Allemagne : la police s'est servie des données personnelles d'une appli anti-Covid

Polémique en Allemagne autour d'une application anti-Covid. La police a utilisé les données personnelles enregistrées par le système... et ça n'avait rien à voir avec l'épidémie. L'histoire commence par un tragique – mais banal – fait-divers. Le 29 novembre 2021, à Mayence, en Allemagne, dans un bar de la veille ville, un homme tombe du premier étage et se tue. Pour déterminer les circonstances de l'accident et entendre le plus de témoins possibles, la police locale sollicite les services de santé et elle obtient les données personnelles de tous les clients qui étaient présents ce soir-là et qui avaient activé l'application Luca-App sur leur smartphone, qui permet un traçage en cas de contamination au Covid-19. Elle a donc leur nom, leur téléphone, leur adresse... Et pour les besoins de son enquête, les enquêteurs contactent 21 personnes au total. Sauf que c'est illégal : nulle part il n'est dit que la police est autorisée à fouiller dans ces données. D'après la loi sanitaire allemande, le recours à ces informations est même explicitement limité à la recherche de cas contacts, il n'est pas possible de s'en servir pour des poursuites pénales. Le texte a été rédigé justement pour éviter ce genre d'abus : "Le cas présent est grave, car l’interdiction légale d’utiliser les données de suivi des contacts à des fins policières est clairement et sans équivoque inscrite dans la loi sur les infections" a estimé, mardi 11 janvier, Stefan Brink, commissaire à la protection des données du Bade-Wurtemberg dans le quotidien économique Handelsblatt. L'application en question, Luca-App, développée par une start-up et téléchargée par plus de 40 millions de personnes permet à la fois de géolocaliser et d'identifier ses utilisateurs ce qui n'est pas le cas par exemple de TousAntiCovid en France. Le parquet a présenté ses excuses Dans un pays qui est historiquement l'un des plus protecteurs d'Europe en matière de droit à la vie privée, cette affaire a créé la polémique. Plusieurs personnalités politiques ont demandé aux Allemands de désactiver Luca-App. Ce qui passe d'autant plus mal est que l'affaire de départ, certes tragique, était un simple accident. Il ne s'agissait pas de traquer un meurtrier. Au moment où les citoyens demandent des garanties sur la façon dont les autorités gèrent leurs données personnelles, c'était le pire signal possible. Le parquet de Mayence a présenté ses excuses et le responsable de la protection des donnés privées du land concerné, la Rhénanie-Palatinat, a demandé une enquête : on ne sait pas encore s'il s'agit d'un cas isolé ou si la police a pris les mêmes libertés dans d'autres situations. L’entreprise allemande Culture4life, qui exploite cette application, a condamné "cette utilisation abusive des données de Luca collectées pour la protection contre les infections". Selon l’entreprise, les demandes de ce type sont régulières mais n’ont jamais été suivies d’effets. Contrats menacés de non-renouvellement L'application est toujours en service, mais les contrats qu'elle a passés avec les 13 landers sont aujourd'hui menacés. Les régions ont quand même dépensé vingt millions d'euros au total pour la mettre en service. Les licences arrivent à échéance fin mars ou fin avril et on ne sait pas si toutes seront renouvelées. D'autant qu'une autre application – publique – existe en Allemagne, Corona-Warn, qui protège mieux les données personnelles. L'un des problèmes est que les données de Luca-App sont certes cryptées, mais elles sont stockées sur les propres serveurs de l'application. Les autorités sanitaires et le propriétaire de l'établissement concerné ont alors à utiliser leur clé de déchiffrement pour les rendre lisibles et les utilisateurs ne sont pas prévenus. Pour ses détracteurs ce scandale est l'affaire de trop. D'autant qu'avec le variant Omicron, ce type d'application est devenu inutile : la chaîne de contamination est trop rapide, les autorités sanitaires n'ont plus le temps de suivre chaque cas contact. Reste une immense banque de données qui ne sert plus à rien, mais qui continue de pouvoir être exploitée de manière illégale.