La Californie a toujours besoin de protections de confidentialité pour les applications de suivi COVID

De nombreux États ont lancé leurs propres versions d'applications de notification d'exposition ou de suivi dans le cadre de leur réponse à la pandémie COVID-19 en cours. La Californie est peut-être sur le point de les rejoindre. Pourtant, le Golden State n'a toujours pas adopté de normes de confidentialité pour les applications de suivi COVID de l'État, ou pour les contrats que l'État peut conclure pour déployer de tels programmes.

Cette semaine, le Colorado a annoncé un programme utilisant le système Exposure Notifications Express (ESE). Ce système, nouvellement intégré au système d'exploitation iOS d'Apple, sera bientôt également une option sur le système d'exploitation Android de Google. Il permet aux utilisateurs de technologie de s'inscrire à un programme de santé publique, qui les alerte s'ils ont été exposés, sans qu'ils aient à télécharger une application distincte. Il est susceptible de devenir le moyen le plus simple pour la plupart des utilisateurs de smartphones de participer aux systèmes de notification d'exposition .

Bien que la Californie n'ait officiellement annoncé aucun programme de ce type, il y a de fortes indications qu'un tel programme est en préparation. Le 28 août, trois dirigeants de l'Assemblée législative de Californie – le président de l'Assemblée sur la protection de la vie privée et la protection des consommateurs Ed Chau, la présidente du pouvoir judiciaire du Sénat Hannah-Beth Jackson et le président de l'Assemblée Anthony Rendon – ont écrit au gouverneur Gavin Newsom faisant référence à des discussions pour un programme pilote en Californie qui comprend un "Application de recherche de contacts."

Fait inquiétant, ils ont également exprimé des préoccupations concernant le manque de considérations de confidentialité qui ont accompagné ces plans, affirmant que «l'administration n'a pas pleinement pris en compte les nombreuses implications importantes de la mise en œuvre» d'une application à l'échelle de l'État. «Nous devons travailler ensemble à chaque étape du processus pour garantir que toute mesure prise par l’Administration pour déployer une application de recherche des contacts fournisse à nos mandants la confidentialité des données et les garanties de sécurité nécessaires pour encourager une large participation», indique la lettre .

La protection de la vie privée est nécessaire aux programmes de santé publique, en particulier lorsqu'un programme nécessite des niveaux élevés de participation pour être efficace. Les gens n'utiliseront pas d'applications auxquelles ils ne peuvent faire confiance C'est pourquoi l'EFF et d'autres groupes de protection de la vie privée ont appelé le gouverneur Newsom à placer des barrières de sécurité de base sur tout programme de recherche de contacts géré par ou avec l'État. Ceux-ci inclus:

• Une règle de minimisation des données qui garantit que les informations collectées par une entité publique ou privée ne servent qu'à des fins de santé publique.
• Une garantie que toute entité privée travaillant sur un programme n'utilise pas les informations à d'autres fins, y compris, mais sans s'y limiter, à des fins commerciales.
• Une interdiction de discriminer les personnes sur la base de leur participation – ou non – à ces programmes, pour protéger ceux qui ne peuvent ou ne veulent pas participer à un programme de collecte de données et pour éviter les programmes à participation obligatoire.
• Une exigence forte pour purger les données de ces programmes lorsqu'elles ne sont plus utiles – nous demandons une période de conservation de 30 jours. Cependant, nous ne nous opposerions pas à une exception restreinte à cette règle de purge des données pour une quantité limitée de données démographiques agrégées et anonymisées dans le seul but de suivre les inégalités dans la réponse de la santé publique à la crise.

Nous avons soutenu deux projets de loi lors de la session législative 2019-2020 pour protéger la confidentialité de nos données COVID. AB 1782 (Chau / Wicks) aurait veillé à ce que tout programme de notification d'exposition dans l'État comprenne des protections de la vie privée indispensables pour les Californiens au travail et à la maison. AB 660 (Levine) aurait fourni des protections connexes pour les programmes de recherche manuelle des contacts. Ensemble, ces deux projets de loi auraient garanti que les programmes de suivi COVID dans l'État ne pourraient pas exploiter les données à d'autres fins, y compris à des fins de marketing, et garanti que chaque Californien avait le droit de poursuivre en cas de violation de la vie privée.

Malheureusement, les deux projets de loi sont récemment morts dans le comité des crédits du Sénat de Californie, présidé par le sénateur Anthony Portantino. Il s'agit d'un échec décevant pour protéger la vie privée des Californiens et ainsi faire progresser la santé publique. Mais alors que la législature a bloqué les efforts pour protéger notre vie privée, le besoin de ces protections ne fait que croître.

La lettre des législateurs suggère que Google et Apple pourraient être disposés à créer un programme pilote «pour l'État gratuitement». Comme l'écrivaient les législateurs: «Nous mettons en garde contre le fait que tout en contractant ces entreprises pour créer l'application ne coûterait pas nécessairement à l'État, les législateurs et les avocats qui s'occupent étroitement de ces questions au fil des ans ont appris qu'aucune entreprise de ce type n'est vraiment gratuite. Souvent, les produits ou services offerts «gratuitement» sont payés par la remise d'informations personnelles sensibles. »

En effet, les entreprises et les gouvernements ont prouvé à maintes reprises qu'on ne peut pas leur faire confiance pour faire ce qu'il faut, même – parfois surtout – lorsque les gens sont les plus vulnérables. En l'absence de protection de l'État, les programmes de collecte de données administrés par les gouvernements locaux ou par le secteur privé sont confrontés à quelques limites ou garanties que les données ne seront utilisées qu'aux fins prévues.

De plus, les employés bénéficient de peu de protections de la part des employeurs qui souhaiteraient peut-être utiliser les informations recueillies dans le cadre d'une intervention en cas de pandémie pour suivre à qui parlent leurs employés ou mesurer leur productivité. Et il n'y a aucune protection pour protéger les Californiens – au travail ou non – d'être victimes de discrimination pour avoir choisi de ne pas participer à de tels programmes.

Les petites promesses ne suffisent pas. Nous avons besoin de règles juridiquement contraignantes. Alors que l'État se prépare à lancer un programme pour intégrer la technologie dans sa réponse à la pandémie, il est plus important que jamais que le gouverneur de Californie fasse ce qu'il faut.