Pénalisation de l’avortement aux USA: l’enjeu des données personnelles

Google a annoncé qu'il allait désormais supprimer de son historique des localisations, les données indiquant qu'une personne s'est rendue dans un établissement médical, tel qu'une clinique d'avortement, un centre de fertilité, un centre de traitement de la toxicomanie, une clinique de perte de poids, ou une clinique de chirurgie esthétique. La décision intervient alors que ces données pourraient être exploitées par des Etats américains interdisant l'avortement.

Suite à la révocation du droit à l'avortement par la Cour suprême américaine, une dizaine d'Etats américains a en effet immédiatement rendu cette pratique illégale et de nombreux autres s'apprêteraient à faire de même, selon une analyse du Washington Post. Dans tous ces Etats, les femmes décidant de se faire avorter seront susceptibles d'être poursuivies, quels que soient les motifs de leur choix. Et pour les identifier et prouver "leur délit", les autorités policières et judiciaires pourraient s'appuyer sur les innombrables traces collectées par les apps et dispositifs numériques. Nombreux parmi ceux qui voyaient dans les capacités de surveillance numérique une menace abstraite ou limitée aux régimes autoritaires, prennent désormais conscience du danger.

Le danger n'est pas que théorique. A titre d'exemple de ce qui pourrait advenir dans les Etats interdisant l'IVG, le site américain MotherJones relate le cas intervenu en 2017 d'une femme arrivée dans un hôpital du Mississippi après avoir interrompu sa grossesse à la maison. Soupçonnant un avortement, les médecins ont transmis son dossier médical à la police, qui a lancé une enquête. Comme elle avait volontairement remis son téléphone, les procureurs ont pu consulter son historique de recherches, y voir qu'elle avait effectué des recherches sur un médicament employé pour les IVG, et utiliser cette information comme preuve. Elle a été accusée de meurtre au second degré.

Historique web, cycle menstruel, localisation

L'historique de recherche peut donc servir de preuve aux autorités, mais il existe d'innombrables autres traces numériques permettant de soupçonner un avortement. Les apps de suivi du cycle menstruel sont notamment dans le viseur en raison des données particulièrement sensibles qu'elles enregistrent. Seules certaines de ces applications permettent de s'assurer que les données restent sur l'appareil et nombre d'entre elles intègrent des trackers partageant certaines informations à des tiers, selon des analyses de ConsumerReport et d'Atlas VPN. Les autorités pourraient aussi orienter leurs enquêtes à partir de données de géolocalisation, à l'instar de certains mouvement activistes pro-life qui ciblent des femmes s'étant rendues aux alentours de cliniques pratiquant l'avortement.

L'analyse d'Atlas VPN sur les trackers présents dans les apps de suivi du cycle menstruel.

Télécoms, GAMAM, data brokers

Alors que la justice américaine délivre déjà des mandats pour réclamer aux sociétés technologiques des données de localisation ou sur l'activité en ligne des utilisateurs, tout porte à croire que les autorités feront de même dans le cadre d'enquêtes sur des avortements dans les Etats condamnant cette pratique, selon India McKinney, directrice des affaires fédérales de l'Electronic Frontier Foundation. La situation est embarrassante pour des entreprises tech, qui affichent leur souci de la sphère privée des utilisateurs, mais sont obligées de se conformer aux lois locales des pays et Etats où elles opèrent. C'est dans ce contexte qu'il faut lire l'annonce de Google, qui coupe l'herbe sous les pieds des autorités en supprimant les données incriminantes susceptibles de les intéresser.

Mais les autorités peuvent aussi se passer de mandat et contourner les réticences des géants de la tech en achetant les données à des data brokers. Le site américain MotherBoard cite pour exemple la société Safegraph qui collecte des données sur les utilisateurs via des apps tierces intégrant son SDK en échange d'une rétribution au développeur. Pour prouver son fait, Motherboard a déboursé 160 dollars et acheté à SafeGraph les données de personnes ayant visité l'un des 600 établissements de la chaîne de cliniques Planned Parenthood pendant une semaine. Le média précise qu'il s'agit de données agrégées anonymes, mais qu'il existe un risque de pouvoir remonter aux personnes, vu le nombre réduit d'appareils présents dans certains lieux.

Quand les autorités publiques exploitent les données collectées par les sociétés privées

Les données de Safegraph ont d'ailleurs été exploitées aux Etats-Unis dans le cadre de la pandémie, explique Motherboard. Le CDC - l'agence américaine chargée du contrôle et de la prévention des maladies - a ainsi déboursé 420'000 dollars pour accéder aux données de localisation de dizaines de millions de téléphones, notamment pour suivre le respect des mesures de confinement durant la pandémie de Covid. Un emploi qui rappelle qu'en 2020, la Confédération a obtenu des données agrégées de Swisscom pour déterminer si la population respectait l'interdiction de rassemblement de plus de cinq personnes dans l'espace public.

Qu'il s'agisse de contrôle de mesures sanitaires ou d'enquête contre des délits, l'intérêt des autorités publiques pour les traces numériques collectées par les entreprises privées est en vogue. A l'image du projet de l'Union européenne d'exiger des services de messagerie privés qu'ils scannent et transmettent aux autorités les contenus suspects dans le cadre de la lutte conte la pédo-pornographie.

Face à ces évolutions, les sociétés technologiques vont devoir revoir leurs pratiques, notamment en minimisant les données, en restreignant les trackers et en étant transparents sur les données transmises aux autorités. «Le monde de l'après-Roe (la décision de la Cour suprème US, ndlr) poussera chaque entreprise technologique à revoir le volume de données qu'elle collecte et à se demander si elle en a besoin, en quoi elles pourraient être nuisibles et combien de temps elle souhaite les conserver», commente Axios. Entre les modèles d'affaires des géants du numérique et les velléités d'enquête et de maintien de l'ordre des gouvernements, la protection des données promet de rester un combat.