No Banner to display

Tracking or not tracking ? That is the question
StopCovid : Quand la fin justifie les moyens… mais quelles fins et quels moyens ?

Catégorie: A l'actu, Données, Grand public, Institutions, Mobilité

Comment suivre, voir prédire l’évolution de la pandémie de la Covid-19 tant au niveau collectif qu’individuel ? Cette question éminemment géographique met sur le devant de la scène l’utilisation de diverses , notamment nos traces numériques géolocalisées via nos téléphones portables. Nous avons demandé à divers spécialistes de nous donner leur point de vue afin d’éclairer un débat complexe.

covid contact tracingArmelle Verdier, docteur en droit et en sciences géomatiques, élève avocate, revient sur les enjeux juridiques des applications comme StopCovid.

Les informations, concernant le développement de l’outil numérique « StopCovid » promu par les instances nationales et européennes, qui a vocation à rendre plus efficient le processus de déconfinement, sont encore fragmentaires (1).

Pourtant, les débats autour de son fondement, sa mise en œuvre et ses conséquences sont particulièrement denses, en particulier au sein des démocraties européennes. Et pour cause ! Le sujet concentre à lui seul des questions fondamentales d’ordre politique, juridique, éthique, social et technique, dans un climat où les peurs sont exacerbées et où la vie quotidienne de tout à chacun est « anormale ».

Sur le plan juridique (2), le sujet divise et nombreux sont les juristes et avocats qui ont écrit, non pas tant pour remettre en cause le cadre juridique existant et applicable, que pour mettre en exergue les questionnements portant sur les moyens mis en œuvre, les finalités poursuivies et cet examen si délicat de la proportionnalité entre les deux.

La mise en œuvre de « StopCovid » est aussi l’occasion de s’interroger sur la valeur juridique des données de géolocalisation issues d’un smartphone (3).

Covid contact tracingRappel du contexte factuel de l’outil projeté

L’Institut national de recherche en sciences et technologies du numérique (INRIA) vient de confirmer, par la voix de son PDG[1], que l’application « StopCovid » s’inspire bien de l’expérience « TraceTogether » mise en œuvre à Singapour.

Cette application s’appuiera sur le Bluetooth, elle doit garantir l’anonymat et elle n’est pas obligatoire : « ses utilisateurs choisissent de l’installer. Ils choisissent d’activer le Bluetooth. Ils peuvent, à tout moment, désactiver le Bluetooth ou désinstaller l’application. »

Cependant, il faut souligner une différence de taille entre Singapour et la France : l’utilisateur final de l’application.

Si « StopCovid » vise environ 75 % de la population française détentrice d’un smartphone en France[2], « TraceTogether » a prioritairement été installé sur les smartphones pour aider les enquêteurs médicaux. Les détenteurs de smartphone ont la qualité d’utilisateur final « par ricochet » dans le schéma de Singapour. Il s’agit d’un complément technologique mis à la disposition des professionnels dont la mission exclusive est le dépistage massif d’une population. C’est en ces termes que le Chef de Produit de « TraceTogether », Jason BAY, le rappelle :

« If you ask me whether any Bluetooth contact tracing system deployed or under development, anywhere in the world, is ready to replace manual contact tracing, I will say without qualification that the answer is, No. (…) False positives and false negatives have real-life (and death) consequences. We use TraceTogether to supplement contact tracing — not replace it.

Finally, the experience of Singapore’s contact tracers suggest that contact tracing should remain a human-fronted process. Contact tracing involves an intensive sequence of difficult and anxiety-laden conversations, and it is the role of a contact tracer to explain how a close contact might have been exposed — while respecting patient privacy — and provide assurance and guidance on next steps. (…)These are considerations that an automated algorithm may have difficulty explaining to worried users. »[3]

Comme le précise le PDG de l’INRIA, le « contact tracing », est la capacité à pouvoir informer une personne, à travers une application présente sur son smartphone, qu’elle a été au contact, lors des jours précédents, de personnes qui ont été diagnostiquées positives au Covid19. Ce « cas contact » présente, de ce fait, un risque d’être porteur du virus et d’accélérer la diffusion de l’épidémie. Les moyens numériques qui permettent de qualifier ce risque reposent sur la capacité de deux smartphones à reconnaître qu’ils sont à proximité l’un de l’autre, à travers la technologie Bluetooth, qui n’est opérante qu’à faible distance (quelques mètres).

Pour cela, les utilisateurs doivent télécharger une application et activer la fonction Bluetooth de leur téléphone. Cette application permet d’émettre un identifiant anonyme et éphémère correspondant à l’utilisateur, et également d’enregistrer les identifiants reçus des téléphones passant à proximité, afin de constituer l’historique des contacts. Si un individu est diagnostiqué positif au coronavirus[4], il le déclare sur son application et l’information est envoyée sur un serveur central, ce qui permet aux autres utilisateurs de l’application, qui ont enregistré dans leur historique de contacts l’identifiant de l’individu contaminé, d’être notifiés.[5]

Beaucoup s’accordent sur le fait que cette technologie n’est pas la « panacée » mais elle est retenue car elle est considérée comme « moins intrusive » que l’utilisation de la géolocalisation. Cependant, les développeurs de « TraceTogether » ont indiqué qu’ils couplaient la technologie Bluetooth avec des données de géolocalisation, afin, notamment, d’éviter des biais importants :

“Encounters between individuals can be classified into close, casual and transient contacts for epidemiological purposes, based on proximity and duration of contact.

However, these classifications depend on factors such as location/environment. For example, short-duration encounters in enclosed spaces without fresh ventilation often constitute close contact, even if encounter proximity and duration do not meet algorithmic thresholds. Since Bluetooth-based contact tracing solutions do not, by themselves, record location/environment data, this information needs to be obtained through other means — a human-led contact tracing interview.”[6]

Si les mises au point technologiques sont en cours, un tel procédé interroge, à plus d’un titre, les cadres juridiques applicables et les atteintes aux droits fondamentaux qu’il induit.

Le cadre juridique français et européen

covid contact tracingRGPD, E-Privacy et CNIL : données à caractère personnel et vie privée

La Présidente de la CNIL a rappelé récemment les conditions qui seraient nécessaires pour que le dispositif « StopCovid » soit conforme à la Constitution, à la Directive ePrivacy et au RGPD, avant de s’interroger sur son caractère adéquat, nécessaire, proportionnel et temporaire qui ne paraît pas établi à ce jour, en l’état des données communiquées.[7]

Selon la présidente de la CNIL, les textes qui protègent les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisées ou non, pour la protection de la santé publique. Ces textes imposent, essentiellement, de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives.

Par ailleurs, l’application seule ne sert à rien si les autres mesures ne suivent pas. Ce n’est qu’un des éléments d’une réponse qui doit être plus globale. Il faut pouvoir « tester de façon massive » insiste la responsable de la CNIL.

Elle ajoute : au final, ce dispositif, « s’il voit le jour »[8], devra rester une parenthèse dans nos vies. Il faut vraiment se garder que des dispositifs exceptionnels, pris dans des circonstances exceptionnelles, puissent perdurer.[9]

Nombreux sont les articles et interventions juridiques sur ces aspects spécifiques ; En voici quelques-uns qui reflètent la complexité de la situation :

https://dimeglio-avocat.com/2020/04/10/tracage-numerique-vie-privee-et-donnees-personnelles/

https://www.leclubdesjuristes.com/blog-du-coronavirus/que-dit-le-droit/le-contact-tracing-pour-accompagner-le-deconfinement-consentement-ou-obligation/

https://www.linkedin.com/posts/laurent-marville-b2b57519_le-tracking-individuel-ou-la-victoire-dhuxley-ugcPost-6655436265065902080-_5Em

Quid de l’atteinte aux autres droits fondamentaux ?

La déclaration de l’état d’urgence sanitaire répond à la définition de « cas de catastrophe sanitaire mettant en péril, par sa nature et sa gravité, la santé de la population » (Code de la Santé Publique, art. L. 3131-12).

Les décisions de recourir à un outil de tracking relèvent également de mesures de police administrative générale que le Premier Ministre peut prendre en vertu des articles 21 et 37 de la Constitution. Elles sont applicables à l’ensemble du territoire et sont justifiées par les nécessités de l’ordre public, au nombre desquelles figurent les impératifs de santé publique. Mais de telles mesures devront être motivées, y compris dans le cadre de l’état d’urgence[10], sur le fondement de l’article L.211-2 du Code des Relations entre le Public et l’Administration qui dispose que : « doivent être motivées les décisions qui : 1°restreignent l’exercice des libertés publiques ou, de manière générale, constituent une mesure de police (…). » Mais là encore, le contrôle de proportionnalité s’exerce pleinement : la mesure est-elle nécessaire ? Si oui, est-elle proportionnée ?

Or, comme le rappellent certains juristes, « les mesures restrictives des droits et libertés adoptées au titre de l’état d’urgence sanitaire – sous l’appellation générique de confinement – débordent manifestement, par leur ampleur inédite et leur généralité (toute la population, tout le territoire). La liste, non exhaustive, des droits protégés par la Convention [européenne des droits de l’homme] dont l’exercice est limité ou suspendu est impressionnante : droit au respect de la vie privée et familiale, droit au respect du domicile, droit à la sépulture, droit d’exercer une activité professionnelle (art. 8) ; liberté de manifester sa religion (art. 9) ; liberté de réunion et d’association (art. 11) ; droit au respect de ses biens, droit à l’instruction (Prot.1, art. 1 et 2) ; liberté de circulation (Prot.4, art. 2)… »[11]

« StopCovid » pourrait, non pas constituer une interdiction de circulation, mais induire une surveillance et un contrôle dans les déplacements des personnes, donc une restriction de liberté.

In fine, beaucoup d’imprécisions demeurent en suspens concernant, non pas l’outil en lui-même, mais tout le système dans lequel il s’intègre. Comment sera encadré son usage ? Qui s’en chargera ? Ces données seront hébergées par quelle infrastructure nationale ? L’ANSSI semble avoir été saisie mais peu d’informations ont filtré. Là aussi, le droit public trouve à s’appliquer pleinement, notamment au travers des législations relatives aux données, aux algorithmes publics… avec les impératifs de sécurité, de transparence et de souveraineté numérique qui s’y rattachent.

Le statut des données de géolocalisation issues d’un smartphone

De prime abord, il semblerait paradoxal et frappant de constater, d’une part, combien les détenteurs d’un smartphone permettent un usage massif de leurs données de géolocalisation au profit des GAFA (sans le réaliser vraiment ?), constituant par là même le « fonds de commerce » de ces « géants » du numérique, et, d’autre part, comment est organisé l’encadrement juridique de ces données.

Car il faut le souligner : sans jamais avoir été qualifiées expressément de « données sensibles », au même titre que les données de santé par exemple, force est de constater que le législateur (ainsi que la CNIL) les traite comme telles.[12]

Si de telles données brutes, prises isolément, ne portent pas atteinte à la vie privée, elles constituent un formidable sésame pour révéler, voire prédire, la vie d’un individu et peuvent participer à la création d’un « profilage ».[13]

Les questions relatives à l’anonymat sont essentielles concernant ces données de géolocalisation. Antoine Courmont rappelait, il y a peu, les pratiques en la matière dans d’autres pays :

« À partir de ces données en open data, une multitude d’applications ont fleuri sur les app stores. Si elles ne sont pas nominatives, ces données personnelles permettent aisément de réidentifier les personnes contaminées, conduisant à des phénomènes de stigmatisation et de dénonciation. »[14]

Dès lors, la technologie Bluetooth est-elle réellement « vidée » de toute donnée de géolocalisation à partir du moment où le croisement de données est possible ? Les données de géolocalisation sont-elles vraiment « anonymisables » ? Ne devrait-on par les classer par défaut comme étant, au mieux, « pseudonymisées » (ré-identification indirecte possible) et les qualifier de « données sensibles » ?

En définitive, l’examen des moyens mis en œuvre pour déployer « StopCovid » reste encore flou au regard du peu d’informations dévoilées à ce jour. Mais les difficultés qui s’annoncent déjà laissent présager des débats parlementaires nourris, bien qu’ils ne soient pas suivis d’un vote par le Parlement…

Quant aux finalités, mais lesquelles ? … Tout d’abord, une finalité temporelle que l’on ne peut fixer : alors par déduction, la mesure exceptionnelle ne serait plus temporaire et aurait vocation à se pérenniser au gré des vagues épidémiques qui séviraient ? La finalité de l’efficacité attendue ? Elle paraît très incertaine, comme tout le contexte actuel à vrai dire… Ce qui paraît certain, c’est cet adage bien connu : « nos choix gouvernent nos vies » à la condition sous-jacente d’y adosser un consentement clair et transparent, et non un bracelet électronique avec option d’appel[15]. Camus et Beaumarchais, parmi d’autres, avancent non masqués et frappent à la porte avec insistance : que veulent-ils tant nous rappeler ?


[1]      Bruno SPORTISSE, PDG d’INRIA « Contact tracing » : quelques éléments pour mieux comprendre les enjeux », https://www.inria.fr/fr/contact-tracing-bruno-sportisse-pdg-dinria-donne-quelques-elements-pour-mieux-comprendre-les-enjeux, 18 avril 2020.

[2]      Le Centre de recherche pour l’étude et l’observation des conditions de vie l’évalue à 77 % dans une enquête de 2019.

[3]      Jason BAY « Automated contact tracing is not a coronavirus panacea », https://blog.gds-gov.tech/automated-contact-tracing-is-not-a-coronavirus-panacea-57fb3ce61d98, 11 avril 2020.

[4]      A noter, l’intervention d’une autorité de santé pour recevoir le diagnostic des individus (automatiquement ou avec leur consentement), les informer qu’ils ont été testés positifs et s’assurer que la déclaration de contamination n’est pas trompeuse, en communiquant à l’individu déclaré positif un code d’authentification temporaire à renseigner dans l’application, comme moyen de « certification » qui déclenchera la notification auprès des personnes « contacts ».

[5]      L’ébauche d’architecture ainsi annoncée par l’INRIA fait l’objet d’importantes réserves : https://www.01net.com/actualites/anonymat-bluetooth-sur-ios-la-techno-de-l-application-de-tracage-stop-covid-semble-dans-l-impasse-1897321.html

[6]      Jason BAY « Automated contact tracing is not a coronavirus panacea », 11 avril 2020, Op. Cit.

[7]      Audition de la Présidente de la CNIL, Mme Marie-Laure DENIS, par la commission des lois de l’Assemblée Nationale le 8 avril 2020, puis par la commission des lois du Sénat le 15 avril 2020.

[8]      Julien LAUSSON, « Pourquoi l’application StopCovid risque de ne servir à rien », 10 avril 2020 : « … ça ne marche pas. Comme le note Baptiste Robert, expert en cybersécurité, Singapour a dû se mettre à l’arrêt en confinement total depuis une semaine parce que les autorités étaient incapables de retracer la contamination de près de la moitié des cas. Et Singapour est une île, peuplée d’à peine 6 millions d’habitants, encadrés par une législation sévère et bien plus technophiles que les Françaises et les Français. Soit le cadre idéal où une telle application aurait pu fonctionner. »,https://www.numerama.com/politique/617303-coronavirus-pourquoi-lapplication-stopcovid-risque-de-ne-servir-a-rien.html.

[9]      L’ombre du Cloud Act plane-t-’il sur les données de santé et de localisation de millions de français ? Pour aller plus loin, voir également, le point de vue d’un lanceur d’alertes (E. SNOWDEN) :https://www.vice.com/fr/article/bvge5q/le-coronavirus-sert-a-construire-une-architecture-de-loppression.

[10]     CE, Avis, 6 juillet 2016, Napol et Thomas, n°398234.

[11]     Frédéric SUDRE, « La mise en quarantaine de la Convention européenne des droits de l’homme», 20 avril 2020 :https://www.leclubdesjuristes.com/blog-du-coronavirus/que-dit-le-droit/la-mise-en-quarantaine-de-la-convention-europeenne-des-droits-de-lhomme/.

[12]     Voir en ce sens la Loi n° 2014-372 du 28 mars 2014 relative à la géolocalisation, JORF n°0075 du 29 mars 2014 page 6123.

[13]     Voir « Le Big Data et le Droit », Dir. Florence G’sell, Ed. Dalloz, janvier 2020.

[14]     Antoine COURMONT, Laboratoire d’Innovation Numérique de la CNIL (LINC), « Coronoptiques (3/4) : des modèles épidémiologiques au contact tracing, rendre visible la contagion », 10 avril 2020.

[15]     Ou alors la version sans option d’appel d’un bracelet Bluetooth exclusivement dédié « StopCovid » ?! https://www.lesechos.fr/tech-medias/hightech/on-va-dire-que-je-defend-ma-soupe-mais-un-bracelet-cest-mieux-quune-appli-de-tracing-1196849#xtor=RSS-38

Print Friendly, PDF & Email

Tags: ,

Signaler un contenu

Laisser un commentaire

No Banner to display

No Banner to display