Par Gérard Haas et Ambre Bernat
Le 28 avril 2020, Monsieur le Premier Ministre a confirmé la volonté de mettre en place une application de traçabilité et de suivi des cas de contact avec les personnes infectées par le virus du Covid-19. Il indique néanmoins que les conditions et les moyens de mise en œuvre de ce dispositif ne sont pas encore officiellement arrêtés. Une fois les détails de fonctionnement de l’application définis, un débat spécifique sera prévu à l’Assemblée Nationale pour en voter le déploiement ou non.
L’occasion de faire le point sur le pour et le contre de ce que nous connaissons de cette application qui fait débat.
1. Ce que l’on sait de son fonctionnement
Le Gouvernement français a confié à l’Institut de Recherche en Informatique et en Automatique (INRIA) le pilotage opérationnel du projet de recherche et développement baptisé « StopCovid » qui réunit l’INRIA, l’ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings. Cette équipe-projet StopCovid composée d’acteurs publics et privés travaille à la mise en place d’une application mobile de contact tracing.
L’INRIA dévoile ainsi le protocole « ROBERT » (pour ROBust and privacy-presERving proximity Tracing) qui vient s’opposer aux partisans d'une approche « décentralisée » (dont DP-3T, Apple et Google), en optant pour ce qu'il qualifie de « centralisation décentralisée » car le protocole envoie « sur chaque smartphone la liste de l’ensemble des crypto-identifiants des personnes diagnostiquées comme positives ».
Concrètement que prévoit le protocole ROBERT ? Chaque personne reçoit des pseudonymes temporaires à travers son téléphone portable. Lorsque le Bluetooth du téléphone reçoit le signal d’un autre Bluetooth pendant une période de temps à définir (1 minute, 5 minutes, 15 minutes ?...), il enregistre le pseudonyme de cet autre terminal. A la fin de la journée le téléphone a donc enregistré une série de pseudonymes qui correspondent à des téléphones qui ont été à proximité. Cette liste est envoyée à un fichier central qui enregistre tous les contacts qu’ont eu les différents pseudonymes entre eux durant les dernières semaines.
Si une personne est infectée et le déclare, toutes les personnes ayant été en contact avec elle et ayant enregistré le pseudonyme de la personne infectée grâce à l’utilisation du Bluetooth, recevra une notification lui indiquant la possibilité qu’il ait été infecté.
Doivent en principe suivre un test de dépistage volontaire et les mesures d’isolement appropriées.
Dès le début du projet, la protection de la vie privée et des données personnelles a été une préoccupation pour les citoyens et les autorités.
C’est pour cette raison que les recherches se sont davantage portées sur l’utilisation du Bluetooth plutôt que de la géolocalisation pour repérer les personnes qui ont été en contact. Le Bluetooth ne permet pas de savoir où se trouvaient les personnes qui étaient à proximité l’une de l’autre. Cela restreint le nombre d’informations collectées et le nombre de possibilités de déduction notamment concernant le respect du confinement ou les habitudes de chacun durant cette période de crise.
De plus, en étant pseudonymisées, les données collectées ne permettent pas à la personne contaminée de savoir par qui elle l’a été. Le protocole ROBERT garantit que personne, à l'exception du médecin, n'a accès à cette information. Même la base de données centrale n’a pas l'information de qui a été diagnostiqué positif au Covid-19. Elle ne reçoit que les pseudonymes temporaires de toutes les personnes qui ont été en contact avec une personne infectée.
Si un nombre suffisant de personnes utilise une application mettant en œuvre le protocole ROBERT, cela pourrait permettre de faciliter le travail de traçage et de suivi du virus et de prendre les mesures de dépistage et d’isolement nécessaires à l’enrayement de l’épidémie.
Le premier problème est celui précisément du nombre d’utilisateurs nécessaire pour que le protocole ait un réel impact sur l’épidémie. Les épidémiologistes estiment que, pour que l’application soit efficace, 60 %, voire 80 ou 100% de la population devrait l’installer. Or, selon le baromètre du numérique 2019, si 95% des français sont équipés d’un téléphone portable, seulement 77% possèdent un smartphone. Pour les plus de 70 ans, qui sont parmi les plus vulnérables, cette proportion baisse encore à 44%.
Singapour qui a déployé une application contact tracing, régulièrement montrée en exemple, n’a pourtant pas réussi à éviter la mise en place d’ un confinement généralisé, proche de celui qui est en vigueur en France. Non obligatoire, l’application TraceTogether, n’a été téléchargée que par environ 16% des singapouriens pourtant très sensible aux nouvelles technologies.
Le second problème concerne la fiabilité du Bluetooth. En effet, tous les appareils ne sont pas équipés d’un Bluetooth ayant les mêmes performances, la même portée ou la même activité. Jaap Harsten, l’inventeur du Bluetooth, a lui-même quelques réserves quant à l’utilisation de cette technologie pour suivre les contacts de personnes contaminées : « Vous pouvez garder une trace de qui a été à portée radio grâce au Bluetooth. Mais la portée n'est pas la même chose que la distance. La portée est déterminée par la puissance d'émission, la sensibilité de réception, la distance et l'environnement (murs, obstacles, réflecteurs, etc.). Vous pouvez déduire la distance de la portée, mais ce n'est pas très précis. Au sein du Bluetooth Special Interest Group, les gens sont occupés à déterminer la distance (précision d'environ un mètre), mais ce n'est pas encore ça. Il faudra attendre encore quelques années avant que cela ne soit possible à grande échelle avec les téléphones. »
Le « contact » du point de vue de la technologie Bluetooth n’est donc pas forcément le même que d’un point de vue épidémiologique. Cela pourrait entrainer de faux positifs ou de faux négatifs qu’il faudra quoi qu’il en soit traiter de façon humaine.
Le chef de produit de TraceTogether, explique d’ailleurs sans détours : « Si vous me demandez si un système de suivi des contacts Bluetooth déployé ou en cours de développement, partout dans le monde, est prêt à remplacer le suivi manuel des contacts, je répondrai sans réserve que la réponse est non ».
Les enquêtes humaines de suivi qui consistent à poser un certain nombre de questions aux personnes contaminées pour essayer de retrouver toutes les personnes avec lesquelles elles ont pu être en contact les derniers jours, permettent de prendre en compte ou d’écarter certaines informations suivant leur niveau de pertinence, ce que fera mal un algorithme. C’est pourquoi, pour de nombreux acteurs tant médicaux que technologiques, le contact tracing ne peut se contenter de n’être qu’automatisé et doit être au mieux, complété par des entretiens avec des spécialistes capables d’évaluer les informations à traiter. Ces entretiens sont aussi l’occasion de rassurer et de conseiller les personnes atteintes par le virus. Ils ont une vertu pédagogique et tranquillisante.
Cette complémentarité avec le suivi humain demande néanmoins que l’application ne soit pas anonymisée et que non seulement le médecin mais aussi les équipes d’enquêteurs épidémiologiques aient accès à l’identité des personnes touchées car il faut pouvoir les contacter. Cela pose alors un nouveau problème de protection de la vie privée.
L’anonymisation est un vecteur de protection de la vie privée et des données personnelles. Cependant, le fait d’anonymiser les données empêche la réalisation d’enquête complémentaire et soumet la liberté d’aller et venir au seul algorithme. En effet, un faux positif serait prié de s’isoler et de se confiner sur la seule base du contact repéré par l’application et il serait impossible de vérifier ou de démontrer le contraire puisque toutes les données seraient anonymes. Il serait également impossible d’aider cette personne à se procurer un masque ou à protéger ses proches en fonction de sa situation.
Dans le cas du protocole ROBERT, le projet ne repose pas sur l’anonymat mais sur le pseudonymat, ce qui le fait entrer dans le champ d’application du RGPD. La CNIL estime que le protocole respecte le principe de privacy by design puisque l’utilisation des pseudonymes ne permettra pas de remontée de listes de personnes contaminées. Mais cela vient encore une fois compliquer le travail des enquêteurs épidémiologistes et les priver d’un dialogue parfois nécessaire avec les personnes contaminées.
Sur le consentement également, certaines clarifications doivent être apportées. Tout d’abord en tant que base légale, la CNIL considère que le consentement ne constitue pas un fondement approprié et lui préfère « la mission d’intérêt public » au sens des articles 6.1 e) du RGPD et 5.5° de la Loi Informatique et Libertés. Elle recommande également qu’une norme législative encadre la mise en œuvre du dispositif.
Cette recommandation quant à la base légale n’exclut pas et ne doit pas exclure le principe du volontariat des utilisateurs. L’autorité de contrôle rappelle alors que le volontariat ne doit pas se traduire par la simple faculté de télécharger ou non l’application. Il doit également être garanti par le fait qu’aucune conséquence négative ne découlera du refus de la télécharger. On ne peut donc y conditionner l’accès aux soins ou aux tests, la possibilité de se déplacer ou d’utiliser les transports en commun etc. De même « les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application. Ceci constituerait en outre, en l’état du droit et selon l’analyse de la Commission, une discrimination. »
Les données collectées dans le cadre du protocole ROBERT ne pourront pas non plus être utilisées à d’autres fins que la gestion de la crise dans le respect du principe de limitation de finalité, de proportionnalité et de minimisation des données collectées. « Cette garantie fondamentale implique en l’espèce que la collecte et le traitement de données opérés par l’application revêtent un caractère temporaire, d’une durée limitée à celle de l’utilité du dispositif au regard des finalités précédemment décrites. »
Même si l’hypothèse d’une exploitation statistique ou à des fins de recherche scientifique n’est pas écartée, la CNIL demande à ce qu’elles soient réalisées en priorité sur des données anonymisées ou à défaut dans le strict respect des règles fixées par le RGPD et la Loi Informatique et Libertés. Le gouvernement doit donc apporter des certitudes quant à l’utilisation et la destruction de ces données.
Enfin, de nombreuses voix s’élèvent pour mettre en garde contre une potentielle acclimatation à ce type de suivi. La CNIL, mais aussi la Quadrature du Net ou encore Framasoft parlent du danger de la banalisation du suivi des contacts d’une personne. Le recours à ce type d’application a le double effet de renforcer la croyance selon laquelle la technologie peut solutionner tous nos problèmes et de rendre acceptable pour cela que nous renoncions à une partie de nos libertés individuelles. Il y a une véritable peur que cette application soit la première marche vers une acceptation globale des systèmes de surveillance et pourquoi pas, la possibilité d’y ajouter un jour des fonctions coercitives de contrôle sur la population.
Toutes ces questions doivent donc être mises en balance avec l’impact attendu du déploiement de l’application sur la gestion de la crise sanitaire que nous traversons. C’est une problématique de proportionnalité liberté/sécurité qui doit prendre en compte l’efficacité des technologies utilisées à ce jour et les risques médicaux mais aussi démocratiques à venir.
***
Vous souhaitez en savoir plus sur les principes fondamentaux de protection des données à respecter ? Le Cabinet HAAS Avocats est à votre disposition pour répondre à toutes vos questions et vous accompagner sur tous les aspects de protection de la vie privée numérique. Pour nous contacter, cliquez-ici.