« Si quelque chose tue plus de 10 millions de gens dans les prochaines décennies, ça sera probablement un virus hautement contagieux plutôt qu’une guerre. Nous avons investi beaucoup dans la dissuasion nucléaire, et très peu dans un système pour endiguer les épidémies. Nous ne sommes pas prêts ».
Tel était le scénario prédit par Bill Gates lors d’un talk TED en 2015, et qui fait caisse de résonance avec la dramatique propagation du Covid-19 touchant actuellement la planète.
Cette crise sanitaire d’une ampleur sans précédent que nous traversons actuellement a ainsi conduit de nombreux pays à travers le monde, en l’absence de vaccins efficaces, à chercher rapidement des solutions pour l’endiguer, notamment du côté des nouvelles technologies.
En effet, en raison du niveau très faible du nombre de personnes immunisées et donc d’un risque d’un sursaut épidémique post confinement, le Gouvernement a annoncé travailler, sous les auspices de la CNIL, au lancement prochain d’une application mobile dénommée « STOP COVID ». Celle-ci permettrait le traçage des personnes positives au Covid-19 afin d’avertir celles qui sont entrées en contact avec elles, via leur téléphone portable.
De nombreux parlementaires et spécialistes, ainsi que la CNIL elle-même, sont cependant indécis sur les résultats que nous pourrions en tirer mais également très inquiets au regard des éventuels impacts négatifs qu’elle serait susceptible d’engendrer sur nos libertés individuelles dans une démocratie contemporaine comme la nôtre.
Faisons donc un tour d’horizon de l’arsenal juridique que nous avons à disposition en France pour préserver les libertés individuelles des citoyens, des pratiques étrangères mises en place pouvant servir d’exemple, et enfin des autres enjeux de l’utilisation à grande échelle de ce traçage numérique en France.
1. Le projet d’application mobile stop-covid en quelques mots
Afin de tenter de cartographier la propagation du virus Covid-19, et d’identifier les personnes à risque, de nombreux projets de surveillance des citoyens ont été à l’étude. Les techniques envisagées se concentraient essentiellement sur le traçage des téléphones portables par l’utilisation de la technologie Bluetooth ou de la géolocalisation.
L’application STOPCOVID, pour laquelle le Bluetooth aurait été préféré, est un projet piloté par l’INRIA (Institut national de recherche en informatique et en automatique). Il s’agit d’une application open source, installée volontairement par les utilisateurs permettant de suivre les interactions sociales des personnes contaminées et identifier les personnes ayant potentiellement été exposées au virus suite à la rencontre de malades (avérés ou asymptomatiques).
Grâce au Bluetooth, lorsque deux personnes se croiseraient pendant une certaine durée et à une distance rapprochée, le téléphone portable de l’un enregistrerait les références de l’autre dans son historique. Ainsi, lorsqu’une personne contracterait le COVID-19, elle devrait le signaler et les personnes qui ont été en contact prolongé avec elle seraient automatiquement prévenues par l’application avec la possibilité de se faire tester ou se confiner.
Un projet similaire est également à l’étude au niveau européen.
2. Application mobile stop-covid et mise en perspective avec notre arsenal juridique
Ce projet d’application mobile STOP COVID ne manque pas de créer la polémique. Certains considèrent que la Loi Informatique et Libertés, le RGPD ou encore la Directive « E-Privacy » n’auraient pas lieu d’être appliquées eu égard au fait que les données seraient tout bonnement anonymisées.
Cependant, la CEPD tout comme la CNIL sollicitent que les règles édictées par la Loi Informatique au niveau national et le RGPD au niveau européen soient appliquées strictement. Comprendra qui pourra !
Concrètement, la fragilité du dispositif réside dans les difficultés à assurer une anonymisation totale. Il serait en effet possible, même à partir de données pseudonymisées, d’effectuer des recoupements qui permettraient l’identification des individus. En effet, par exemple, on voit mal comment on aurait l’assurance qu’il ne serait plus possible d’identifier la personne puisqu’un message lui sera a priori envoyé sur son numéro de téléphone, qui est une donnée personnelle.
L’utilisateur sera également obligé de télécharger l’application sur les plateformes de téléchargement, via un compte Apple ou Android, qui comporte ici encore ses données personnelles.
C’est sans nul doute la raison pour laquelle la CNIL a préconisé la sagesse et donc le respect strict de la législation sur la vie privée et les données personnelles.
Mais quels remparts à d’éventuels abus avons-nous dans notre législation ?
L’article 6 du RGPD et l’article 5 de la loi « Informatique et Libertés » prévoient que le traitement de données à caractère personnel n’est possible que dans certaines hypothèses et pour certains motifs limitativement énumérés, qui sont les « bases légales » possibles du traitement.
L’une des bases légales est le consentement. C’est la piste privilégiée par la CNIL.
La Présidente de la CNIL, Madame Marie-Laure Denis est en effet venue rappeler qu’« un véritable volontariat est la meilleure garantie du respect du Règlement général sur la protection des données (RGPD) ». Elle a insisté également sur le fait que le consentement nécessite d’informer les utilisateurs sur plusieurs points : « quelles données sont utilisées, par qui, avec qui sont-elles partagées, pour quelle finalité, pour combien de temps. Il faut veiller à ce qu’il n’y ait pas de case précochée ».
Notons en outre que la Directive « E-Privacy » prévoit également en son article 9 qu’un consentement est nécessaire pour tout traitement de données permettant de localiser l’équipement terminal d’un utilisateur à des fins autres que celles relatives à l’acheminement d’une communication.
Cependant si le dispositif en cours de développement devenait obligatoire, le consentement ne serait alors plus suffisant.
A quelles garanties pourrions-nous alors nous raccrocher ?
La base légale la plus appropriée serait alors la mission d’intérêt public au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés ». Dans sa Délibération n° 2020-046 du 24 avril dernier, la CNIL précisait ainsi que « le choix de cette base légale permet en outre de concilier en toute sécurité juridique le caractère volontaire de l’utilisation de cette application et les éventuelles incitations des pouvoirs publics à une telle utilisation, afin de promouvoir son utilisation la plus large possible ».
L’article 9 du RGPD prévoit également que le traitement de ces données sensibles (telles que les données de santé) est interdit, sauf si le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique (2.i).
Il serait alors certainement nécessaire d’adopter une loi pour en définir les contours et préciser la nécessité au regard du risque sanitaire, tout en expliquant la finalité et la proportionnalité de la collecte des données et son caractère nécessaire.
Par ailleurs, comme l’a indiqué la CNIL dans sa délibération du 24 avril : « pour ce qui concerne le traitement de données de santé dans le cadre d’une mission d’intérêt public, le gouvernement doit veiller à ce que l’atteinte portée à la vie privée demeure proportionnée à l’objectif poursuivi. Comme il a été indiqué, la protection de la santé constitue également un objectif à valeur constitutionnelle ».
La proportionnalité est donc le maitre-mot. Dans sa délibération du 25 mai dernier, la CNIL considère que cette proportionnalité passe notamment par le caractère temporaire de l’application, en prenant acte que le terme de sa mise en œuvre serait fixé à six mois à compter de la fin de l’état d’urgence sanitaire par le projet de décret.
Au regard des finalités sanitaires des traitements, il convient de trouver un équilibre entre santé et libertés individuelles afin d’éviter que cette application ne soit trop intrusive. Le traçage numérique doit s’accompagner impérativement des garanties exposées ci-avant par la Présidente de la CNIL, à laquelle s’ajoute inévitablement la sécurité des données. Cette garantie est essentielle mais pas si évidente que cela à assurer avec l’usage du Bluetooth car celui est amené périodiquement à connaître des failles de sécurité. Cela imposera donc aux utilisateurs de mettre à jour régulièrement leur smartphone.
Autre écueil, la nécessité de garder activée la fonction Bluetooth de son téléphone imposera de gérer au mieux les autres applications utilisant cette fonction par le biais des autorisations données. Il ne sera plus possible simplement de désactiver purement et simplement la fonction Bluetooth du téléphone. Malgré ce qui précède, il faut cependant garder à l’esprit que cette technologie reste beaucoup intrusive que d’autres alternatives tel que par exemple la localisation par le biais des données GPS.
Sur ces aspects techniques, la CNIL, dans sa délibération du 24 avril dernier, mettait en garde d’ailleurs et sollicitait la nécessité que « seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en œuvre, afin d’assurer l’intégrité et la confidentialité des échanges » et estime nécessaire que « des mesures soient mises en œuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs ».
Elle relevait cependant l’importance du libre accès aux protocoles utilisés et au code source, pour permettre à la communauté scientifique de participer à l’amélioration de l’application. Dans sa dernière délibération du 25 mai dernier, elle précisait également que l’utilisation du mécanisme de fixation du certificat (certificate pinning) sur les applications mobiles constitue une bonne pratique, permettant aux applications d’authentifier de manière sûre le serveur avec lequel elles communiquent et de garantir la stricte confidentialité des données échangées avec le serveur.
En tout état de cause, le Gouvernement n’a pas échappé à l’obligation d’effectuer une analyse d’impact, au regard du risque élevé pour libertés individuelles des individus, (données de santé traitées à grande échelle et recours à un suivi systématique)..
3. Qu’en est-il à l’étranger ?
Le confinement subi par des dizaines de millions de citoyens français est un contrôle de la population en temps de paix totalement inédit. Ne pouvant perdurer des mois, mais compte tenu du risque d’un nouveau pic épidémique, le Gouvernement a souhaité opter pour solution alternative, et d’avoir ainsi recours à la technologie pour juguler la crise.
Même si, comme le dit le proverbe « la comparaison n’est pas raison », il est intéressant de se pencher sur les techniques déjà mises en place dans d’autres pays.
Parmi les mesures d’urgence mises en place par d’autres États, le « backtracking », utilisé par des pays asiatiques comme Singapour ou la Corée du Sud, consistant à collecter et traiter les données personnelles de géolocalisation GPS des téléphones, permettant alors de vérifier que les patients porteurs du virus sont bien à leur domicile (le port d’un bracelet électronique est même envisagé en Corée du Sud). Il permet aussi d’avoir accès à tous leurs déplacements. Cette hypothèse était envisagée en France, mais abandonnée pour privilégier plutôt le Bluetooth.
On peut citer également comme autre pratique celle d’Israël, qui a développé des stratégies de traçage numérique particulièrement intrusives pour contrôler les déplacements de sa population. Ses services de renseignement y ont d’ailleurs accès.
Pour ce qui est de l’Europe, en Pologne, l’application mobile déployée oblige les personnes confinées à se prendre en photo régulièrement. La police est alertée en cas d’absence de réponse de la personne concernée dans les 20 minutes de la demande afin de vérifier que la personne assignée en quarantaine respecte son confinement. L’Italie, le pays le plus touché d’Europe, il est envisagé une application mêlant traçage Bluetooth et suivi GPS.
Bien que certains de ces dispositifs aient déjà été utilisés dans le cadre de la lutte antiterroriste, on peut s’inquiéter raisonnablement au regard de la protection de la vie privée et des données personnelles.
Apple et Google ont enfin proposé le développement d’une plateforme commune de traçage. Cette proposition, suscitant la méfiance en raison de l’impact sur les données personnelles, a été refusée par le Gouvernement français.
Pour l’heure, l’efficacité de ces dispositifs n’est pas encore prouvée…
4. Autres enjeux liés au traçage numérique
La première question qui se pose est de savoir comment mettre en œuvre des outils technologiques comme STOP COVID sans risquer de stigmatiser et porter atteinte aux droits de personnes ?
En premier lieu, seulement 75 % ont des smartphones (taux moins élevé pour les plus de 70 ans) permettent de télécharger cette application. Quid pour les autres ? La Présidente de la CNIL rappelle qu’il importe d’« avoir conscience de la réalité sociale et de la fracture numérique : un quart au moins de la population ne dispose pas de téléphone permettant de télécharger des applications. Il est même probable que cela corresponde à la catégorie des personnes les plus vulnérables, celles-là mêmes qui, dans le cadre d’une stratégie de déconfinement progressif, resteraient confinées le plus longtemps. C’est un enjeu social important. »
Il est par ailleurs fort possible qu’il y ait des erreurs commises par cette application, ce qui pourrait contribuer à stigmatiser des gens comme porteurs du virus alors qu’ils ne le sont pas. D’une part, si l’application est téléchargée par une proportion non assez importante de la population, et comme elle pourra être désinstallée à tout moment, l’efficacité pourra s’avérer très réduite. Enfin, l’absence d’alerte par l’envoi d’un message pourrait laisser penser à l’utilisateur qu’il est en « sécurité sanitaire » et le faire prendre des risques qu’il n’aurait peut-être pas pris sans cette application.
Pour que les effets tirés soient bénéfiques, il convient que de nombreux paramètres soient réunis (détention d’un téléphone portable, téléchargement de l’application, conservation du téléphone portable toute la journée avec le Bluetooth) mais pas seulement. Il est important que d’autres mesures (tests, masques et respect des mesures de distanciation par la population) soient effectives, sans quoi, l’application n’aura pas grand intérêt. Nous aurons malheureusement sans cela les patients asymptomatiques qui continueront à faire circuler le virus. La solution technologique est seulement une « pierre à l’édifice » parmi tant d’autres !
Comme l’a concédé d’ailleurs Marie-Laure Denis, la présidente de la CNIL, devant l’Assemblée nationale le 8 avril dernier « Preuve s’il en est que la mise en place d’une application de suivi des personnes n’est qu’un des éléments de la réponse sanitaire : ce n’est en rien une solution magique ».
D’autres enjeux techniques ne peuvent par ailleurs être laissés pour compte. En effet, la technologie Bluetooth ne permet pas pour le moment de mesurer les distances. Or c’est justement ce qui est recherché par l’application STOP COVID, prévenir les personnes qui ont été en contact avec un malade testé positif, afin qu’elles se fassent tester elles-mêmes ou restent confinées.
Christian Bachmann, expert de la mesure des distances par Bluetooth concédait au Journal le Monde le 10 avril dernier dans une interview que « Le calcul de distance est basé sur la mesure, par le smartphone, de la puissance des ondes Bluetooth émises par l’autre appareil, qui faiblissent avec la distance. Il y a malheureusement beaucoup de perturbations qui peuvent entraîner des erreurs : le rebond des ondes Bluetooth contre le sol, les murs, le plafond, les surfaces métalliques. En outre, le signal varie si on porte le mobile à la main, en poche ou dans un sac. Certes, ces perturbations sont moins grandes à faible distance, mais la marge d’erreur demeure importante ».
D’autres enjeux autour des données personnelles nous viennent à l’esprit. Le projet de décret relatif à l’application STOPCOVID prévoit que les données personnelles ne seront pas transférées hors de l’Union européenne. Cependant, à notre sens, l’Etat aura en effet du mal à garantir que les GAFA (Apple et Google) n’auront pas accès à nos données personnelles lors du téléchargement de l’application (via un terminal rattaché à une personne physique) et lors des mises à jour des applications, pour les réutiliser pour d’autres finalités. Loïc Hervé, sénateur membre de la CNIL a concédé très justement que « il faut être vigilant, savoir où on stocke les données, si elles ne risquent pas d’être utilisées à d’autres fins, notamment de développement. Le diable se cache dans les détails ».
Comme premier gage de confiance, à ce stade, la CNIL a suggéré, par sa délibération du 25 mai dernier sur le projet de décret portant sur l’application, que certaines finalités de traitement soient expressément exclues dans le texte (ex : les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement, etc.).
En plus des enjeux éthiques majeurs de cette surveillance de masse, l’incertitude quant à la sécurité de ce dispositif laisse songeur. Même si juridiquement nous avons un arsenal pour garantir le respect des libertés individuelles des individus, le maillot faible pourrait résider dans l’aspect technique, qui peut présenter de nombreuses failles et des conséquences irréversibles.
Affaire à suivre donc…à compter du 2 juin, jour du lancement annoncé de l’application STOP COVID.
Gageons cependant que tout cela nous permettra de nous débarrasser de ce fichu COVID 19 !
Vous souhaitez en savoir plus sur ce sujet, un avocat RGPD du cabinet SOLVOXIA se tient à votre disposition.