Dans son document de réflexion concernant le recours à certaines technologies (ex. : traçage de contacts, bracelets connectés, utilisation de données de géolocalisation), la CAI invite à s’interroger sur l’objectif de la technologie proposée. Bien entendu toutes celles envisagées visent à contribuer à enrayer la COVID-19, à limiter la propagation du virus. Mais il importe d’être plus précis et de répondre à la question : Comment cette application ou cet outil technologique est-il susceptible de le faire? Que vise-t-il spécifiquement à faire dans le contexte de cette lutte? Par exemple, est-ce qu’on vise à : aider les autorités de santé publique à effectuer les enquêtes épidémiologiques et à retracer les contacts ou à avoir un portrait plus global de la prévalence au sein de la population? Assurer le respect de mesures d’isolement par les personnes porteuses du virus? Identifier les personnes susceptibles d’avoir été en contact avec des personnes infectées et si oui, dans quel but (dépistage, recommandations de consignes sanitaires, portrait d’une situation, etc.)? Prodiguer des conseils aux personnes selon leur « niveau de risque » d’avoir été en contact avec une personne infectée ou leurs symptômes?
Les concepteurs de ces solutions ou les autorités gouvernementales qui adoptent de tels dispositifs ou en font la promotion doivent démontrer qu’il s’agit d’un moyen raisonnable et que sa justification peut se démontrer, i.e. que l’intrusion dans la vie privée qu’implique la solution proposée est proportionnelle à l’objectif poursuivi ou à la situation que l’on souhaite contrer.
Il est nécessaire entre autres de s’interroger sur la portée de la solution envisagée et de se demander si d’autres moyens, moins intrusifs, ne pourraient pas apporter une solution efficace ou permettre d’atteindre l’objectif poursuivi. Se demander par exemple : est-ce que l’objectif peut être atteint autrement, sans porter atteinte à la vie privée des individus, sans recueillir ou utiliser des renseignements personnels? Quels moyens permettent de limiter l’atteinte à ce droit au strict minimum? Est-ce que ce genre d’outil devrait être encadré de manière spécifique dans le contexte actuel et compte tenu des enjeux importants de vie privée qu’il soulève? Si oui, comment?
Il faut s’assurer d’une balance des avantages et des inconvénients concrets d’avoir recours à la solution technologique envisagée. Quels sont-ils? Est-ce que le ou les avantage(s) pour le bien collectif surpasse(nt) l’atteinte aux droits individuels? Il est pertinent de considérer toutes les conséquences concrètes susceptibles de se réaliser. Par exemple, est-ce que la mesure envisagée est susceptible d’entraîner une atteinte à d’autres droits, comme la dignité ou la sauvegarde de sa réputation, d’entraîner de la discrimination, de stigmatiser certains individus? Est-elle susceptible d’avoir un impact, positif ou négatif, sur les mesures adoptées par les autorités pour lutter contre la pandémie? Quels sont les enjeux selon que les renseignements sont recueillis et utilisés par les autorités publiques ou une entreprise privée? Si cette application est disponible sur une base volontaire, quels sont les avantages et les inconvénients de cette approche?
Si cette évaluation permet de conclure que la solution envisagée est une mesure justifiée et nécessaire dans le contexte actuel et que l’intrusion dans la vie privée qu’elle constitue est proportionnelle et permet d’assurer un équilibre et une pondération entre les besoins de la société et les droits des individus, il convient alors d’évaluer les modalités d’application afin de s’assurer qu’elles respectent les principes et les meilleures pratiques en matière de protection des renseignements personnels. Il s’agit d’un ensemble de principes et de bonnes pratiques visant à encadrer et à minimiser la collecte, l’utilisation, la communication et la conservation des renseignements personnels (tels la prévention, limiter la collecte aux seuls renseignements nécessaires, faire preuve de transparence, limiter l’utilisation et la communication des renseignements, obtenir le consentement, évaluer les impacts du recours à un système d’intelligence artificielle, respecter les règles spécifiques applicables aux renseignements biométriques et aux données de géolocalisation, détruire les renseignements personnels, permettre l’exercice de ses droits par la personne concernée et encadrement, reddition de compte, contrôle externe indépendant et réévaluation).
En particulier, la transparence quant à l’ensemble des mesures prises par l’organisme public ou l’entreprise privée pour assurer la protection des renseignements personnels est essentielle pour démontrer la responsabilité de l’organisation.
