• L’adoption d’une loi procurant des garanties supplémentaires, y compris des mesures de redressement, comme celles proposées dans le projet de loi intitulé Coronavirus Safeguards Bill) contribuera à renforcer la confiance et à atténuer les risques d’échec analysés dans l’EIP. • Un plan de protection des exclus du numérique qui n’ont pas accès à un appareil intelligent
ou n’en possèdent pas un doit être élaboré, tant pour protéger les exclus (notamment les personnes vieillissantes, les personnes vulnérables, les jeunes enfants, les personnes ayant des besoins de soins de santé ou des problèmes de capacité mentale), mais également à titre de repli stratégique si l’application du NHSx ne fonctionne pas comme prévu. À noter que le NHSx envisage d’adopter l’initiative DevicesDotNow.
• Il faut s’assurer que des garanties appropriées sont offertes en ce qui a trait aux recomman‑ dations et aux notifications et qu’elles sont adaptées et appropriées pour l’utilisateur final (c.‑à‑d. que le message doit être adapté selon que le destinataire est un enfant ou un adulte). La vulnérabilité de l’utilisateur déterminera la mesure dans laquelle il se conformera aux recommandations ou pas, et ce qu’il fera de cette information (à noter : risque de suicide ou autres problèmes de santé mentale).
• Les garanties pour tous doivent comprendre des éclaircissements sur le sort réservé à TOUTES les données une fois que l’application aura été supprimée et sur les circonstances dans lesquelles le système national de santé peut mettre fin au droit d’accès des personnes à l’application du système national de santé.
de la vie privée et les universitaires. Bien qu’il soit possible que vous puissiez supprimer des
la suppression des données dans le serveur central sonar.
CRITÈRE 2 – RESPONSABILITÉ
• Le NHSx est l’autorité de la santé régie par le ministère de la santé et de l’aide sociale (Department of Health and Social Care) du Royaume‑Uni. Il doit être tenu responsable, comme toute autre autorité gouvernementale ou publique, en particulier en ce qui a trait à la violation des droits de la personne et de la loi sur l’égalité.
• Le système national de santé dont le NHSx fait partie est une autorité de la santé de longue date qui devrait déjà s’être dotée d’une structure organisationnelle et de responsabilité. Cela dit, il n’a aucune expérience du déploiement et de la gouvernance et de la surveillance continues d’outils de traçage de proximité. Bien qu’il ait mis sur pied un conseil consultatif en matière d’éthique, qui offre des conseils au conseil de surveillance de l’application (qui fait vraisemblablement partie du NHSx) (se reporter aux modalités du mandat du conseil consultatif en matière d’éthique), le rôle ou le pouvoir décisionnel du conseil de supervision de l’application n’est pas clairement défini. Nous recommandons la mise sur pied d’un organe de surveillance indépendant.
• Il faut établir clairement la nécessité pour le personnel du NHSx de recevoir une formation (le cas échéant) ou pour le NHSx d’en offrir une en interne afin de disposer de la capacité requise en cas de changement de fournisseur de service. • Il est fort probable que le NHSx, en sa qualité
d’autorité de santé publique, et non de fournisseur de solutions technologiques, s’appuiera sur l’expérience de son consortium de fournisseurs de services technologiques, notamment Amazon Web Services (AWS), Pivotal/VMWare Tanzu et Microsoft Azure. L’analyse d’impact relative à la protection des données ou les dossiers de presse ne décrivent pas clairement le rôle (le cas échéant) que joue Palantir au sein de ce consortium, mais peuvent aider à comprendre les données anonymisées. Ces sociétés sont toutes des développeurs expérimentés. Nous recommandons au NHSx de renforcer sa capacité à cet égard.
• Fait important (et c’est probablement le résultat de la position de base actuelle adoptée dans l’analyse d’impact relative à la protection des données à
l’égard du traitement légal, se reporter à l’encadré 1 qui précède), les garanties intégrées dans le modèle de l’application du NHSx en matière d’accès et de rectification sont insuffisantes. • Les dépendances envers des tiers pourraient
également nuire considérablement à la respon‑ sabilité à l’égard de la solution. À cet égard, nous devons identifier les principaux fournisseurs de plateforme de système d’exploitation : Apple et Google. Nous recommandons que ces fournis‑ seurs soient tenus de réaliser des analyses d’impact relatives à la protection des données distinctes et accessibles au public et de fournir un engagement irrévocable ou juridiquement exécutoire en ce qui a trait à la manière dont ils traiteront les données de l’application du système national de santé, y compris les métadonnées sur le comportement des utilisateurs. Ces engage‑ ments exigeront non seulement la conformité à aux lois et règlements du Royaume‑Uni et aux codes de conduite du NHSx, mais également de la transparence pour permettre de réduire au minimum (et de corriger) les erreurs contenues dans les solutions technologiques de chaque plateforme.
CRITÈRE 3 – TRANSPARENCE ET
EXPLICABILITÉ
• Comme il a été mentionné précédemment, l’application du système national de santé fait l’objet d’un test bêta sur l’île de Wight, un projet pilote visant à évaluer la robustesse du modèle d’application centralisée. Dans le cadre de ce projet pilote, les conditions d’utilisation, une politique de confidentialité et une analyse d’impact relative à la protection des données ont été publiées. Toutefois, les résultats de l’essai réalisé sur l’île de Wight n’ont pas encore été publiés, de sorte qu’aucune conclusion n’a pu être dégagée. Nous attendons également les documents sur la mise en œuvre complète de l’application du NHSx à l’échelle du Royaume‑Uni.
• Cela dit, il est possible d’expliquer les fonctionnalités de l’application et les catégories de données utilisées.
• L’application du NHSx est sensible aux risques liés à la technologie Bluetooth LE et à d’autres cyberrisques propres à cette technologie. Ces risques ne sont pas uniques à un outil de traçage
de cette nature. Nous énumérons certains de ces risques ci‑après, dans le contexte du critère 5 (Sécurité et fiabilité) qui suit. Selon nous, la documentation contient peu d’informations permettant de présumer que l’application du NHSx est plus robuste que tout autre système reposant sur la technologie BT LE.
CRITÈRE 4 – ÉQUITÉ ET
NON‑DISCRIMINATION
• L’analyse d’impact relative à la protection des données pour l’essai réalisé sur l’île de Wight mentionne que l’article 22 du RGPD s’applique, mais que le consentement ne constitue pas la base sur laquelle ils s’appuient. Il semble qu’ils s’appuient sur l’exception contenue dans les articles 3(1) et 3(3) du règlement intitulé Health Service (Control of Patient Information) Regulations 2002 qui « définit les mesures appropriées pour protéger les droits et libertés et les intérêts légitimes des personnes concernées ». Voir l’analyse juridique de Michael Veale contenue dans l’analyse d’impact relative à la protection des données qui contient les raisons pour lesquelles cette exception pourrait ne pas s’appliquer à la prise de décisions automatisée. • En raison de la nature de l’application et du
service de notification qu’elle offre, et peu importe que la prise de décisions automatisée s’applique ou non, il est probable que les per‑ sonnes seront influencées par le biais de confirmation lorsqu’elles accepteront les recom‑ mandations de l’application. De plus, il importe de noter que les qualificatifs additionnels suivants pourraient avoir une incidence importante sur l’équité ou la non‑discrimination, soit :
– Le contenu des notifications ;
– Les sanctions (le cas échéant) en cas de non‑ conformité à ces notifications (y compris sans s’y limiter des sanctions juridiques, mais également des sanctions liées au retour au travail, en particulier après une période de congé) ;
– Les limites posées par la conformité ou la non‑ conformité (p. ex. les contraintes financières ou les circonstances socioéconommiques).
volontaire. Nous sommes toutefois préoccupés par la possibilité qu’un segment de la population nationale (près de 40 % des personnes âgées de plus de 65 ans et de celles âgées de moins de 16 ans) puisse ne pas pouvoir participer pour la seule raison qu’ils n’ont pas accès à un appareil intelligent ou n’en possèdent pas un.
• Nous avons déjà indiqué que l’application du NHSx (comme d’autres solutions similaires) pourrait donner lieu à des comportements de « masse » indésirables dans la société, ce qui se traduirait par un biais d’automatisation (confiance inconditionnelle dans les résultats fournis par l’application), faussant ainsi la confiance à une extrémité et entraînant l’ostracisation des personnes les unes par rapport aux autres.
• Nous sommes d’avis qu’il faudrait un système bien établi de redressement des faux positifs et des faux négatifs, ainsi que des risques de réidentification, des risques de colocalisation et des risques liés aux variables proxy.
• Du fait que l’application du NHSx a recours à un serveur centralisé, il est probable que les utilisateurs qui se déplacent dans les différents États membres ne pourront pas être notifiés de façon efficace. Il existe un risque important pour les villes frontalières entre l’Irlande du Nord et la République d’Irlande. Le fait que l’application du NHSx ne soit actuellement pas interopérable avec d’autres solutions de l’UE pourrait être une cause de discrimination ou d’iniquité pour les travailleurs ou les familles interfrontaliers.
• À la lumière de ce qui précède, il existe un risque d’émergence de nouvelles formes de discrimination liées à la possession ou à l’absence de possession de l’application du NHSx.
CRITÈRE 5 – SÉCURITÉ ET FIABILITÉ
• Tous les systèmes de traçage de proximité qui avisent les utilisateurs qu’ils sont à risque permettent à un adversaire motivé d’identifier la personne infectée (que ce soit en raison de comptes multiples, d’un enregistrement manuel, de délais d’enregistrement ou d’identification (intervalles de temps), ainsi que d’identification par
photo ou vidéo). Par ailleurs, Il existe des faiblesses inhérentes à la technologie BT LE qui peuvent être exploitées à des degrés divers de sophistication, comme l’injection de bruit, le traçage d’utilisateurs utilisant des projections orthogonales du traçage de contacts (p. ex. adresses MAC), la conduite guerrière et le vol de cellulaires.
• Selon nous, ces risques dépendent de l’inter‑ vention de spécialistes de la technologie et d’acteurs malveillants agissant dans l’intention de nuire. Comme il a été mentionné au critère 3 qui précède, la documentation contient peu d’informations permettant de présumer que l’application du NHSx est plus robuste que tout autre système reposant sur la technologie BT LE. • Contractuellement, en ce qui a trait à l’essai réalisé
sur l’île de Wight, l’application du NHSx cherchait à atténuer certains des actes de malveillance décrits dans ces conditions d’utilisation au moyen de celles‑ci.
• Les points ci‑dessus doivent être considérés dans le contexte de l’utilisation de l’application par le grand public. Les niveaux de connaissances technologiques doivent être considérés comme faibles. Les utilisateurs traiteront l’application technologique comme n’importe quelle autre sur leur téléphone. Toutefois, des niveaux de confiance supplémentaires peuvent être présumés, car l’application sera diffusée par le ministère de la santé et de l’aide sociale du Royaume‑Uni sous les auspices de l’autorité de la santé, le NHSx. Les attentes en matière de sécurité, de protection contre les risques et de fiabilité de l’application seront donc extrêmement élevées. En outre, il doit être absolument clair que l’application n’est pas un dispositif médical et (malgré les notifications et les recommandations) ne fournit ni ne remplace une assistance médicale. Nous sommes donc préoccupés par le risque de décalage entre les niveaux réels de sécurité et de fiabilité et les attentes du public.
• Notre recommandation est qu’un programme de sensibilisation et d’éducation du public soit mis en œuvre d’une manière adaptée au large spectre de la consommation publique. Le Royaume‑Uni pourrait vouloir se distancer de la proposition du consortium DP3T de publier une bande dessinée explicative pour faciliter la participation du public.
CRITÈRE 6 – DONNÉES OUVERTES,
CONCURRENCE LOYALE ET PROPRIÉTÉ
INTELLECTUELLE
• L’application du NHSx en phase de test bêta a été publiée en source ouverte en vertu de la
licence du MIT permissive en source ouverte. Compte tenu de ce contexte, nous ne prévoyons pas qu’il y aura des risques complexes liés à la propriété intellectuelle, bien que nous soyons tenus de signaler les modifications découlant des dépendances à l’égard des technologies exclusives, comme le système d’exploitation IOS d’Apple ou Android de Google. Dans une moindre mesure, nous voulons également mentionner que la technologie BT LE est elle aussi une technologie brevetée.
• L’application du NHSx a été conçue pour être utilisée au Royaume‑Uni uniquement. Les informations fournies aux fins de l’examen des normes actuelles d’interopérabilité sont insuffisantes, mais, étant donné que l’application repose sur une approche centralisée et n’est pas compatible à l’heure actuelle avec les interfaces de programmation d’applications de Google et d’Apple, il est peu probable qu’elle soit interopérable.
• Comme il est décrit dans l’essai de l’île de Wight : – Le partage de données envisagé avec des
fournisseurs de services est apparemment assujetti à des contrats conformes au RGPD. L’endroit où sont situés les serveurs en nuage et, par conséquent, où les données sont hébergées n’est pas indiqué clairement (étant donné qu’il est précisé que certains serveurs sont des serveurs d’Europe de l’Ouest ou des serveurs par défaut).
– Les données seront partagées par NHS England et NHS Improvement en vertu des pouvoirs existants en matière de traitement conformément à l’avis publié par le secrétariat d’État en vertu de l’article 3(4) de la Health Service (Control of Patient Information) Regulations 2002.
– Les données seront obtenues aux fins suivantes : analyse de données pour la planification de la santé publique et la réponse à la pandémie,
données dépersonnalisées ou anonymisées pour la recherche scientifique et l’analyse statistique.
CRITÈRE 7 ‑ PROTECTION DES DONNÉES
À CARACTÈRE PERSONNEL
• En général, nous considérons que les données personnelles peuvent être traitées dans le cadre du système de façon limitée. Il est possible d’utiliser des moyens indirects pour corréler et confirmer des éléments de données personnelles suffisamment pour identifier des personnes, et ce sera certainement le cas lorsque le consentement aura été obtenu de téléverser des données sur des personnes infectées sur un serveur dorsal. Même si, dans la plupart des cas, la demande dans le cadre de la cause Breyer auprès de la Cour européenne de justice ne peut être satisfaite, nous sommes entièrement d’accord avec les auteurs de l’analyse d’impact relative à la protection des données qu’une approche conservatrice doit être
personnelles.
• Nous pensons également que ces données personnelles pourraient aussi contenir des données potentiellement sensibles (comme des données sur la santé). Bien que l’informa‑ tion communiquée par le système de notification lorsqu’une personne se déclare elle‑même infectée ne contient aucune donnée sur la santé, la notification peut éventuellement être considérée comme une donnée sur la santé ou comme une donnée induite sur la santé, étant donné que seules les données provenant de personnes déclarées positives à la COVID‑19 (ou présumées comme telles) sont téléversées dans le serveur sonar. • Se reporter au critère 4 et à la rubrique Facteurs
justifiant de procéder à une étude d’impact qui précède sur la base légale utilisée pour le traitement des données personnelles dans le cadre du projet pilote.