Permis de circuler et de déconfiner ? Le jeu de piste de l’application StopCovid

Protocole Robert
©Source : Protocole Robert
Le 30 avril 2020

Préparé au pas de course par le gouvernement français, le projet d’application « StopCovid » de traçage numérique (ou contact tracing) destiné à lutter contre la pandémie de Covid-19 et faciliter le déconfinement suscite de nombreux soutiens et critiques et agite les débats dans la classe politique comme dans la société civile. Edouard Philippe a annoncé lors de son intervention à l'Assemblée nationale mardi 28 avril qu'un débat spécifique serait ouvert au Parlement lorsque l'application fonctionnera, et qu'un "vote spécifique" s'y rapportant sera organisé.

 

L'occasion de revenir sur la genèse de ce projet et de passer en revue les enjeux juridiques et techniques d'une telle application, sous la forme d'une série de questions : Quelles sont les réponses numériques envisagées face à la crise sanitaire actuelle et celles à venir ?  Quelles sont les solutions envisagées en France ? Quels sont les outils juridiques concernés (directive e-privacy, RGPD) ? Quelle base légale peut être envisagée ? Quelles sont les modalités pratiques liées à la mise en œuvre d’une telle application ? Quelles sont les limites d’un tel projet ? Pour quels contrôles ? Quelle responsabilité juridique et sociétale? 

« Big data means big responsibility » annonçait Wojciech Wiewiórowski, Contrôleur européen de la protection des données, dans un communiqué de presse du 6 avril 2020[1] et poursuivait : « Nous devons savoir ce que nous faisons et savoir que nous sommes responsables des résultats de notre activité. La responsabilité signifie aussi, cependant, que nous ne devons pas hésiter à agir lorsque cela est nécessaire. Il y a aussi une responsabilité de ne pas utiliser les outils que nous avons entre les mains pour lutter contre l’épidémie ». Nous revivons des temps troublés en période nécessaire de confinement avec des laissez-passer - autrefois utilisés pour les nomades[2] – désormais sanitaires. Comme le rappelle Étienne Gernelle dans sa tribune pour Le Point : « Nul procès d’intention ici ce serait absurde - juste un enseignement de l’histoire : le Bien est exaltant, mais il le reste rarement quand l’État de droit ferme une paupière »[3].

Quelles sont les réponses numériques envisagées face à la crise sanitaire actuelle et celles à venir ?

La mise en place de dispositifs de gestion de l’épidémie ou de surveillance des populations n’a rien d’inédit – par exemple, afin de faire respecter les mesures de confinement mises en place au XVIIe siècle, des inspecteurs seraient passés quotidiennement devant les maisons des habitants préalablement recensés afin que ceux-ci se présentent à leurs fenêtres [4]. C’est toutefois le recours aux nouvelles technologies qui permet aujourd’hui de penser de nouveaux dispositifs de surveillance et gestion de l’épidémie.

En effet, bien que conscients que la réponse numérique ne saurait être une réponse unique et suffisante à la crise sanitaire liée au Covid-19, de nombreux pays font le choix de mettre en place, ou à tout le moins d’explorer, les voies technologiques qui s’offrent à eux et qui pourraient permettre d’assurer un suivi des déplacements de leur population, de la propagation du virus ou encore d’informer les citoyens ayant été en contact avec une ou plusieurs personne(s) infectées au covid-19.

À ce jour, il semble qu’il y ait autant de finalités et de technologies envisagées[5] que de pays utilisateurs[6].

Par exemple, certains pays ont ainsi recours à des applications identifiantes traquant les individus en ayant notamment recours aux données de géolocalisation. Notamment, Israël a développé un système basé sur la géolocalisation afin de détecter les personnes potentiellement exposées. En Chine, les utilisateurs se voient attribuer un QR code de couleur différente selon leur niveau d’exposition au risque calculé sur les déplacements de l’utilisateur, ce qui déterminera si la personne fait l’objet de restrictions de déplacements.

Certains pays mettent également en place des mesures posant également des problématiques éthiques et de respect de la vie privée importantes, tels que la Pologne par exemple, qui impose aux personnes infectées de répondre périodiquement des demandes de selfies géolocalisées[7]. Par ailleurs, la Corée du Sud a récemment décidé que les personnes infectées ne respectant pas les principes de confinement se verraient imposer des bracelets électroniques[8].

D’autres, tels que certains pays européens ou les États-Unis, ont cependant ont recours à des données de localisation agrégées afin de suivre la propagation du virus et s’assurer du respect du confinement[9] et ce, le plus souvent, en obtenant le consentement des utilisateurs.

Également, s’agissant de mesures moins intrusives, certains pays, tels que Singapour, ont recours à la technologie Bluetooth, plutôt que le GPS, afin de permettre un contact tracing[10] (« suivi des contacts ») afin de déterminer, si une personne s’identifiait par ailleurs comme étant infectée, quelles ont été les personnes qui ont été placées à proximité[11]. C’est également en ce sens que se construit l’initiative paneuropéenne PEPP-PT (Pan European Privacy Preserving Proximity Tracing) qui développe une plateforme utilisant la technologie Bluetooth des téléphones mobiles dans un cadre anonyme et sur la base du volontariat.

En résumé, la Commission Européenne a, au sein de sa recommandation en date du 8 avril 2020 concernant une boîte à outils européenne commune en vue de l’utilisation des technologies dans le contexte du Covid-19, indiqué les trois types de fonctions des applications :

  • informer et conseiller les citoyens et faciliter l’organisation du suivi médical des personnes présentant de symptômes, souvent en combinaison avec un questionnaire d’autodiagnostic ;
  • avertir les personnes qui se sont trouvées à proximité d’une personne infectée afin d’interrompre la chaîne de transmission de l’infection et d’empêcher une augmentation des cas d’infection à la sortie du confinement
  • contrôler et faire respecter la quarantaine des personnes infectées, éventuellement en combinaison avec des fonctionnalités évaluant leur état de santé au cours de la période de quarantaine.[12]

Pour autant, la question de la centralisation des données n’a été abordée qu’à travers le feuilleton des relations entre le Gouvernement et les GAFA pour la création d’un protocole d’interopérabilité pour cette application. 

En effet, deux hypothèses coexistent : soit les données échangées, ou les pseudos sont centralisés et cette base de données centrale renvoie les pseudos des personnes contaminés aux terminaux. À charge pour ces derniers de vérifier s’ils ont été en contact avec ces derniers.

Cette hypothèse est la plus protectrice des droits fondamentaux des personnes saines, et la moins protectrice pour les personnes contaminées en ce qu’il existe de facto, dans chaque terminal, une base de données des pseudos de l’ensemble des personnes infectées.

Au contraire, une deuxième hypothèse est possible, celle de transmettre dans la base de données centrale l’ensemble des relations enregistrées. Dans cette hypothèse, en cas de contamination, la base de données centrale envoie à l’ensemble des pseudos qui ont été mis en contact avec celui infecté une indication anonyme. Le terminal affiche alors aune alerte de proximité.

Cette hypothèse est en miroir de la précédente, puisque les droits fondamentaux de la personne contaminée sont protégés, au détriment de l’enregistrement des données relatives aux relations sociales qui sont alors centralisées.

Enfin, il est possible d’imaginer un système totalement décentralisé, mais ce dernier suppose de nombreuses relations interindividuelles alors même que la finalité de l’application est de les limiter.

Quelles sont les solutions envisagées en France ?

Le gouvernement français semble quant à lui dévoiler pas à pas l’application – à ce jour nommée « StopCovid » - qui pourrait être utilisée dans les semaines ou les mois à venir et qui fera l’objet d’un débat, et a priori d’un vote, devant l’Assemblée nationale et le Sénat[13]. Il est à noter qu’elle sera le seul outil de tracking de la population, contrairement aux expériences étrangères, notamment singapourienne, qui y adjoignent des brigades d’enquêteurs pour reconstituer les déplacements des personnes infectées[14].

En substance, Olivier Véran, le ministre des Solidarités et de la Santé, et Cédric O, le secrétaire d’État chargé du numérique, ont indiqué, le 8 avril, être en cours de réflexion sur une application dont la finalité serait de « limiter la diffusion du virus en identifiant les chaînes de transmission »[15] en prévenant les personnes qu’elles auraient été en contact avec un malade déclaré positif. S’agissant de l’utilisation des données, l’application envisagée devrait d’une part, utiliser la technologie du Bluetooth, et n’aura pas vocation à géolocaliser les personnes, d’autre part, n’avoir recours qu’à des données « anonymes ». Enfin, le téléchargement de l’application serait réalisé sur la base du « volontariat ».

L’Institut national de recherche pour les sciences et technologies du numérique (INRIA), organisme représentant la participation de la France au sein de l’initative PEPP-PT, précise ainsi que cette application n’est pas une application de « tracking », ni une application de surveillance dans la mesure où elle est totalement anonyme, ni une application de délation et qu’enfin, elle n’est pas obligatoire[16].

Le gouvernement a par ailleurs indiqué associer la Commission Nationale de l’Informatique et des Libertés (CNIL) dans l’appréciation des modalités pratiques de mise en œuvre d’une telle application, laquelle a rendu public son avis sur l’application mobile StopCovid le 26 avril 2020[17].

L’ensemble de ces éléments soulève ainsi une interrogation au cœur des débats contemporains : est-il possible d’avoir des applications dites de « traçage de proximité » respectueuses du droit et des libertés fondamentales ?

Quels sont les outils juridiques concernés ?

1. La directive e-privacy[18]

Cette directive précise, par une interprétation croisée de ses articles 5 et 9, que les données de localisation concernant des utilisateurs ou abonnés de réseaux publics de communication ou de services de communications électroniques ne peuvent être traitées qu’après avoir été rendues anonymes ou moyennant un consentement pour les utilisateurs.

Or, en indiquant développer une application (i) qui ne collecte pas de données de localisation, (ii) dont les données seront anonymes et (iii) qui fonctionnera sur la base du volontariat, le gouvernement semble sortir du cadre de la directive e-privacyou en tout état de cause s’y conformer avec cette idée de volontariat sous-tendant la notion de consentement dont les modalités restent toutefois à préciser.

Dès lors, si les modalités de fonctionnement de l’application devaient être confirmées, et être effectivement réalisables – l’anonymisation pouvant toutefois présenter des difficultés de mise en place technique[19] – la France n’aurait besoin de recourir à la dérogation prévue par l’article 15 de la directive permettant aux États membres de déroger, par voie législative, aux dispositions notamment de l’article 9 lorsque cette mesure est nécessaire, appropriée et proportionnée au sein d’une société démocratique pour sauvegarde la sécurité nationale, la défense et la sécurité publique, entendues largement[20].   

2. Le règlement général sur la protection des données[21]

Ce règlement s’applique à tous les traitements de données à caractère personnel, ces dernières étant entendues comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, le règlement précise que les principes relatifs à la protection des données ne seront pas applicables aux informations anonymes, ne permettant ainsi pas d’identifier la personne concernée[22] – ce caractère anonyme ayant ainsi constitué l’un des arguments initiaux de la stratégie du gouvernement.

À cet égard, la CNIL – interrogé par le gouvernement sur ce sujet – a, au sein de son avis du 24 avril, précisé que le dispositif envisagé traitera des données à caractère personnel.

En effet, celui-ci, tel que décrit dans le cadre de la saisine de la CNIL et bien que ne sollicitant pas la fourniture de données directement identifiantes, repose sur la création de pseudonymes. Le protocole ROBERT, dévoilé par l’INRIA et transmis à la CNIL dans le cadre de sa saisine, distingue ainsi les pseudonymes permanents, ceux attribués à chaque application téléchargée, des pseudonymes temporaires, c’est-à-dire des identifiants aléatoires temporaires, ainsi que l’indique le schéma ci-dessous :

 

Dès lors, la CNIL considère que « demeure un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée.[23]» Il conviendra ainsi que le dispositif envisagé, en ce qu’il traite des données à caractère personnel, respecte l’ensemble des principes du RGPD, en ce compris le respect de l’une des bases légales.

Quelle base légale peut être envisagée ?

Conformément à l’article 6 du RGPD, afin d’être licite, le traitement doit se fonder sur l’une des six bases légales prévues par ledit article au nombre desquelles l’on retrouve le consentement. Or, le gouvernement, indiquant que cette application serait basée sur le volontariat, semblait faire référence à la base légale du consentement, laquelle, dans le contexte de crise sanitaire actuelle, interrogeait quant au respect des critères du consentement.  

En effet, conformément à l’article 4 du RGPD, le consentement doit être libre, spécifique, éclairé et univoque. La notion de consentement libre implique un choix et un contrôle réel pour les personnes concernées. Les lignes directrices du groupe de travail G29 précisent à cet égard que « si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.[24] »

C’est d’ailleurs en ce sens qu’insistait la Présidente de la CNIL, lors de son audition, rappelant « le refus de consentir ne doit pas exposer la personne à des conséquences négatives. J’y insiste parce que les comparaisons internationales montrent que le volontariat a parfois des contreparties qui en limitent la liberté[25]»

En effet, le véritable caractère libre de ce volontariat pouvait interroger dans le contexte actuel à bien des égards, et notamment quant :

(i) A la pression sociale existante, ainsi que le soulignait l’Observatoire des libertés et du numérique, dans un communiqué du 8 avril, « C’est oublier que la notion de consentement libre, au cœur des règles de la protection des données, est incompatible avec la pression patronale ou sociale qui pourrait exister avec une telle application, éventuellement imposée pour continuer de travailler ou pour accéder à certains lieux publics. »[26]

(ii) Au risque que le recours à cette application conditionne le déconfinement des citoyens – bien que non envisagé en France, des exemples internationaux démontrent qu’une telle possibilité existe ;

(iii) Au risque que les employeurs puissent imposer aux salariés le recours à l’application afin de reprendre le travail, crainte notamment évoquée par Monsieur Philippe BAS, Président de la Commission des lois[27].

(iv) Au risque de discriminations sociales pouvant notamment exister à l’égard des personnes n’ayant pas adhéré aux mesures de suivi ainsi que le soulignait le Comité national pilote d’éthique du numérique[28]le risque de discrimination et de stigmatisation des personnes infectées soulevant également des enjeux éthiques déterminants[29].

Ainsi, la CNIL – après avoir rappelé les modalités et les contours du volontariat, tel qu’il doit être envisagé, et probablement après avoir considéré les risques existants quant au respect des exigences du RGPD à l’égard du consentement – a considéré que la base légale la plus appropriée au traitement envisagé devait être l’exercice d’une mission d’intérêt public, conformément à l’article 6.1.e) du RGPD. L’avis précise par ailleurs d’une part que les finalités du traitement doivent être nécessaires à la réalisation de la mission d’intérêt public concernée – la lutte contre l’épidémie de Covid-19 – et que le recours à un tel dispositif soit législativement encadré[30].

Quelles sont les modalités pratiques liées à la mise en œuvre d’une telle application ?

Bien que le protocole ROBERT, annexé à la saisine de la CNIL, ait permis à cette dernière de prendre connaissance des premiers éléments techniques et fonctionnels liés à l’application, il semble que certaines incertitudes demeurent à ce jour sur les modalités pratiques, et ainsi les enjeux, d’une telle application.

Toutefois, la CNIL a eu l’opportunité de préciser que les modalités de mise en œuvre de cette application devront traduire le respect du principe de proportionnalité, lequel est notamment rappelé par les juridictions européennes en ces termes « les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire »[31]. Ainsi, la CNIL a indiqué que « le gouvernement doit veiller à ce que l’atteinte portée à la vie privée demeure proportionnée à l’objectif poursuivi. Comme il l’a été indiqué, la protection de la santé constitue également un objectif à valeur constitutionnelle[32]. »

En pratique, et conformément aux préconisations de la CNIL, le respect de ce principe de proportionnalité implique notamment les éléments suivants :

(i) Les données collectées devront être strictement nécessaires afin de minimiser l’atteinte portée à la vie privée des personnes (article 5. c) du RGPD) ;

(ii) Le dispositif devra être temporaire et les données devront être supprimées dès lors que l’utilité de l’application ne sera plus avérée (en ce sens le principe de limitation de la conservation posé par l’article 5. e) du RGPD).

En outre, les éléments suivants doivent également être rappelé et mis en pratique au regard des principes du RGPD :

(i) Dans la mesure où l’application a vocation à traiter des données de santé, lesquelles font l’objet d’un traitement particulier – par principe interdit, sauf exception – il conviendra que le traitement soit justifié sur l’une des exceptions de l’article 9 du RGPD parmi lesquelles figure notamment les motifs d’intérêt public « dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » qui semble avoir retenue par la CNIL[33].

(ii) Il ne pourra être passé outre la réalisation d’une analyse d’impact laquelle doit être effectuée « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » et en particulier lorsque le traitement concerne le traitement à grande échelle de catégories particulières de données[34].

(iii) Enfin, il sera au besoin rappelé l’un des principes cardinaux du RGPD, le principe de limitation des finalités en vertu duquel l’utilisation et le traitement de données personnelles doivent s’inscrire dans un but précis et que les données ne peuvent être utilisées à d’autres fins. Il conviendra donc de veiller à l’utilisation ultérieure des données qui pourrait être envisagée. Ainsi que le mentionnait la Quadrature du Net « une fois l’application déployée, il sera plus facile pour le gouvernement de lui ajouter des fonctions coercitives (contrôle individuel du confinement)[35] ».

(iv) Enfin, les droits des personnes concernées devront également être respectés, ce que la CNIL – après avoir indiqué que le responsable du traitement devrait être le ministère chargé de la santé ou toute autre autorité sanitaire impliquée dans la gestion de la crise sanitaire – a eu l’occasion de rappeler au sein de son avis.

Il semble ainsi que de divers principes du RGPD ont été anticipés et envisagés dans le cadre du projet d’application soumis à la CNIL pour avis.

Toutefois, pour éviter toute tentation de « solutionnisme technologique », l’autorité de contrôle française a été amenée à préciser que l’atteinte à la vie privée issue de ce dispositif ne sera admissible que si le gouvernement « peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise »[36]. Or, en l’état, le dispositif soulève de nombreuses incertitudes.

Quelles sont les limites d’un tel projet ?

Il existe tout d’abord des limites techniques, le gouvernement ayant à cet égard indiqué ses interrogations quant à la faisabilité du projet, notamment s’agissant de l’efficacité de la technologie du Bluetooth[37], ce qui se trouve par ailleurs renforcé par l’existence de « zones blanches » - espaces où le réseau est de mauvaise qualité – qui ne peuvent être que des difficultés pour la généralisation de l’utilisation de l’application[38].

Dans ce contexte de limites techniques, la Quadrature du Net mentionnait également les difficultés liées à l’absence de consensus quant à la durée et la distance de proximité pouvant justifier l’alerte effectuée auprès d’une personne ainsi que le risque d’augmentation des faux-positifs dans des espaces à forte densité[39]l’on notera à cet égard que l’existence de faux positifs pose de réelles problématiques, notamment au regard du principe d’exactitude des données prévus par l’article 5. d) du RGPD[40]. Le protocole Robert, mis en place par l’INRIA ne prévoit rien sur le traitement des faux positifs. Or, l’aspect déclaratoire de l’existence d’une infection pose en miroir la question de la sanction de ces faux pour leurs auteurs et pour l’État la question de sa propre responsabilité sur la pertinence[41], l’exactitude et la sécurisation des données et la sécurisation des données.

De plus, l’INRIA mentionne les incertitudes scientifiques liées au mode de transmission du virus et précise « Toutes les applications de « proximity tracing » reposent ainsi sur des fonctions de risque, définies, avec les chercheurs en épidémiologie, sur la base de l’état de l’art. Cette connaissance est encore très lacunaire et est susceptible de changer très rapidement, en fonction des retours d’expérience. »[42]

Ces limites aboutissent ainsi au questionnement relatif à l’intérêt et l’efficacité d’une telle application, laquelle efficacité étant grandement tributaire du taux de pénétration auprès des utilisateurs[43] dans un contexte où 77% de la population dispose d’un téléphone portable et que cette proportion est seulement de 44% pour les personnes de plus de 70 ans, à savoir les personnes les plus vulnérables et à risque face au virus Covid-19. En ce sens, l’on peut noter que la Belgique a récemment annoncé qu’elle renonçait l’idée de mettre en place une telle application de traçage en ce que trop peu de citoyens sont susceptibles de l’installer et de l’utiliser[44].  

Ainsi, nombreux sont ceux qui mettent en garde contre cette tentation de « solutionnisme technologique »[45], technologies dont les bénéfices n’ont pour l’heure pas fait leurs preuves – en témoigne l’expérience de Singapour qui, bien qu’ayant eu recours à un tel dispositif, a été contrainte de mettre en œuvre un confinement[46].

Dès lors, une réponse technologique ne pourra s’envisager qu’en complément des mesures sanitaires mises en place – gestes barrières notamment – et attendues – port de masque généralisé, tests sérologiques, etc.

Face à l’ensemble de ces limites et notamment le fait que ne saurait être autonome, l’on peut légitimement s’interroger quant au choix de recourir à la base légale relative à l’exécution d’une mission d’intérêt public – à savoir la lutte contre l’épidémie – conformément à l’article 6 e) du RGPD.  En effet, la condition de nécessité, rappelée par la CNIL au sein de son avis relatif au projet d’application, peut sembler délicate à remplir dès lors que le dispositif fait l’objet de nombreuses incertitudes notamment liées à son efficacité.

Quels contrôles ?

En toutes hypothèses, et ainsi qu’en témoigne sa saisine par le gouvernement, la CNIL, en sa qualité d’autorité de contrôle en matière de protection des données et dont les missions sont prévues par l’article 8 de la loi Informatique et Libertés[47], participe à l’élaboration et l’évaluation d’un tel dispositif.

Par ailleurs, et au-delà de l’existence de recours administratifs et répressifs qui pourront être engagés notamment à l’encontre de l’État, les citoyens pourraient disposer de recours individuels, en vertu du RGPD notamment, si le traitement mis en place devait entrer dans le champ d’application de ce dernier, conformément à l’article 79 du RGPD qui consacre le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant et à l’article 82 du RGPD qui pose les principes d’un droit à réparation des personnes concernées et de responsabilité des acteurs – responsable de traitement et sous-traitants – du RGPD.

Par ailleurs, les citoyens disposent de recours collectifs – l’action de groupe – leur permettant d’être représentés notamment par une association afin que celle-ci porte une réclamation en leur nom[48]

Depuis l’entrée en vigueur du RGPD, l’action de groupe offre une multiplicité de réponses – auparavant limitée à la cessation de la violation des données personnelles – comprenant notamment l’indemnisation de préjudices matériels ou moraux.

Or, certaines associations actives en faveur de la défense de la protection des données n’hésiteront probablement pas à engager des recours une fois les contours de l’application exprimés.

Par ailleurs, l’Académie de Médecine, au sein de son communiqué du 22 avril 2020, précise également qu’il faut « régler au mieux les responsabilités qui pourraient concerner un préjudice subi par une contamination ou une exposition liée à un faux négatif du test ou de l’affichage de son résultat, ou encore à une transmission technique défectueuse ou inopérante car en zone non couverte par les opérateurs. »[49] A cet égard, l’institution estime qu’un mécanisme d’indemnisation automatique devra être prévu, par le biais de la solidarité nationale et de l’Office National d’Indemnisation des Accidents Médicaux.

Quelle responsabilité juridique et sociétale ?

En toutes hypothèses, il conviendra de rester attentif aux modalités et à la mise en œuvre d’un tel projet de suivi numérique des citoyens ainsi qu’à ses conséquences pratiques, à l’heure du déconfinement afin de s’assurer qu’acceptabilité juridique et acceptabilité sociale s’accordent.

Une éthique solide et une vraie pédagogie sont indispensables si l’équilibre entre libertés fondamentales et maintien de l’ordre public venait à être bousculé pour des considérations sécuritaires.

La France dispose d’un arsenal juridique suffisant permettant de restreindre provisoirement les droits des citoyens tout en conservant l’état de droit. C’est ainsi en ce sens que la Présidente de la CNIL indiquait « les textes qui protègent les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, pour la protection de la santé publique. Ces textes imposent, essentiellement, de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives. [50]»

Pour autant, l’État d’exception ne doit devenir le droit commun et les citoyens en état de servitude volontaire.

La proportionnalité et le caractère approprié de chaque mesure attentatoire aux libertés devront être systématiquement recherchés pour garantir la confiance du corps social et une acceptabilité des mesures sanitaires contraignantes – cette acceptabilité sociale étant de surcroît garante de l’éventuelle l’efficacité d’un tel dispositif.

Enfin, la gestion de la crise et de l’après-crise s’appréciera en fonction de notre capacité à mettre en place concrètement notre souveraineté sanitaire et numérique comme l’a rappelé Cédric O à l’Assemblée Nationale le 9 avril 2020.

Un collectif d’entrepreneurs et de décideurs du numérique français ont ainsi engagé le gouvernement à mettre la priorité sur la souveraineté et une confiance numérique immédiate qui permettra d’accompagner la transformation digitale après la crise Covid-19 révélatrice de notre dépendance à l’industrie chinoise en matière sanitaire et aux États-Unis en matière numérique (GAFAM & NATU).

Notre dépendance devient non seulement économique, mais aussi sociétale et notre responsabilité politique doit désormais se focaliser sur le renforcement de notre souveraineté numérique dans le domaine de la santé. Car ne nous y trompons pas, la privatisation des données de santé est une étape, dans la disparition de notre État providence, qui est aujourd’hui à l’avant-garde de la lutte contre la pandémie[51]. Dans cette perspective, l’intérêt porté à la digitalisation de la prévention ne doit pas occulter le débat sur les enjeux sanitaires, la faillite des systèmes publics de santé, et la responsabilité qui en découle.

Dans quels état et État sortirons-nous de cette pandémie ? apprendrons-nous de nos erreurs ? Face aux différents enjeux de cette crise, aux incertitudes qu’elle alimente et aux espoirs qu’elle éteint, nous restons persuadés avec le poète qu’« Il n’y a pas de chemin. Le chemin se fait en marchant. Le chemin se fait en marchant. Et quand tu regardes en arrière. Vois le sentier que jamais. Tu ne dois à nouveau fouler ».

[1] Workciech Wiewiórowski, EU Digital Solidarity: a call for a pan-European approach against the pandemic, 6 avril 2020
[2] Loi du 16 juillet 1912 et décret du 16 février 1913 sur l'exercice des professions ambulantes et la circulation des nomades complétés par les circulaires du Ministre de l'Intérieur des 3 et 22 octobre 1913

[3] https://www.lepoint.fr/editos-du-point/etienne-gernelle/gernelle-ces-libertes-que-macron-devra-nous-rendre-et-vite-08-04-2020-2370562_782.php.

[4] Voir le dossier Covid-19 du Laboratoire d’Innovation de la CNIL, notamment Coronoptiques (1/4), Dispositifs de surveillance et gestion de l’épidémie et Coronoptiques (4/4), Rendre visible le (non) respect du confinement, publié le 10 avril 2020. Pour une présentation romancée voir : D. Defoe, journal de l’année de la peste , Collection Folio classique (n° 1372), Gallimard

[5] Pour une liste des moyens de suivi envisageables, voir le Bulletin de veille n°1 du Comité National Pilote d’Éthique du Numérique, « Réflexions et points d’alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », p.11.

[6] Pour une liste des initiatives mises en place par les états membres de l’espace économique européen, il est possible de consulter le guide, en version anglaise, suivant : eHealth Network « Mobile applications to support contact tracing in the EU’s fight against Covid-19 », version 1.0, 15 avril 2020.

[9] Pour un examen des mesures prises au sein des différents pays européens, voir l’audition de Madame Marie-Laure DENIS, Présidente de la CNIL, devant la commission des lois de l’Assemblée Nationale, publiée sur le site internet de la CNIL, pages 6 à 9.

[10] A noter que de tels dispositifs de contact tracing ont d’ores et déjà été mis en œuvre par certains pays et par l’Organisation Mondiale de la Santé dans le cadre de la lutte contre le virus Ebola : LINC, Coronoptiques (3/4). ; des modèlés épidémiologiques au contatc tracing, rendre visible la contagion.

[12] RECOMMANDATION (UE) 2020/518 DE LA COMMISSION du 8 avril 2020 concernant une boîte à outils commune au niveau de l’Union en vue de l’utilisation des technologies et des données pour lutter contre la crise de la COVID-19 et sortir de cette crise, notamment en ce qui concerne les applications mobiles et l’utilisation de données de mobilité anonymisées

[13]https://www.francetvinfo.fr/sante/maladie/coronavirus/deconfinement-il-y-aura-bien-un-vote-sur-le-tracage-numerique-a-l-assemblee-nationale_3927131.html ;

À lire sur Numerama : StopCovid : la députée experte du numérique Paula Forteza gagne la tenue d’un vote sur l’app de tracing

.

[16] .

[17] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée
« StopCovid » (demande d’avis n° 20006919).

[18] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

[19] Sur les difficultés de l’anonymisation et les techniques, il est possible de consulter l’article du Laboratoire d’Innovation de la CNIL, « Nouvelles frontières des données personnelles », 25 février 2016 et l’avis du G29, 0829/14/FR WP 216 sur les techniques d’anonymisation.

[20] Voir en ce sens l’audition de Madame Marie-Laure DENIS, la Présidente de la CNIL, p. 10.

[21] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[22] Considérant 26 du RGPD.

[23] Avis de la CNIL p.3.

[24] Lignes directrices sur le consentement au sens du règlement 2016/679, Groupe de travail « Article 29 », 17/FR WP259 rév.01.

[25] Pages 13 et 14 de l’audition de Madame Marie-Laure DENIS.

[28] Bulletin de veille n°1 du Comité National Pilote d’Éthique du Numérique, « Réflexions et points d’alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », p.12.

[29] Voir en ce sens LINC, Coronoptiques (2/4) : dépister la population, rendre visible le virus, 10 avril 2020.

[30] Avis de la CNIL, p.6.

[31] CJUE, Aff C-79/07 Tietosuojavaltuutettu contre Satakunnan Markkinapörssi Oy,Satamedia Oy, et CJUE, Aff. C‑92/09 et C‑93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-93/09) contre Land Hessen, en présence de Bundesanstalt für Landwirtschaft und Ernährung,9 novembre 2010.

[32] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919), p.7.

[33] Nous renvoyons au considérant n°53 du RGPD s’agissant de la collecte de données sensibles dans un contexte de surveillance et d’alerte sanitaire et à la page 6 de la Délibération de la CNIL du 24 avril 2020 sur ce point.

[34] Article 35 RGPD.

[35] La Quadrature du Net, « Nos arguments pour rejeter STOPCOVID », le 14 avril 2020.

[36] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919), p.7.

[39] La Quadrature du Net, « Nos arguments pour rejeter STOPCOVID », le 14 avril 2020.

[40] Voir notamment sur la problématique des faux positifs, la page 9 de la Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919).

[41] Article 5 du RGPD

[42] .

[43] Voir en ce sens les recommandations de la Commission européenne lesquelles définissent le taux de pénétration auprès des utilisateurs, à savoir « le pourcentage de la population utilisant un appareil mobile, le pourcentage des personnes qui a téléchargé l’application et qui a donné son consentement au traitement de données à caractère personnel les concernant et ne l’a pas retiré. » (p.3)

[44] .

[45] Pages 4 et 5 de l’audition de Madame Marie-Laure DENIS.

[46] La Quadrature du Net, « Nos arguments pour rejeter STOPCOVID », le 14 avril 2020.

[47] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

[48] Voir les articles 80 du RGPD, 37 de la Loi Informatique et Libertés et article 62 à 84 de la loi du 18 novembre 2016 de modernisation de la justice du XXIème siècle.

[49] Communiqué de l’Académie nationale de médecine : l’utilisation de Smartphones pour le suivi du déconfinement du Covid-19 en France.

[50] Page 4 de l’audition de Madame Marie-Laure DENIS.

[51] Le débat sur la suppression de l’Obama Care aux Etats -Unis trouve dans la crise actuelle le meilleur argument pro étatisation de la santé.  Voir sur le débat : Paul Krugman, Lutter contre les zombies, Hors collection - Documents, témoignages et essais d’actualité, Flammarion 2020.

 

×
×

A lire aussi