COVID-19 et protection des renseignements personnels : l’intelligence artificielle et la recherche de contacts pour lutter contre la pandémie

| 13 minutes

La COVID-19 a un effet débilitant sur la santé et le bien-être économique des gens. Ceux-ci sont contraints de rester à la maison par des décrets imposant la distanciation sociale et l’isolement, ainsi que par des décrets provinciaux de fermeture d’urgence. Alors que nous semblons émerger lentement de cette première vague d’urgence sanitaire et économique, les gens se demandent, avec raison, de quelle façon il est possible de relancer graduellement l’économie et de reprendre un « semblant de normalité » sans déclencher d’importantes retombées négatives sur la santé ni porter atteinte aux normes ou aux droits liés à la protection des renseignements personnels.

Les gouvernements, les médecins praticiens, les chercheurs, les décideurs, parmi d’autres, cherchent désespérément des solutions pour relever ce défi. On s’affaire avec un sentiment d’urgence à trouver des solutions médicales, notamment des vaccins et des méthodes de traitement tels l’utilisation d’anticorps et les traitements expérimentaux, par exemple la thérapie cellulaire à partir de placenta. Une stratégie qui fait évidemment débat est celle des tests de dépistage de COVID-19 et d’anticorps de personnes qui ont développé la maladie, qui permettraient d’identifier les groupes de personnes à faible risque qui pourraient profiter d’un assouplissement de mesures d’urgence. Des chercheurs allemands prévoient instaurer un « certificat d’immunité » qui pourrait, en théorie, permettre d’identifier certaines de ces personnes. Jusqu’à maintenant, la discussion sur les tests est restée centrée sur les tests volontaires et non obligatoires; la question touchant les renseignements personnels ne se pose donc pas, du moins pas tant que les résultats de tests ne sont utilisés que pour le dépistage et le traitement d’une personne testée.

Solutions misant sur l’intelligence artificielle

Les technologies d’intelligence artificielle sont utilisées de diverses façons pour lutter contre la pandémie. On a par exemple utilisé l’intelligence artificielle pour établir et repérer la propagation du virus. Une entreprise canadienne, BlueDot, a été parmi les premières au monde à établir le risque émergent de la COVID-19 dans la province du Hubei et à publier le premier article scientifique sur la maladie, prédisant avec exactitude sa propagation à l’échelle mondiale au moyen de ses modèles exclusifs. Les technologies d’intelligence artificielle comme les robots conversationnels jouent le rôle d’assistants virtuels pour fournir de l’information à propos du virus. L’intelligence artificielle est aussi utilisée pour contribuer au dépistage de la maladie, notamment par l’utilisation de robots de diagnostique, pour prévoir quel patient est plus susceptible de développer des symptômes plus graves qui nécessiteront des traitements, pour mettre au point des médicaments et pour trouver des traitements au moyen de recherches documentaires permettant de déceler les indices sur les cures ensevelies sous un amas de documentation scientifique. Des opérations d’exploration de données ont été exécutées sur de vastes ensembles de données afin de bâtir des modèles de prédiction informatique pour fournir de l’information en temps réel sur les services de santé, en indiquant où il y a une croissance de la demande et où il faut déployer de l’équipement critique. L’intelligence artificielle s’est aussi avérée utile pour surveiller la formation de foule en vue d’assurer le respect des règles de distanciation sociale. Certaines de ces utilisations soulèvent des enjeux quant au respect de la vie privée puisqu’elles sous-entendent, entre autres choses, la collecte, l’utilisation, la consolidation, l’analyse et la divulgation à des tiers d’ensembles de données qui pourraient inclure ou non des données anonymisées ou de réidentification.

L’intelligence artificielle utilisée à des fins de localisation et de surveillance du public soulève aussi des enjeux sur le respect de la vie privée et, selon la personne responsable de ces activités et de leurs objectifs, d’autres questions au titre de la Charte canadienne des droits et libertés. Parmi ces utilisations, citons la localisation et la surveillance à partir d’utilisation de données conservées dans les téléphones intelligents ou générées pendant l’utilisation de ceux-ci, le balayage dans les espaces publics pour repérer les personnes potentiellement touchées au moyen de caméra infrarouge détectant la fièvre, la reconnaissance faciale ou encore d’autres technologies de surveillance par vision informatique.

Solutions de recherche de contacts

Une solution à laquelle on a de plus en plus recours est la recherche de contacts liés à la COVID-19. Santé publique Ontario a défini la recherche de contacts dans un avis publié en ligne – où figure un lien vers le portail du gouvernement du Canada pour qui lance un appel pour des bénévoles pour la Campagne nationale de recrutement de bénévoles pour répondre à la COVID-19 – comme étant un « processus utilisé pour identifier, sensibiliser et surveiller les personnes qui ont eu un contact étroit avec une personne infectée par un virus. Ces personnes présentent un risque plus élevé d’être infectées et de partager le virus avec d’autres personnes. La recherche de contacts permet d’aider les personnes à comprendre leur risque et à limiter la propagation du virus. »

La recherche de contacts comme mesure de maîtrise d’une épidémie n’est pas une nouveauté. Il s’agit de la base de la maîtrise des maladies infectieuses, souvent déployée dans le cas d’autres maladies comme la rougeole, le SRAS, la typhoïde, l’infection à méningocoques et les infections transmissibles sexuellement comme le sida. Le recours aux technologies de téléphones intelligents et à d’autres types de technologies permettant d’identifier et de localiser les personnes atteintes de diverses maladies a aussi été proposé pour d’autres maladies comme la maladie à virus Ebola.

La recherche de contacts au moyen de fonctionnalités de localisation pour lutter contre la COVID-19 a déjà été mise en place ailleurs, comme en Corée du Sud et à Taïwan. Elle a aussi été déployée en Chine au moyen d’un module d’extension des applications largement utilisées de WeChat et d’Alipay. L’utilisation de ce module n’était pas obligatoire, mais elle le devenait lors de déplacement entre certaines régions et espaces publics. Une base de données centrale recueillait des données d’utilisateurs qui étaient analysées par des outils d’intelligence artificielle.

Singapour a déployé l’application mobile TraceTogether pour permettre la recherche de contacts à partir de la collectivité. Lorsque deux téléphones munis de l’application détectent la présence de TraceTogether chez l’autre, ils échangent alors de l’information sur leur proximité. L’application utilise des lectures d’un indicateur de puissance de signal reçu (RSSI) envoyées par Bluetooth entre les appareils sur une certaine période pour estimer la proximité entre deux utilisateurs et la durée de leur rencontre. Les renseignements sur la proximité et la durée sont conservés sous forme chiffrée sur le téléphone d’une personne pendant 21 jours consécutifs Aucune donnée de localisation n’est recueillie. Lorsqu’une personne contracte malheureusement la COVID-19, le ministère de la Santé collabore avec celle-ci pour recenser les activités effectuées au cours des 14 derniers jours en vue de procéder à la recherche de contacts. Et si cette personne utilise l’application TraceTogether, elle est tenue par la loi de participer au recensement de ses déplacements et de ses interactions, et peut devoir produire des documents ou des dossiers en sa possession, notamment les données conservées par les différentes applications de son téléphone.

Le contrôleur européen de la protection des données (CEPD) a aussi lancé un appel à la mise en place d’une application mobile paneuropéenne pour suivre la propagation de la COVID-19 dans les pays européens.

Il pourrait ne pas être possible, de façon réaliste, d’enrayer le virus de la COVID-19 et d’envisager un retour à la normale sans avoir recours à une technologie sophistiquée de recherche de contacts. Il faudrait une armée de traqueurs de coronavirus pour tenter de freiner la propagation de la maladie en utilisant les techniques traditionnelles de recherche de contacts. En outre, même si les technologies de recherche de contacts ne sauraient remplacer l’humain, elles peuvent tout de même en accélérer le processus pour retrouver les personnes potentiellement infectées et jouer un rôle déterminant dans la maîtrise de l’épidémie. Un article de recherche publié dans Science conclut que :

« la propagation du virus est trop rapide pour être freinée par la recherche manuelle de contacts, mais elle peut être maîtrisée si ce processus est plus rapide, plus efficace et mené à grande échelle. Une application de recherche de contacts qui établirait une mémoire des contacts à proximité et qui aviserait immédiatement les contacts de cas positifs pourrait permettre de maîtriser une épidémie si un nombre suffisant de personnes l’utilise. En ciblant l’envoi de recommandations seulement à ceux qui sont à risque, les épidémies pourraient être endiguées sans devoir recourir à des quarantaines de masse (le confinement) qui sont néfastes pour la société.  »

Les organisations, qui reconnaissent que des défis sont liés à la lutte contre la pandémie, ont commencé à proposer des solutions de recherche de contacts mobiles à caractère privé qui pourraient être utilisées au Canada. Des chercheurs du MIT, par exemple, travaillent sur la mise au point d’un système qui accroît la recherche « manuelle » de contacts par les responsables de la santé publique et qui protégerait aussi la vie privée. Le système repose sur des signaux Bluetooth à courte portée émis par les téléphones intelligents. Ces signaux représentent des suites aléatoires de nombres, à l’image de « pépiements » émis par un téléphone que des téléphones se trouvant à proximité pourraient se souvenir d’avoir entendus. Lorsqu’une personne reçoit un résultat positif, elle peut téléverser dans une base de données la liste des pépiements que son téléphone a émis au cours des 14 derniers jours. Une autre personne analysant la base de données verrait alors si l’un ou l’autre de ces pépiements a été retenu par son propre téléphone. S’il y a effectivement correspondance entre pépiements, un avis sera envoyé à cette personne pour l’informer qu’elle a peut-être été exposée au virus, et des renseignements des autorités en matière de santé publique lui seront transmis simultanément sur la démarche à entreprendre.

La semaine dernière, Google et Apple ont annoncé qu’ils lanceront une solution complète qui comprendra des interfaces de programmation d’applications (API) et une technologie opérant au niveau des systèmes d’exploitation pour permettre la recherche de contacts, sans pour autant négliger de mettre en place des mécanismes robustes de protection de la vie privée. En mai, les deux sociétés ont publié des API qui assureront l’interopérabilité des appareils Android et iOS à l’aide d’applications créées par des autorités en santé publique. Les utilisateurs pourront se procurer ces applications officielles dans leurs plateformes de téléchargement d’applications respectives. Ensuite, Apple et Google concevront ensemble une plateforme Bluetooth élargie pour la recherche de contacts en intégrant cette fonctionnalité aux plateformes sous-jacentes « qui permettra à davantage de citoyens de participer à cet effort et pourra interagir avec un plus vaste écosystème d’apps et de systèmes utilisés par les autorités sanitaires ». Selon Apple et Google, « la vie privée, la transparence et le consentement seront prioritaires dans le cadre de ce projet, qui sera mené en collaboration avec diverses parties prenantes. [Ils publieront] des informations sur [leurs] travaux en accès libre pour que le public puisse les analyser ».

Un diagramme qui démontre de quelle façon la solution conjointe d’Apple et de Google devrait fonctionner est présenté ci-dessous.

Apple-Google joint solution API

Dans le cadre de ce partenariat, Google et Apple ont publié des documents techniques provisoires, traitant notamment des caractéristiques et de l’infrastructure relatives à Bluetooth et à la cryptographie et de la façon dont la vie privée sera respectée. Les caractéristiques visant à accroître le respect de la vie privée sont décrites comme « nécessitant le consentement explicite de l’utilisateur », on indique que la solution « ne fait pas la collecte de renseignements permettant d’identifier une personne ou de données de localisation de l’utilisateur », que les renseignements sur les personnes avec qui une personne a été en contact resteront dans son téléphone, que les personnes qui ont un résultat positif ne seront pas identifiées auprès des autres utilisateurs, de Google ou d’Apple, et que l’application ne servira qu’à la recherche de contacts par les autorités en matière de santé publique aux fins de gestion de la pandémie de COVID-19.

Le gouvernement du Royaume-Uni a confirmé que le National Health Service (système de la santé publique du Royaume-Uni) se penche actuellement sur un système de recherche de contacts avec deux entreprises technologiques. NHSX, la division technologique du NHS, collabore apparemment sur le logiciel avec Apple et Google. Les experts de sécurité clinique et d’éthique numérique participent aussi au projet. Un test de prélancement est prévu la semaine prochaine. Apple a aussi lancé un outil de dépistage de COVID-19 élaboré en collaboration avec le Centers for Disease Control and Prevention (CDC) des États-Unis, la Federal Emergency Management Agency (FEMA) et la Maison-Blanche. Cet outil est accompagné de la promesse qu’il comporte des mécanismes de protection de renseignements personnels et de sécurité robustes, et qu’Apple ne vendra « jamais » les données recueillies.

Les technologies de recherche de contact que déploieront les gouvernements du Canada et des provinces ou les organisations qui ont des activités au Canada restent toujours incertaines. Néanmoins, les solutions de recherche de contacts au moyen de technologies mobiles comportent toutes un aspect de collecte, d’utilisation et de divulgation de données personnelles, et leur adoption sera influencée par une panoplie de facteurs, notamment qui utilise la solution – c.-à-d. les autorités gouvernementales en matière de santé publique ou les organisations privées –, si les exploitants seront assujettis ou non aux lois relevant de la vie privée, ou encore si une sorte d’immunité les dégageant de toute responsabilité leur sera octroyée en vertu des décrets d’urgence.

Enjeux relatifs aux lois sur la vie privée

On compte au Canada une myriade de lois fédérales et provinciales applicables à n’importe laquelle des solutions de recherche de contacts. Et l’applicabilité dépend en grande partie des entités publiques ou privées, ou la combinaison d’organisations, qui y participent.

Sur le plan fédéral, la Loi sur la protection des renseignements personnels s’applique aux ministères et aux départements du gouvernement du Canada. Cette loi prévoit des dispositions qui réglementent l’utilisation et la divulgation de renseignements personnels qui relèvent d’une institution fédérale. La Loi sur la protection des renseignements personnels s’applique à Santé Canada. (Santé Canada réglemente aussi les instruments médicaux sous le régime de la Loi sur les aliments et drogues. Il faut déterminer si un système de recherche de contacts qui pourrait inclure des logiciels à titre d’instruments médicaux (LIM) et des systèmes de données d’instruments médicaux (SDIM) doit obtenir l’approbation de Santé Canada ou non.) La loi LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) pourrait aussi entrer en jeu si, par exemple, des renseignements personnels sont recueillis, utilisés ou communiqués par une organisation dans le cadre d’activités commerciales.

Par ailleurs, une foule de lois provinciales pourraient aussi s’appliquer. Il existe de nombreux régimes de protection de la vie privée détaillés au Québec, en Alberta et en Colombie-Britannique, ainsi que des lois sur la protection des renseignements personnels en matière de santé en Ontario, au Nouveau-Brunswick, à Terre-Neuve-et-Labrador et en Nouvelle-Écosse. On compte aussi des lois en matière de matière de protection de la vie privée applicables aux institutions provinciales. En Ontario, par exemple, la Loi de 2004 sur la protection des renseignements personnels sur la santé s’applique aux dépositaires de renseignements sur la santé tels les médecins, les hôpitaux et les médecins-hygiénistes. La Loi sur l’accès à l’information municipale et la protection de la vie privée s’applique à diverses institutions, notamment les municipalités et les conseils de santé. Il existe aussi un droit statutaire ou une common law sur l’atteinte à la vie privée à l’échelle du pays.

Si l’on retrouve certaines similarités entre les lois de protection de la vie privée partout au pays, on note aussi des différences importantes, par exemple, les différences entre les normes quant à l’obtention du consentement ou les types d’exemptions que doivent obtenir les autorités fédérales et provinciales ainsi que les organismes privés. Il n’y a pas de cadre commun comme il en existe dans l’Union européenne sous la forme du règlement général sur la protection des données qui comporte des exemptions précises pour le traitement de données, y compris lorsque le traitement est nécessaire pour des motifs d’intérêt public importants, ainsi que des exemptions propres aux données sur la santé. (Cet aspect en est un qui bénéficierait grandement d’une réforme au Canada.)

Un grand nombre de facteurs relatifs à la protection de la vie privée doivent être pris en compte lors de l’évaluation de l’adoption de technologies visant à s’attaquer à la pandémie de COVID-19. Et pour ce qui est des technologies de recherche de contacts, ces facteurs pourraient comprendre l’architecture et les protocoles de la solution, la personne qui a accès aux données – y compris les autorités publiques – et pour quelles fins, si l’utilisation de la solution est volontaire ou obligatoire, si les données sont chiffrées ou non, si les utilisateurs sont anonymes ou non, les renseignements que transmet un utilisateur infecté aux personnes avec qui il entre en contact, si le système peut être utilisé par un tiers et la mesure dans laquelle le système et fiable et sécuritaire.

Conclusions

Les Canadiens souhaitent certainement tous que la pandémie soit endiguée. Jusqu’à ce qu’un vaccin soit disponible pour le public, il faut considérer des mesures qui permettront de reprendre les activités économiques et d’autres activités qui ont été mises à l’arrêt. Il est probable que de nouvelles technologies innovatrices, comme celles relatives à l’intelligence artificielle et à la recherche de contacts, doivent être déployées pour favoriser ces mesures.

Les outils d’intelligence artificielle et de recherche de contacts ne constituent pas la panacée qui permettra de régler la crise. L’intelligence artificielle peut s’avérer utile, mais il faut rester prudent pour évaluer les déclarations exagérées quant à ce qu’elle peut accomplir, et si les cabinets du secteur possèdent les données et l’expertise qui leur permettront de tenir leur promesse. L’expérience de recherche de contacts comme celle de Singapour a démontré certaines lacunes, comme le potentiel de ne pas signaler des cas où le virus s’est propagé et de produire de faux positifs. En outre, nous ne serons pas en mesure de reprendre les activités au pays sans mettre en place de vastes programmes de test.

Les lois de protection de renseignements personnels ne devraient pas nuire à l’utilisation de technologies qui permettent améliorer cette situation d’urgence et de conserver un juste équilibre du droit à la vie privée. Au Canada, il y a toujours eu une reconnaissance de la nécessité d’un équilibre de droits dans les lois. La vie privée, à titre de principe moral ou juridique, ne supplante pas toute autre loi ou tout principe de droit.

Les arguments d’éthique quant à l’utilisation de recherche de contacts à partir de téléphone de manière à tenir compte de la vie privée ont été judicieusement exprimés par des chercheurs de l’Université d’Oxford dans un article de recherche de Science, dont nous citons un extrait :

« Une utilisation réussie et appropriée de l’application repose sur sa capacité à s’attirer une confiance bien fondée du public. Ce principe s’applique à l’utilisation de l’application en soi ainsi qu’aux données qu’elle recueille. Il y a des arguments éthiques solides et bien établis qui reconnaissent l’importance de réaliser des bienfaits pour la santé et d’éviter ceux qui sont néfastes. Ces arguments sont particulièrement forts dans le contexte d’une épidémie qui présente le potentiel d’un grand nombre de décès, comme il est possible pour la COVID-19. Les exigences relatives à une intervention éthique et capable de s’attirer la confiance du public devront vraisemblablement comprendre : i. Une surveillance d’un comité consultatif inclusif et transparent et comptant des membres du public; ii. L’entente et la publication des principes d’éthiques qui serviront de guide pour l’intervention; iii. Des garanties quant à l’égalité d’accès et de traitement; iv. L’utilisation d’un algorithme transparent et vérifiable; v. L’intégration d’évaluation et de recherche dans l’intervention afin d’orienter la gestion efficace en prévision d’autres épidémies majeures; vi. Une surveillance minutieuse de l’utilisation et une protection efficace des données; vii. L’échange de connaissances entre pays; particulièrement avec les pays à revenu faible ou intermédiaire; viii. S’assurer que l’intervention est assortie de l’imposition la plus faible possible de mesures et que les décisions en matière de politiques et de pratiques sont motivées par trois valeurs morales : respect de l’égalité morale, l’équité et l’importance de réduire les souffrances. »

Certains ont soutenu que la restriction des droits relatifs à la vie privée et des droits démocratiques, même en situation d’urgence, posait un risque que les mesures puissent devenir permanentes ou difficiles à renverser. Toutefois, dans un article de fond récemment publié dans le MIT Technology Review, l’auteure Genevieve Bell, directrice de l’Autonomy, Agency, and Assurance Institute de l’Australian National University et chercheure principale à Intel, conclut que les circonstances actuelles justifient une réponse à la pandémie qui devrait être assujettie à une « disposition de temporisation » :

« La rapidité à laquelle le virus s’est répandu et la réponse qu’il commande ne devraient pas nous inciter à penser que nous devons créer des solutions qui dureront pour l’éternité. Il y a un argument solide selon lequel tout ce que nous construisons en lien avec la pandémie devrait s’accompagner d’une disposition de temporisation – plus particulièrement lorsqu’il est question de données personnelles et sur la collectivité que nous sommes susceptibles de recueillir. Les décisions que nous pourrions prendre aujourd’hui quant à la collecte et à l’analyse de données pourraient ne pas être les mêmes entre d’autres circonstances. La création de cadres qui permettent d’apporter des modifications aux valeurs et aux options de calculs nous apparaît par ailleurs importante.

De nombreuses réponses et tout autant de solutions surgiront, et nulle ne s’avérera facile. Nous testerons les solutions ici, à l’ANU, et je sais que d’autres en feront autant. Nous devrons nous pencher sur les modalités techniques, revoir les règlements, et même modifier certaines de nos institutions et habitudes de longue date. Et peut-être qu’un jour pas si lointain, nous pourrons à nouveau nous rencontrer en public, lors de grands rassemblements, partager ce que nous avons appris, et parler de ce qu’il reste à accomplir – pour régler cette pandémie, mais aussi pour bâtir des sociétés justes et équitables, où n’existe pas la crainte d’être épié.

There will be many answers and many solutions, and none will be easy. We will trial solutions here at the ANU, and I know others will do the same. We will need to work out technical arrangements, update regulations, and even modify some of our long-standing institutions and habits. And perhaps one day, not too long from now, we might be able to meet in public, in a large gathering, and share what we have learned, and what we still need to get right—for treating this pandemic, but also for building just, equitable, and fair societies with no judas holes in sight. »

First published @ barrysookman.com. This update is part of our continuing efforts to keep you informed about COVID-19. Follow our COVID-19 hub for the latest updates and considerations for your business.

Pour en savoir plus sur les dernières considérations relatives aux applications de recherche de contacts : Écoutez l’épisode 13 : Avancées technologiques en pandémie : risques et espoirs :

Le droit aux temps de la COVID-19 est disponible sur SoundCloudSpotify et Apple Podcasts

Auteurs

Abonnez-vous

Recevez nos derniers billets en français

Inscrivez-vous pour recevoir les analyses de ce blogue.
Pour s’abonner au contenu en français, procédez à votre inscription à partir de cette page.

Veuillez entrer une adresse valide