Suivi ou tracking des populations, des mouvements de masse... Les idées germent pour contrer la pandémie de Covid-19. Théodore Christakis, professeur de droit à l’Université Grenoble Alpes, membre du CNNum et du Comité National Pilote sur l’Éthique du Numérique, revient dans nos colonnes sur les problématiques actuelles.
L’idée d’applications « traquant » les données mobiles des personnes dans la lutte contre le Covid-19 fait son chemin. Faut-il s’en inquiéter ?
En temps de crise, il y a toujours un risque important d’adopter des mesures liberticides. Ce risque ne concerne pas seulement des pays autoritaires (dont certains semblent profiter de la crise pour mettre en place des outils de surveillance complètement disproportionnés), mais aussi des pays démocratiques qui pourraient sur-réagir.
Mon collègue Peter Swire, ancien conseiller des Présidents Clinton et Obama sur la protection des données et de la vie privée, rappelle les leçons du 11 septembre 2001 et les risques d’un « théâtre de sécurité », expression qui désigne des mesures liberticides adoptées à la hâte par des gouvernements qui souhaitent montrer à leur population qu’ils « font quelque chose » alors qu’en réalité ces mesures n’améliorent pas la sécurité. Peter Swire nous met ainsi en garde contre la naissance d’un « théâtre de santé publique » (lien vers l'article, ndlr).
Ceci étant dit, comme l’a souligné hier le Contrôleur Européen de la Protection des Données (autorité indépendante chargée de la protection des données au niveau de l’Union Européenne), la gestion responsable d’une crise aussi grave que celle que nos sociétés sont en train de traverser avec le Covid-19 implique de ne pas se priver d’outils numériques qui pourraient être utiles pour combattre la pandémie. Il y a différents types d’applications mobiles et il ne faut pas mettre tout dans le même panier.
Certaines applications, qui « traquent » les individus en fournissant aux autorités toute une série de données (données GPS, graphe social des personnes, etc.) ou qui leur imposent de poster périodiquement des « selfies » avec données GPS pour vérifier qu’ils respectent une obligation de confinement, posent des problèmes juridiques et éthiques extrêmement importants.
D’autres applications par contre, dont l’objectif est de procéder de façon anonymisée et sur la base du consentement libre des utilisateurs à un « traçage de proximité » afin d’avertir les personnes qui présentent un risque élevé d’avoir été contaminées (car elles ont été en contact prolongé avec une personne testée positive) pourraient être utiles pour limiter la propagation du virus et améliorer la sécurité publique.
Il est emblématique qu’un activiste comme Max Schrems (connu pour ses batailles juridiques contre Facebook ou les méthodes des services américains de renseignement) considère que de telles applications de « traçage de proximité » pourraient, si elles sont bien faites, être une bonne solution et contribuer à limiter l’impact de la crise sur d’autres libertés fondamentales, telles que la liberté de circulation ou la liberté d’entreprendre.
Oui, mais précisément, est-il imaginable d’avoir des applications de « traçage de proximité » respectueuses des droits de l’homme quand on connait la difficulté d’anonymisation des données de géolocalisation ?
Effectivement, c’est la grande question. Ce que les gens ignorent c’est que, parallèlement à la course du monde médical aux médicaments et aux vaccins, il y a une autre course, celle de la communauté des chercheurs en informatique et en droit, pour développer des applications pour lutter contre la pandémie tout en étant respectueuses des libertés fondamentales.
Je suis d’accord avec le Contrôleur Européen de la Protection des Données qui a souligné hier que les applications fondées sur des identifiants anonymes et temporaires et la technologie Bluetooth sont les plus prometteuses pour une protection efficace des données personnelles et de la vie privée.
De ce point de vue, l’initiative paneuropéenne PEPP-PT (Pan European Privacy Preserving Proximity Tracing) semble très intéressante car elle a pour ambition de proposer des technologies et des standards pour une approche de suivi numérique des contacts de proximité fondée sur le consentement, l’anonymat et le respect de la vie privée, en totale conformité avec le RGPD et les autres règles pertinentes (directive e-Privacy, etc). Le respect du cadre européen de protection de la vie privée et des données personnelles est au cœur de cette initiative, qui se veut « privacy-by-design ».
Quelle est alors exactement l’application proposée par le consortium PEPP-PT ?
Cette initiative paneuropéenne regroupe plusieurs organisations scientifiques de premier plan et mobilise plus de 130 scientifiques de haut niveau issus de huit pays européens. Or, en l’état actuel des choses il ne semble pas y avoir de consensus sur l’architecture à mettre en place.
Un premier projet est fondé sur le postulat que « l’on ne peut pas faire confiance aux gouvernements ». Il vise à développer un système Bluetooth entièrement décentralisé : les gouvernements n’apprennent rien et les utilisateurs sont alertés de façon décentralisée lorsqu’ils ont été exposés à des personnes testées positives.
Néanmoins, de l’aveu même des concepteurs, il y a dans ce système ce qui me semble être une importante faille : un utilisateur ayant quelques connaissances techniques serait en mesure d’identifier toutes les personnes infectées avec lesquelles il est entré en contact. Ceci pourrait avoir des conséquences négatives, notamment dans des environnements personnels ou professionnels fermés (pensez, par exemple, à certains personnels soignants qui se plaignent d’être traités sur leur lieu de leur résidence comme des « pestiférés » juste du fait de leur activité professionnelle…).
Un autre projet, qui implique surtout des chercheurs français (et à laquelle est notamment impliquée l’équipe Privatics de l’INRIA) et allemands, essaye de corriger cette faille en partant de la présomption que des utilisateurs peuvent aussi être malveillants.
Ce projet se fonde donc sur une architecture centralisée (qui ne collecte aucune donnée personnelle), mais qui garantit par des moyens divers (identifiants anonymes et régulièrement renouvelés générés à l’aide de procédés cryptographiques, contrôle étroit par des autorités administratives indépendantes comme la CNIL ou l’ARCEP, etc.) que l’État n’aura aucune possibilité de détourner l’utilisation du système (et notamment de tracer les utilisateurs ou d’apprendre leurs contacts - graphes sociaux).
Il peut être normal que des projets d’architecture différents soient sur la table, chacun procédant d’hypothèses différentes sur la nature des « adversaires » possibles. Chaque pays est souverain de choisir l’architecture et l’option qu’il préfère. Ce qui est important est que ces projets se fondent sur des bases scientifiques et technologiques solides et que l’on puisse garantir l’interopérabilité.
Comment éviter de créer un faux sentiment de sécurité ? (= « mon application est silencieuse, donc je ne suis pas covid-19 positif»)
Une telle application de « traçage de proximité » sera seulement un outil complémentaire dans une boite à outils incluant évidemment toutes les mesures barrières et un dépistage massif. Cela pourrait être un outil utile, mais en aucun cas il ne devrait conduire à une baisse de la vigilance.
Dit autrement, quelle serait l’efficacité d’une telle application sans un test généralisé à l’ensemble de la population ?
L’idée du Conseil scientifique est précisément de combiner l’usage de cette application avec un dépistage très important. Imaginons qu’à la fin du confinement on dispose de beaucoup plus de tests qu’aujourd’hui, mais pas suffisamment pour tout le monde. La fonction de l’application sera, précisément, de permettre aux personnes qui ont un « score de risque » élevé d’être testées en priorité.
La CNIL explique que ce traitement doit nécessairement s’appuyer sur un consentement des utilisateurs ou d’une loi dédiée. Partagez-vous l’analyse sur le terrain du RGPD ?
Même si le système imaginé par l’initiative paneuropéenne est un système fondé sur des identifiants Bluetooth anonymisés qui, en tant que tels, ne devraient pas tomber sous le coup du RGPD (les données anonymes ne permettant pas la réidentification des individus ne sont en effet pas considérées comme des « données personnelles ») il me semble que l’objectif est que l’utilisation d’une application de ce type soit volontaire.
Il s’agit d’un outil qui vise à faciliter la vie des gens et protéger leur santé et la santé publique. Les personnes doivent pouvoir maitriser pleinement leurs données à tout moment : télécharger/utiliser ou non l’application, mettre fin à son utilisation avec la garantie que les données sur leur téléphone et sur le serveur soient effacées définitivement, arrêt du service et des collectes une fois la période de crise achevée (même si l’application reste installée), etc.
Si, néanmoins, les pouvoirs publics décidaient de rendre obligatoire une telle application ou de subordonner la sortie du confinement à son téléchargement (ce qui rendrait le consentement non libre), une loi serait alors nécessaire, comme le prévoit l’article 15 de la directive e-Privacy de 2002. Une telle loi devrait, bien entendu, être accompagnée d’un nombre particulièrement important de conditions et garanties et être adoptée seulement pour la période de la crise.
Une fois levé le confinement, comment assurer l’efficacité de cette solution à l’échelle européenne ?
Précisément, l’idée est de trouver une solution paneuropéenne comme le Contrôleur Européen de la Protection des Données l’a appelé de ses vœux. Il y a deux possibilités : soit des systèmes différents, mais interopérables, soit utilisation d’un seul et même système. Si le projet PEPP-PT aboutit, l’application pourrait être fonctionnelle dans l’ensemble de l’Union Européenne permettant de continuer à effectuer un « traçage de proximité » quand on voyage dans d’autres pays.
Garantir la confiance des citoyens européens dans une telle solution numérique, en leur donnant l’assurance que l’application respecte scrupuleusement le droit européen de la protection des données (non-identification, limitation des finalités, minimisation des données, nécessité, proportionnalité, sécurité, durée limitée de conservation/suppression, contrôle, existence de voies de recours, transparence, garanties sur le caractère temporaire et le démantèlement du système quand la situation ne l’exige plus…) est évidemment important pour assurer l’utilisation large du système et son efficacité.
