Les enjeux juridiques du dispositif de traçage StopCovid
A situation exceptionnelle, atteinte exceptionnelle aux droits : StopCovid remet en cause bien des droits rappelle l'avocate Christiane Féral-Schuhl. Mais, en France, le provisoire tend à devenir définitif. Et l'utilité reste à démontrer.
PublicitéDans l'objectif de ralentir la progression de l'épidémie Covid-19, le Gouvernement prévoit de mettre en oeuvre la solution StopCovid. Cette application permettrait d'alerter les personnes qui ont été en contact avec un malade testé positif « afin de pouvoir se faire tester soi-même, et si besoin d'être pris en charge très tôt, ou bien de se confiner ».
Il s'agit donc de « tracking » ou, pour parler français, d'un système de « traçage ».
Et qui trace-t-on ici ? les citoyens... Tracer les citoyens, voilà donc un sujet qui interroge, qui intéresse et qui interpelle nécessairement.
Est-il besoin de rappeler que notre pays s'est armé, dès 1978, d'un corpus de règles pour protéger et défendre les données personnelles ?
On nous répond que, à circonstances exceptionnelles, dérogations exceptionnelles.
Certes. Mais on nous tenait le même discours pour le terrorisme. Et depuis, les dérogations sont devenues le droit commun.
Un consentement pas si libre et éclairé
On nous dit que les citoyens ne cessent d'utiliser la traçabilité en tant que consommateurs, sur les réseaux sociaux, sur les plateformes en ligne, sur les sites de e-commerce. Alors, pourquoi seraient-ils scandalisés par la traçabilité pour lutter contre le Covid-19 ? En clair, on accepterait d'être tracé pour acheter des vêtements sur internet mais pas pour lutter contre le virus ?
On nous dit qu'en tout état de cause, ce traçage se fera sur la base du seul volontariat. Quand un juriste entend volontariat, il pense « consentement » au sens du RGPD, c'est-à-dire libre, éclairé et univoque. Or, quoi de plus facile à influencer que le consentement : pression des médias, de l'entourage familial, de l'employeur, des voisins, des amis... Comment s'assurer que ce consentement sera parfaitement libre et éclairé ? Prenons le cas de l'employeur précautionneux qui imposerait à ses salariés de s'équiper de cette application pour pouvoir revenir sur leur lieu de travail. Il n'y a qu'un pas pour basculer d'un instrument de protection de la santé à un instrument de coercition.
On nous dit également qu'il n'y a pas lieu de s'inquiéter car la solution annoncée reposerait sur une technologie bluetooth et non sur la géolocalisation. Les développements sont lancés depuis début avril 2020, via l'INRIA et en partenariat avec d'autres Etats, dont la suisse et l'Allemagne. En l'état, Apple n'a pas donné son aval, prérequis pour que l'application soit téléchargeable sur l'Apple Store. Il semblerait que la diffusion des codes anonymes générés par l'appli, via bluetooth, contreviendrait directement au modèle de sécurité du système iOS, visant à protéger les données des utilisateurs.
L'anonymat pas si garanti
L'usage du bluetooth garantirait l'anonymat, le ministre Cédric O. précisant que « pas même l'Etat ne pourra retracer les personnes contaminées » ! Pourtant, une application s'appuyant sur la technologie bluetooth suppose une communication entre deux cartes bluetooth rattachées à un terminal mobile. Ces cartes doivent communiquer sur la base d'un identifiant unique généré par un serveur central. Cet identifiant permet de rattacher l'information communiquée à la carte bluetooth. Et la carte bluetooth est rattachée à un terminal. Et le terminal permet de faire le lien avec la personne... En clair, si les personnes ne sont pas identifiées par leur nom ou leur carte d'identité ou leur numéro de sécurité sociale, elles peuvent l'être par un code ou un numéro. Il suffit alors d'établir le lien avec d'autres informations, par exemple l'adresse IP, pour « désanonymiser ». Il s'agit donc de « données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires (qui) devraient être considérées comme des informations concernant une personne physique identifiable » (RGPD, considérant 26).
PublicitéAlors, quelles sont les garanties pour limiter les risques de réidentification des personnes ? Nous connaissons le risque, par exemple le dispositif de notation sociale mis en place en Chine qui permet d'analyser le comportement des citoyens pour leur attribuer les autorisations leur permettant de voyager, de trouver un emploi, d'obtenir un crédit, d'accéder à telle ou telle école pour leurs enfants, d'apprendre telle ou telle langue étrangère....
On nous dit que les données ne seraient pas stockées. Mais on nous dit aussi que la conservation des données sera « temporaire », le temps de faire face à la crise sanitaire ? Nous savons qu'une donnée est toujours stockée, soit au niveau du smartphone, soit au niveau d'un serveur centralisé, soit répartie entre les deux. Alors quelle sera la durée du stockage ? Parce que si c'est la durée de la crise sanitaire, celle-ci peut être longue.
On peut aussi s'interroger sur l'efficacité d'un tel dispositif. On peut se reporter utilement à l'étude de l'Office parlementaire d'évaluation des choix scientifiques et technologiques http://www.senat.fr/fileadmin/Fichiers/Images/opecst/auditions_publiques/Comparaison_technologies_coronavirus_note_3_VF.pdf ainsi qu'à « Traçage numérique et géolocalisation face au Covid-19 : quelle efficacité ? » par Adrienne Brotons et Paul Christophle (Fondation Jean-Jaurès, Penser pour agir, 24 avril 2020).
Une efficacité qui reste à démontrer
Selon une étude de l'université d'Oxford, l'efficacité d'une telle application ne pourrait être assurée que si au moins 60% à 70% de la population de référence procède à son installation. Si on écarte 25% de la population française (personnes non équipées de smartphones, majoritairement des personnes âgées et donc « à risque »), il reste 75% de la population susceptible de télécharger l'application. Pour qu'elle soit efficace, il faudrait donc que la quasi-totalité de ces 75% installent l'application et apprennent à s'en servir. Pourtant, télécharger une application, activer/désactiver le bluetooth, comprendre les alertes, etc. n'est pas à la portée de tous. A Singapour - modèle revendiqué de la France - on notera que seulement 19% de la population (1 million) a téléchargé l'application TraceTogether, qui fonctionne sur le même principe que la future StopCovid. C'est dire que, statistiquement, il y a peu de chances que l'application soit réellement efficace d'autant que la notion de volontariat induit que les personnes puissent à tout moment retirer leur consentement et cela, sans motif.
Dans ce contexte, il faut se poser la question de l'opportunité, de la priorité et de la capacité de notre pays débordé par la crise sanitaire de mener à bien un tel projet technologique. A l'heure où l'approvisionnement en masque, en tests, en protections sanitaires pose problème, il pourrait paraître décalé que l'Etat concentre des ressources humaines et financières importantes pour développer une telle application. Et si l'on reprend la liste des partenaires de ce projet (9 entités et entreprises concernées), on peut aussi se poser la question de savoir qui, parmi tous ces acteurs, gardera en tête l'impérieuse nécessité de garantir les libertés individuelles. La commission nationale consultative des droits de l'homme (CNCDH) a également pu souligner que « l'intérêt et l'efficacité d'un tel suivi pour endiguer la propagation du virus sont trop incertains en comparaison de la menace disproportionnée qu'ils font peser sur les droits et libertés fondamentaux ».
Et si malgré tout, ce projet devait se faire, on rappellera que la Commission européenne suggère de mettre en place une boîte à outil pour l'utilisation de la technologie et des données pour combattre le covid, sous le contrôle du e-Health Network https://ec.europa.eu/health/ehealth/policy/network_en , au sein duquel sont représentés tous les Etats membres et la Norvège. La commission européenne suggère également d'impliquer le European Data Protection Board et le European Data Protection Supervisor. Cette boîte à outil devra strictement limiter le traitement des données personnelles pour combattre le virus et s'assurer que le traitement n'est pas utilisé à une autre fin comme le respect de la loi ou un usage commercial, assurer une surveillance régulière des besoins en termes de traitement et prévoir une clause de fin du traitement, prévoir la destruction irréversible des données collectées une fois que le traitement n'est plus strictement nécessaire (sauf en cas de valeur scientifique notable pour l'intérêt public).
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire