperer des données.

Par ailleurs, avec cette clause, les autorités ne sont pas tenues reponsables « en cas d'accès non autorisé aux informations de l'utilisateur·ice ou suite à une modification de celles-ci » (guillemets ajoutés). Par conséquent, la responsabilité des pouvoirs publics n'est pas engagée, même si des données personnelles sont divulguées.

SP : Quelles précautions les autorités peuvent-elles encore prendre pour garantir les droits humains élémentaires de chaque citoyen·ne tout en luttant contre le Covid-19 ?

MC: Data Security can never be compromised. Just because we are all in a hurry does not grant anyone the right to exploit sensitive personal information of citizens for commercial or other benefits. All measures related to the public emergency response to Covid-19 should be temporary in nature and limited in scope and should not become permanent features of governance. There should be use and access restrictions of data. Large swaths of data in untrained hands including the Police is a recipe for disastrous situations.

MC: La protection des données ne doit jamais être compromise. Le fait que nous soyons pressé⸱e⸱s ne doit pas donner le droit d'exploiter les renseignements personnels et confidentiels des citoyen·ne·s, à des fins commerciales ou autres. Toutes les mesures prises pour répondre à la situation d'urgence nationale actuelle doivent avoir un caractère temporaire et une portée limitée. Il ne faut pas qu'elles se transforment en nouveaux dispositifs de gouvernance. Il devrait y avoir des restrictions d'accès et d'utilisation des informations. Laisser de grandes quantités de données entre les mains de personnes non formées, dont la police, est le meilleur moyen de courir à la catastrophe.

SP : Sera-t-il possible d'utiliser des caméras associées au système Aadhar dans les zones rurales, tout en garantissant la protection de la vie privée des citoyen·ne·s et leur sécurité ?

Srinivas Kodali (SK): I think there is a lack of infrastructure to monitor people at this scale with cameras, drones or any other means. So this can never be implemented in due time. Even if such a thing was being worked on, it will be against the supreme court's judgement [19] on Aadhaar. It can lead to further litigation and problems that the government or UIDAI will not choose to have.

Srinivas Kodali (SK) : Je pense que les moyens matériels sont insuffisants pour surveiller les zones rurales avec des caméras ou des drones. Le système ne pourra donc jamais être mis en place à temps. Même si cette démarche était déjà engagée, une mise en service serait contraire au jugement rendu par la Cour suprême [19] sur le programme Aadhaar. Les pouvoirs publics ou l'UIDAI n'iront pas au devant des litiges et des problèmes auxquels cela les exposerait.

SP : Dans quelle mesure les initiatives déjà engagées et les applications, comme Aarogya Setu [17], sont-elles conformes aux conseils [20] [fr] de l’Organisation mondiale de la santé (OMS) [21] [fr] ? Comme toutes les applications semblent avoir été conçues en collaboration avec des « bénévoles de l'industrie », quelle est la probabilité d'occurence d'une fuite de données ?

SK: I haven't looked into the WHO advisory, but the other interesting question to ask is whether these apps comply to any standards at all. There is no framework to evaluate these systems. Any frameworks proposed by citizens will be rejected by the associated industry volunteers and the government. The possibility of lack of control over data for an individual exists because there are no rules to protect the individuals. Vague terms and conditions say that the government can share the data with anyone it deems fit.

SK : Je n'ai pas encore consulté les recommandations de l'OMS. Toutefois, une autre question intéressante serait de savoir si ces applications répondent à une quelconque norme. Il n'y a pas de cadre d'évaluation pour ces systèmes. Toute évalutation proposée par des citoyen·ne·s serait rejetée par les autorités et les bénévoles de l'industrie associés au projet. Un particulier n'a pas le contrôle total de ses données, car il n'existe pas de règles pour protéger les individus. Les conditions générales sont vagues. Elles permettent aux pouvoirs publics de partager les données comme bon leur semble.

La reconnaissance faciale [22] [fr] est en train de gagner du terrain à une vitesse fulgurante à travers le monde, car cette technologie permet de repérer rapidement les cas soupçonnés de coronavirus. L'Inde est de son côté prête à miser sur ses propres outils, comme Aadhaar par exemple. Toutefois, il y a de nombreux obstacles, y compris réglementaires. Les avis sont actuellement divisés autour de l'emploi ou non des informations contenues dans la base de données Aadhaar pour traquer les potentiels cas d'infection au Covid-19. La controverse porte sur les possibilités d'action du gouvernement suite à la loi Aadhaar de 2016 [23], qui donne des directives sur l'utilisation des données personnelles collectées. En particulier, la question de la légalité de l'exploitation de la base de données par le gouvernement à des fins de surveillance dans le cadre de la lutte contre le Covid-19 n'est pas résolue. Sanjay Hegde, avocat à la Cour suprême, estime de son côté que les caméras peuvent être utilisées bien qu'il y ait violation de la vie privée. Il avertit toutefois que cela ne doit pas se traduire par un recours à la surveillance sans mandat [24]. Ce projet se heurte également à des contraintes techniques. Un article [25] paru en 2018 dans le quotidien de langue anglaise The Hindu, expliquait que la reconnaissance faciale pouvait manquer de fiabilité pour identifier les individus, et critiquait en même temps les failles sécuritaires de ces technologies.

Les autorités gouvernementales cherchent à déployer rapidement des outils de surveillance, comme, par exemple, un système de caméras reliées à la base de données Aadhaar, des applications mobiles comme Aarogya Setu ou même des drones [26]. Des initiatives privées ont également vu le jour, comme le développement d’applications mobiles de pistage et de prise de température [27], le déploiement de la télémédecine [28] et la fabrication simple et rapide d’équipements de protection individuelle [29]. Seuls des tests rigoureux sur des protoypes de caméras thermiques et de reconnaissance faciale montreront l'efficacité et les risques potentiels de ces outils, lorsqu'ils sont associés au système Aadhaar, pour traquer les potentiels cas d'infection.

Consultez le dossier spécial de Global Voices sur l'impact mondial du COVID-19 [30] [fr].