Afin de lutter contre la propagation du virus Covid 19, l’utilité des outils numériques est mise à l’honneur, et notamment ceux basés sur le traitement des données de géolocalisation. Comme dans d’autres domaines, la question de se saisir des outils numériques fait débat. Des réflexions et travaux sont en cours sur l’éventuelle mise en place d’un nouveau geste barrière numérique que représenterait, finalement, une application de reconstitution d’historique de proximité.
L’institut national de recherche en sciences et technologies du numérique (Inria), a créé la mission « Covid 19 », dont l’objectif est de mobiliser les expertises pour répondre aux besoins à court terme. Elle permet, d’une part, aux établissements de santé de faire remonter leurs besoins éventuels dans le domaine des sciences et technologies, et d’autre part, d’accompagner le déploiement des initiatives proposées par les équipes de recherche. L’inria coordonne les projets de recherche en France sur le développement d’une application « StopCovid ».
Il s’agirait de « prévenir les personnes qui ont été en contact avec un malade testé positif, afin qu’elles se fassent tester elles-mêmes » Cédric O, Secrétaire d’Etat chargé du numérique
Mercredi 8 avril, j’ai eu l’occasion d’interroger Marie-Laure DENIS, Présidente de la CNIL, dans le cadre des travaux de la Commission des Lois, sur l’opportunité et la faisabilité juridique d’une telle application de traçage numérique par rapport à la garantie des droits et libertés fondamentaux des citoyens : le droit au respect de la vie privée et la liberté d’aller et venir.
Ce nouveau geste barrière numérique, utilisant des données de localisation, est envisagé pour trois séries de finalités :
✅ cartographier la propagation du virus, prédire les zones à risques, ou aider les autorités à planifier les prochains besoins médicaux urgents
✅ contrôler les mesures de confinement pour endiguer la propagation du virus, les consignes de distanciation
✅ informer : suivi des contacts des personnes exposées afin de les avertir et les inviter à se faire dépister
Deux séries de techniques peuvent aboutir à ces finalités : l’utilisation de données individuelles et l’utilisation de données collectives. Le dispositif peut être obligatoire ou reposer sur le volontariat des personnes.
Les différents usages liés à la politique sanitaire inscrite dans différents régimes politiques varient selon les Etats.
✅ Tandis que la Corée du Sud ou Israël ont mis en place des dispositifs de surveillance massive de la population et de géolocalisation des smartphones certains pays européens mettent à profit les données télécom pour cerner la propagation de l’épidémie, sans toutefois avoir recours à une surveillance électronique de masse.
✅ La Pologne a mis en place depuis le 19 mars une application réservée aux personnes mises en quarantaine, basée sur la collecte des numéros de téléphone et la reconnaissance faciale.
✅ A Taiwan, le contrôle numérique est soutenu par les forces de l’ordre : les autorités rentrent en contact avec toutes les personnes qui s’éloignent de leur adresse ou éteignent leur téléphone. Les fonctionnaires appellent deux fois par jour pour s’assurer que les gens ne trichent pas en laissant leur téléphone chez eux.
✅ A Singapour, le dispositif est basé sur le volontariat et il vise à identifier les personnes exposées au virus et qui doit être soumis à un test.
La France semble plus réticente à mettre en place un dispositif similaire, afin de préserver les libertés publiques.
Les données de santé sont des données à caractère personnel dites sensibles et sont protégées, au niveau européen d’une part, par le Règlement général sur la protection des données (RGPD), et au niveau national d’autre part, par la loi informatique et libertés et par le Code de la santé publique. Les données de localisation sont protégées par le respect au droit au respect de la vie privée, mentionné par le code civil français, et la liberté d’aller et venir, composante de la liberté individuelle, qui a valeur constitutionnelle depuis la décision du Conseil constitutionnel du 12 juillet 1979.
Toutefois, il est possible de déroger au cadre juridique constant. La directive vie privée et communications électroniques du 12 juillet 2002 permet de traiter des données sensibles selon deux conditions non cumulatives : soit lorsque les données sont anonymisées, soit lorsque le consentement de la personne a été recueilli.
« Il faut attacher la plus grande importance à la sécurité des données sensibles » Marie-Laure DENIS, Présidente de la CNIL
Au regard de ce cadre juridique, Marie-Laure DENIS a considéré qu’un traitement de données de localisation devrait respecter les principes de nécessité et de proportionnalité. Elle indique aussi qu’un éventuel dispositif ne pourra conserver les données que pour une durée courte, et la collecte des données doit être minimisée aux données essentiellement nécessaires.
Enfin, Madame DENIS évoque l’importe qu’un tel dispositif soit souverain, s’il doit être mis en œuvre.
« Nous avons des très bons outils capables de répondre aux enjeux de souveraineté dans cette période perturbée » Jean-Michel MIS, Député de la Loire
A ce sujet, j’ai demandé à Cédric O, Secrétaire d’Etat chargé du Numérique, jeudi 9 avril, lors d’une audition dans le cadre de la Commission des Lois, des précisions sur les enjeux de souveraineté d’une éventuelle application de reconstitution d’historique de proximité.
Depuis quelques jours, certains médias évoquent le nom de « Palantir », société implantée aux Etats-Unis et financée en partie par la NSA pour l’associer à un futur traitement des données des français via l’application de traçage numérique pour lutter contre la propagation du virus Covid19. Je souhaitais m’assurer que « Palantir » n’aura pas accès aux données des français via une potentielle future application et que cette dernière serait totalement souveraine.
« J’assume pleinement le développement d’une application et le fait que nous sommes en capacité de la développer » Cédric O, Secrétaire d’Etat chargé du numérique
Cédric O m’a assuré que la France ne travaillait pas avec la société « Palantir » ou autres sociétés américaines.
✅ Il a annoncé le travail d’industriels français sur une application de reconstitution d’historique de proximité, StopCovid, simple d’utilisation, qui serait respectueuse du RGPD et des libertés publiques.
En effet, à l’inverse des autres pays utilisant les données de géolocalisation des citoyens dans un système centralisé, l’application française en cours de développement fonctionnerait comme une radio et diffuserait grâce à la technologie Bluetooth un identifiant anonyme que seuls les utilisateurs à proximité pourront capter. Cette technologie est respectueuse du droit en vigueur et des libertés fondamentales : grâce à l’anonymat des données, il n’y a pas d’entrave au respect de la vie privée ou à la liberté d’aller et venir.
« Il n’y a pas de données disponibles accessibles, elles sont anonymisées, cryptées, donc non exploitables » Cédric O, Secrétaire d’Etat chargé du numérique
L’application StopCovid serait annoncée, si mise en place, dans une stratégie globale de Confinement allégé. Aux conditions cumulatives que le dispositif respecte le droit positif et les valeurs françaises, et qu’il peut être utile à la lutte contre la propagation du Covid19, il pourra être mis en place.
✅ Il s’agit aussi d’une opportunité d’associer le citoyen à la poursuite de l’intérêt général, la protection de la santé publique.
✅ Il s’agit de notre responsabilité collective.