Coronavirus : les mesures prises par les Etats ne doivent pas permettre la surveillance des journalistes et de leurs sources

Depuis le début de l’épidémie du Covid-19, des États, autoritaires comme la Chine et la Russie, démocratiques comme Israël, la Bulgarie, l’Afrique du Sud et l'Équateur, ont annoncé utiliser les données de traçage des téléphones portables et le suivi des déplacements de leurs citoyens pour contenir le coronavirus. Bien que RSF reconnaisse la nécessité de mesures efficaces pour freiner la propagation du virus, l’organisation exhorte les dirigeants à ce que ces solutions garantissent l’anonymat et la protection des sources journalistiques, en respectant les principes de proportionnalité, de transparence et de limitation dans le temps.

“Lors d’une crise sanitaire mondiale, les journalistes jouent un rôle crucial pour garantir le droit à l’information, déclare Christophe Deloire, secrétaire général de RSF. Ceux-ci doivent pouvoir se déplacer et communiquer confidentiellement avec leurs sources,. Pour couvrir la crise, les journalistes sont potentiellement amenés à entrer en contact avec des porteurs du virus. Il est essentiel que les mesures technologiques déployées par les Etats ne mettent pas en péril ces protections.”

En Chine, le gouvernement a massivement étendu l’utilisation de la technologie de surveillance pour suivre et contrôler les mouvements des citoyens. Un logiciel basé sur la solution de paiement en ligne Alipay, transmet aux services de police des données personnelles telles que la localisation d'une personne et son numéro d'identification. D'autres points de contrôle analogiques et l'utilisation généralisée de caméras de reconnaissance faciale rendent les déplacements anonymes pratiquement impossibles. Ces mesures s'inscrivent dans un contexte de censure accrue sur Internet et de répression sévère des voix critiques.

En plus de son système de caméras de reconnaissance faciale, la Russie a développé l’application mobile “Social Monitoring”. Lancée sur le Google Play store le 31 mars au soir et supprimée le lendemain, l’application permettait d’assurer “l’autodiscipline” des patients atteints de coronavirus. La version de l’application a été vivement critiquée par des spécialistes informatiques pour ses faiblesses de sécurité. L’application nécessitait toutes les autorisations possibles : accès à toutes les données personnelles et bancaires, géolocalisation, accès au microphone et appareil photo - alors même que l’application repartage ces informations sur des canaux non protégés. Le 1e avril, Edouard Lyssenko, responsable du département IT de la mairie de Moscou, affirmait que l’application ne concernait que les porteurs du coronavirus à qui les autorités délivreraient un smartphone. Un système de traçage des personnes en contact avec les porteurs du virus est également en cours de développement.

Le groupe israélien NSO a annoncé la sortie d'un logiciel permettant aux Etats de suivre la propagation du coronavirus. Récemment, l’entreprise s’est vu reprocher d’avoir vendu à l'Arabie Saoudite un logiciel de surveillance qui aurait permis d’espionner le journaliste Jamal Khashoggi avant son assassinat en octobre 2018. De fait, l’intérêt de l’entreprise pour les logiciels civils fait craindre pour les données sensibles des citoyens. D’après Bloomberg, une douzaine d'États l'utilisent déjà à des fins de test. Une technologie similaire est déjà utilisée en Israël pour localiser les personnes qui ont été en contact avec les porteurs du virus. Le 14 mars, l'Union des journalistes israélienne a d’ailleurs déposé une requête auprès de la Haute Cour pour demander une dérogation pour la profession.

Effet de contagion dans les démocraties

En Corée du Sud, grâce à une application, le gouvernement surveille les citoyens en quarantaine et envoie à tous les Coréens des consignes de sécurités par textos, qui répertorient les endroits que les patients ont visités avant d'être testés positifs.

D’autres gouvernements ont annoncé des mesures similaires. Le 17 mars, le gouvernement équatorien a signé un décret qui autorise la surveillance par satellite des téléphones et le suivi géolocalisé en réponse à l'épidémie. Le 2 avril, le gouvernement d’Afrique du Sud a voté un amendement prévoyant des demandes spécifiques d’accès aux données des opérateurs de télécommunications du pays pour identifier le nombre de personnes infectées dans une zone particulière. L’amendement stipule, entre autres, que le contenu des communications électroniques ne puisse être saisi.

Le 25 mars, la Commission européenne appelait les entreprises des télécommunications à partager les flux de données mobiles de leurs utilisateurs dans toute la région pour aider à prédire la propagation du coronavirus “pour le bien commun”.

En Bulgarie, les forces de polices sont autorisées à demander et à utiliser les données des tours de téléphonie cellulaire des opérateurs de téléphonie mobile sans autorisation judiciaire préalable afin de suivre les personnes en quarantaine ou hospitalisées qui ne respectent pas ces mesures. Ce n’est que dans les 24 heures après réception de ces données que la police doit en informer un juge qui pourra approuver ou non cette requête. Un tel régime n’existait jusqu’à présent que dans des cas exceptionnels comme la menace directe d’un acte terroriste.

Des mesures controversées ont également été annoncées en Allemagne et en Autriche. Les deux pays autorisent désormais les organismes gouvernementaux à analyser les données de localisation agrégées et anonymisées. Une proposition du ministère allemand de la santé visant à utiliser les données individuelles des téléphones mobiles pour identifier d'éventuelles personnes entrées en contact les unes avec les autres a été retirée après de vives critiques de la société civile. Des discussions sont toujours en cours concernant une application mobile de suivi des patients contaminés.

Analyser et contenir l’épidémie grâce à une application mobile

Pour lutter contre la propagation de l’épidémie, plusieurs gouvernements optent pour l’utilisation d’applications mobiles qui suivent les mouvements des citoyens grâce au Bluetooth. C’est le cas du gouvernement de Singapour qui a lancé l’application TraceTogether. Téléchargée plus d’un million de fois, cela n’a pas permis de détecter la moitié des nouveaux cas. Un projet d’application mobile de ce type est en discussion en Allemagne.

Afin de garantir l’anonymat et la protection des sources journalistiques, RSF appelle les Etats à ce que ces applications mobiles utilisant la technologie Bluetooth remplissent certaines exigences, notamment : 

• Stocker le minimum de données possibles et seulement les données absolument nécessaires. Son utilisation doit être volontaire.
• Publier ce type d’applications comme logiciel libre dès le départ. Il en va de même pour les modifications apportées à l’application par le biais de mises à jour des logiciels. Ce n’est qu’ainsi que des experts indépendants peuvent évaluer le logiciel et vérifier s’il garantit l’anonymat et la protection des sources journalistiques. 
• Toutes les données collectées par l’application doivent être strictement protégées contre toute autre utilisation par d’autres autorités, services de renseignements ou entreprises. Les délais de suppression des données doivent être clairement spécifiés et le respect de ces délais doit être vérifié par un organisme indépendant. 
• La création d’une base de données privées contenant les numéros d’identification temporaires (ID) doit être empêchée à tout prix.
• Les extensions ultérieures de l'objet de l'application, par exemple pour contrôler ou vérifier les restrictions de sortie et de contact, doivent être catégoriquement exclues.
• Les balises Bluetooth à faible énergie émises par les téléphones portables ne peuvent être utilisées que pour contenir la propagation du coronavirus. Toute autre utilisation, même à des fins commerciales, qu'un utilisateur n'a pas explicitement acceptée, doit être interdite.
• Dès que les risques de sécurité concrets d'une solution basée sur Bluetooth pourront être évalués, il faudra procéder à une évaluation minutieuse et transparente des risques de sécurité numérique attendus par rapport aux avantages escomptés de la solution.

Dans ce contexte,  les Nations unies, l'OSCE et la Commission interaméricaine des droits de l'homme ont publié le 19 mars une déclaration commune sur la protection de la liberté d'expression et de la liberté d'information, rappelant l'importance de limiter l'utilisation de ces technologies en termes de finalité et de durée et soulignant la nécessité d'être en accord avec les normes internationales des droits humains.