Tribune de Sylvain Staub, Avocat associé chez DS Avocats, CEO de Data Legal Drive.
Christophe Castaner, Ministre de l’Intérieur, a indiqué le 5 avril 2020 au Journal de 20h de France 2 : « Je suis convaincu que si [l’application StopCovid] permet de lutter contre le virus, et si, évidemment, elle respecte nos libertés individuelles, c’est un outil qui sera retenu et soutenu par l’ensemble des français ».
Derrière la conviction du Ministre de l’Intérieur il y a une vraie problématique, car, à ce jour, rien ne permet d’être certain que cette future application mobile respectera nos libertés individuelles.
Comme souvent, les grandes annonces sont précédées de sondages, dont il est permis de se demander si, dans un climat de peur et en période de traumatisme sanitaire, ils sont représentatifs des réelles aspirations des sondés. Ainsi, le 13 avril, un sondage Odoxa - L'Usine Digitale révélait que 62% des Français seraient prêts à télécharger et utiliser une application du type StopCovid, que 51% souhaiteraient que la France fasse appel aux technologies de reconnaissance faciale pour contrôler les personnes ayant l’obligation de rester en quarantaine, tandis que 30% estiment que ces usages menaceraient nos libertés.
Quelle que soit la position de chacun sur le sujet, l’enjeu est suffisamment important pour que nous nous interrogions sur la réalité d’une solution technologique dont les contours sont actuellement très flous, sur ses finalités, son encadrement et plus généralement sur le niveau de transparence que nous pouvons attendre de la part des promoteurs de StopCovid. Le sujet est par ailleurs suffisamment complexe pour que nous ayons entendu tout et son contraire de la part de nombreux experts, ainsi que des avis divergents au sein du Gouvernement dont on rappellera qu’il était tout d’abord réticent à ce projet.
En droit de la protection des données personnelles, il n’y a que deux solutions. Soit les données sont réellement anonymisées, c’est-à-dire qu’il n’est définitivement plus possible de relier un quelconque identifiant d’une personne physique à cette même personne physique, soit les données ne sont pas anonymisées, parce qu’elles sont « en clair » ou qu’elles ne sont que pseudonymisées.
Dans le premier cas, le droit des données personnelles ne trouve pas à s’appliquer, et il n’y a effectivement pas de débat à avoir sur le terrain des libertés.
Dans le second cas, c’est à la fois le RGPD et la directive e-privacy qui doivent être respectés. Deux situations sont alors possibles : s’il s’agit d’un suivi volontaire des personnes, il doit y avoir consentement préalable réellement libre et éclairé, le fait de refuser d’utiliser l’application ne devant avoir aucune conséquence pour la personne concernée. S’il s’agit d’un suivi obligatoire des personnes, alors une disposition législative doit le prévoir, après avoir démontré la proportionnalité de la mesure, son encadrement des principes de protection de la vie privée et son caractère provisoire. A défaut, il y aura indiscutablement atteinte au droit des individus et recul des libertés publiques.
Marie-Laure Denis, Présidente de la CNIL, a été auditionnée le 8 avril 2020 devant la commission des lois de l’Assemblée nationale. Elle a notamment indiqué que : « si l’usage de StopCovid reste facultatif pour la population, alors je n’y vois pas d’inconvénient », ce qui été largement repris par les médias comme étant, à tort, un blanc-seing de la CNIL.
Car elle a n’a en réalité conclu prudemment son audition que par un « faisceau de recommandations que le collège de la CNIL pourrait émettre à ce stade, non pas sur un projet en particulier, mais sur la manière d’aborder la problématique ». Cette audition très attendue de la Présidente de la CNIL a surtout rappelé les limites de toute application de local tracing, voire de géolocalisation, ce qui doit à nouveau nous contraindre à réfléchir aux risques de débordements et de dérives.
Certes l’outil tel qu’il est évoqué « ne permet pas de connaître l’identité de la personne infectée croisée ni la constitution d’une liste d’individus infectés », mais Marie-Laure Denis rappelle aussi l’importance de la question « de la proportionnalité du dispositif, soit l’équilibre permis entre le bénéfice et les risques ».
Or, il est indispensable que cette application soit massivement utilisée pour pouvoir juger de son efficacité. Jusqu’où ira ce caractère volontaire ? L’Etat pourra-t-il obliger le dépistage ou le confinement en fonction des informations recueillies grâce à StopCovid ? Les entreprises pourront-elles contraindre son utilisation lors du retour au travail après le confinement ? Certains services publics, transports ou zones de regroupement pourront-ils n’être accessibles que sur justification de l’utilisation active du traceur ?
Auquel cas, ce serait la négation du critère de consentement réellement libre et éclairé, et la mise en œuvre insidieuse d’un instrument intrusif de surveillance de masse. Il en découlerait, outre un sérieux recul de l’Etat de droit et des libertés individuelles, une perte de confiance légitime des citoyens à l’égard des technologies mises en œuvre par nos gouvernants et de leurs fréquentes tentations sécuritaires.
Au-delà des aspects strictement juridiques, doivent nécessairement se poser les questions de l’opportunité de StopCovid, voir même, comme l’a précisé Cédric O lors de son audition au Sénat le 14 avril, « la faisabilité technique » d’une telle application.
- Comment pouvons-nous espérer une utilisation suffisamment massive de l’application mobile pour être fiable, alors que le baromètre 2019 du numérique, corédigé par l’ARCEP, indique que seuls 77% de la population de plus de 12 ans disposent d’un smartphone et que cette proportion baisse à 44% pour les personnes de plus de 70 ans, qui sont parmi les plus vulnérables ?
- Quelle sera la précision des résultats, en fonction de la qualité du Bluetooth du smartphone, de la durée et de la proximité de connexion entre les individus, des effets de faux-positifs liés au volume des connexions, des biais inhérents aux algorithmes ?
- Comment des données agrégées et anonymisées pourront-elles servir à déduire des interactions sociales ? Comment ce système de traçage pourra-t-il permettre de prévenir un individu d’un risque de contamination s’il n’est pas possible de connaitre l’identité de cet individu ?
- Ne devrions-nous pas plutôt concentrer nos moyens dans les solutions efficaces de production de masques et de généralisation des tests, mais aussi dans le financement de la recherche et des services de soins, et encore dans le prédictif que nous offre le big data et la science médicale ?
- Ne faisons-nous pas l’objet d’une croyance aveugle dans la technologie et la surveillance afin de répondre après coup à des difficultés que nos experts, nous l’avons encore vu récemment, sont incapables d’anticiper et même de comprendre?
- Accepter de se soumettre à une surveillance constante, même en matière de santé, ne nous conduit-il pas insidieusement à accepter progressivement d’autres surveillances de masse comme la reconnaissance faciale ou la vidéo surveillance automatisée ?
Le juriste est habitué à constater les dérives et les effets de bord. Il sait les effets cliquets des ordonnances, décrets et lois sécuritaires. Il connait les manquements des entreprises qui sous couvert de progrès et d’exploitation du big data sont en contradiction avec les fondements mêmes du droit de la protection des données personnelles.
Les gouvernements successifs, dans le but de lutter contre la criminalité, le terrorisme, les débordements des manifestants, les fake-news ou l’incitation à la haine sur internet, ont progressivement réduit l’Etat de droit et les libertés individuelles. Combien de situations de crise ou de phénomènes sociaux nouveaux auront entrainé de mesures d’exception devenues pérennes, de regroupements des fichiers de police ou judiciaires (STIC, JUDEX, TAJ et TES) et de restrictions hors procédure judiciaire de la liberté d’expression (loi anti fake-news, projet de loi dit « Avia ») ?
Même et surtout en période exceptionnelle, le Parlement doit pouvoir contrôler l’action du Gouvernement, la justice doit pouvoir vérifier la proportionnalité des restrictions aux droits fondamentaux des citoyens et le « gendarme des données » qu’est la CNIL doit être parfaitement écouté et compris dans ses réserves et mises en gardes.
L’Etat a de plus en plus besoin de données pour lutter contre le terrorisme, la fraude fiscale, le blanchiment, l’immigration clandestine et désormais la maladie. Cette période de confinement et d’utilisation massive de nos données liées au télétravail, l’accès aux formations en ligne ou la vente à distance doivent aussi nous faire réfléchir à l’éthique de la data et au monde dans lequel nous voulons vivre. Plus que jamais, il est indispensable de considérer les données personnelles comme personnelles et la vie privée comme privée.
Il n’est surement pas question ici de lutter contre le déploiement des technologies. Les infrastructures, les algorithmes et les data scientists sont une véritable chance pour le développement de nos sociétés et pour le confort et la santé de chacun. Mais face à la rapidité du progrès, face à la profusion d’applications qui en découlent, il peut être utile, comme face à une pandémie, de faire preuve d’humilité et de prudence.
L’Europe s’est dotée avec le RGPD d’un cadre efficace de protection des données, avec lequel et au prix de beaucoup d’efforts les entreprises, petites et grandes, se mettent progressivement en conformité. L’Etat est lui aussi soumis, même en période de crise et d’urgence, aux règles de transparence, de proportionnalité et de base légale des applications mobiles qu’il met en œuvre.
Sylvain Staub, Avocat associé chez DS Avocats, CEO de Data Legal Drive