La pandémie nous a appris beaucoup de choses: à quel point nous sommes encore vulnérables face à des maladies incontrôlées. À quel point nous sommes politiquement divisés, même lorsqu’il s’agit de protéger notre santé. Dans quelle mesure nous avons tenu l’éradication de maladies antérieures, telles que la polio et la variole, pour acquise. Combien nous apprécions la simple liberté de manger dans un restaurant ou de naviguer dans un magasin. Combien nous comptons sur l’interaction avec les amis et la famille pour notre bonheur quotidien.
Je suis un avocat spécialisé dans la protection de la vie privée, donc l’une des leçons que j’ai tirées de la pandémie concerne la confidentialité et l’échec des applications de recherche de contacts. Au printemps dernier, lorsque la maladie a commencé sa propagation rapide, ces applications ont été annoncées comme un moyen prometteur de la contrôler en suivant les diagnostics et l’exposition grâce à l’auto-déclaration et au suivi de l’emplacement. À ce moment-là, Apple et Google ont annoncé un effort conjoint pour développer une technologie que les services de santé gouvernementaux pourraient utiliser pour créer des applications pour leurs communautés, « avec la confidentialité et la sécurité des utilisateurs au cœur de la conception. » Bien que ces applications aient eu un succès mitigé dans le monde entier, elles ont été un énorme échec aux États-Unis. En effet, malgré les premiers espoirs et les efforts multiples pour mettre en œuvre ces applications dans divers États et localités, les Américains les ont largement rejetées et elles ont joué un rôle minimal dans le contrôle de la maladie.
L’une des principales raisons de cet échec est que les gens ne font pas confiance aux entreprises de technologie ou au gouvernement pour collecter, utiliser et stocker leurs données personnelles, en particulier lorsque ces données concernent leur santé et leur localisation précise. Bien qu’Apple et Google se soient engagés à intégrer des mesures de confidentialité dans la conception des applications – y compris le choix d’acceptation, l’anonymat, les limitations d’utilisation et le stockage des données uniquement sur l’appareil de l’utilisateur – les Américains n’étaient tout simplement pas convaincus. Par exemple, une enquête du Washington Post / Université du Maryland menée peu de temps après l’annonce de l’application a révélé que 50% des utilisateurs de smartphones n’utiliseraient pas une application de suivi des contacts même si elle promettait de s’appuyer sur un suivi et des rapports anonymes; 56% ne feraient pas confiance aux grandes entreprises technologiques pour garder les données anonymes; et 43% ne feraient même pas confiance aux agences de santé publique et aux universités pour le faire. En juin, la méfiance des Américains avait augmenté, avec une nouvelle enquête montrant que 71% des répondants n’utilisaient pas les applications de traçage des contacts, la confidentialité étant citée comme principale raison.
Les problèmes de confidentialité n’étaient pas la seule raison pour laquelle ces applications ont échoué. Comme les experts l’ont prédit, ils ont échoué pour d’autres raisons également, notamment l’insuffisance des tests, le manque de fiabilité de l’auto-déclaration et la propagation large et rapide de la maladie. Cependant, la réponse des Américains à ces applications montre que la confidentialité joue désormais un rôle critique dans leur prise de décision. Contrairement à l’argument de longue date selon lequel les gens dire ils se soucient de la vie privée mais acte comme ils ne le font pas (parfois appelé le «paradoxe de la confidentialité»), les Américains ont refusé d’utiliser ces applications en grande partie en raison de problèmes de confidentialité. La vie privée comptait vraiment.
Les Américains avaient de bonnes raisons de se méfier de la collecte de données par ces applications. Ces dernières années, ils ont été victimes à maintes reprises de violations de données et d’autres violations de la vie privée (y compris par les grandes entreprises technologiques) trop nombreuses pour être mentionnées. Dans de nombreux cas, les lois sur la protection de la vie privée dans ce pays n’ont pas réussi à les protéger de ces abus, que ce soit parce que les abus ne relevaient pas du champ d’application limité de ces lois, ou parce que les lois imposaient des sanctions ou d’autres recours insuffisants. Les mêmes dangers se profilaient en ce qui concerne les applications de suivi des contacts. En effet, comme les lecteurs de ce blog le savent probablement, les États-Unis n’ont pas de loi de base sur la protection des données qui protégerait les données sensibles obtenues via ces applications.
Alors que les États-Unis ont des lois qui protègent certain données dans certain secteurs de marché, ces lois ont ici une application limitée. En fait, aucune loi américaine à ma connaissance n’exigerait clairement que toutes les données collectées via les applications de traçage COVID soient stockées et transmises en toute sécurité, utilisées uniquement dans le but de suivre COVID et éliminées en toute sécurité lorsqu’elles ne sont plus nécessaires à cette fin. Sans de telles protections, rien ne garantit que ces données sensibles ne finiront pas entre les mains des compagnies d’assurance, des employeurs, des créanciers, des voleurs d’identité ou des harceleurs, pour être utilisées de manière à nuire ou à discriminer les individus.
Par exemple, la loi HIPAA (Health Insurance Portability and Accountability Act) fournit certaines protections pour nos informations médicales, mais uniquement si les données sont collectées et utilisées par une «entité couverte», c’est-à-dire un prestataire médical comme un médecin, un hôpital ou un «Associé d’affaires» aidant à mener des activités médicales. Ce n’était pas le cas ici, puisque les services de santé de l’État et locaux étaient ceux qui collectaient et utilisaient les données. Quoi qu’il en soit, en avril, le HHS avait déjà annoncé qu’il suspendait l’application de la loi HIPAA et les sanctions pour de nombreuses entités couvertes engagées dans des mesures de «bonne foi» pour lutter contre le COVID, rendant la question largement théorique et suggérant que HHS considérait ses propres règles de confidentialité en matière de santé comme mal équipés pour faire face à une urgence de santé publique.
D’autres lois américaines ne s’en tirent pas beaucoup mieux. La loi FTC permet à la FTC de contester, généralement après coup, les «actes ou pratiques déloyaux ou trompeurs» dans le commerce – y compris les fausses déclarations importantes sur la confidentialité ou la sécurité des données, ou les pratiques en matière de données qui causent des dommages importants aux consommateurs sans compenser les avantages. Bien que cette loi ait sans doute l’application la plus large de toutes les lois américaines applicables à la vie privée, elle ne se rapproche pas de fournir les protections spécifiques nécessaires ici – des limites claires sur la manière (et la durée) des données collectées via les applications de traçage COVID peuvent être utilisées, stocké et partagé. Au lieu de cela, dans la plupart des cas, cela permet aux entreprises de décider elles-mêmes des protections de la vie privée à fournir (ou non), à condition qu’elles évitent la tromperie et les formes évidentes de préjudice. Ajoutant au problème, la loi FTC n’autorise pas les sanctions civiles (nécessaires pour dissuader les actes répréhensibles), sauf dans des cas limités.
Si les applications sont utilisées par des citoyens d’États ou de localités particuliers, les lois nationales ou locales peuvent s’appliquer. Cependant, un rapide coup d’œil à la loi de premier plan de l’État (la California Consumer Privacy Act ou CPPA) n’est pas prometteuse, car elle ne s’applique pas aux agences gouvernementales qui créent et utilisent ces applications. Même si la CCPA s’appliquait, une loi qui ne protège les citoyens que dans un seul État ne fournit guère les garanties de confidentialité nécessaires pour une large adoption à l’échelle nationale des applications de recherche de contacts.
Des mois après le début de la pandémie, le Congrès a tenté de combler ce vide juridique en promulguant une autre loi étroite et spécifique à la situation. En mai et juin, après que des applications de recherche de contacts aient déjà été développées et déployées dans certaines localités, un certain nombre de sénateurs se sont empressés de faire circuler des projets de loi afin de réguler les applications et les données sensibles qu’ils collectent. Certains de ces projets de loi présentaient de graves lacunes et lacunes, et aucun d’entre eux n’a fait de progrès au Congrès.
Alors, quelles leçons pouvons-nous tirer de cette expérience? La première est la leçon évidente, soulignée ci-dessus, selon laquelle les préoccupations concernant la confidentialité ont alimenté la méfiance du public à l’égard de ces applications et ont contribué à garantir leur échec. Pendant des années, les partisans de lois strictes sur la protection de la vie privée ont fait valoir – souvent à un public sceptique de l’industrie – que des protections solides sont nécessaires pour maintenir la confiance des consommateurs dans le marché. La recherche des contacts est un exemple concret.
Ce qui s’est passé ici nous rappelle également que des normes claires régissant l’utilisation des données ne doivent pas être simplement considérées comme retenue, mais aussi comme moyen de activer utilisation responsable des données, y compris l’utilisation des données en cas d’urgence. Correctement conçue, une loi sur la protection de la vie privée devrait régir et guider nos pratiques quotidiennes en matière de données, ainsi que la façon dont nous utilisons les informations personnelles pour lutter contre une pandémie.
De plus, notre expérience ici illustre bien le chaos et la confusion auxquels nous sommes régulièrement confrontés alors que nous essayons de gérer la confidentialité aux États-Unis – un patchwork de lois qui laisse une grande partie de nos données sans protection, l’incertitude quant aux lois applicables, des efforts hâtifs pour combler les lacunes. la chaleur du moment, et l’érosion de la confiance du public.
Prises ensemble, toutes ces leçons nous ramènent à la même conclusion qui était le sujet de mon article de blog précédent: nous avons besoin d’une loi fédérale de base sur la protection de la vie privée pour établir des règles de confidentialité claires et applicables sur l’ensemble du marché, une loi qui protège nos informations personnelles dans les bons moments et en temps de crise.
Apple et Google sont des donateurs généraux et sans restriction de la Brookings Institution. Les résultats, interprétations et conclusions de cet article sont uniquement ceux de l’auteur et ne sont influencés par aucun don.
