Une estimation risques / bénéfices qui reste à faire
Récapitulons : (i) le consentement, libre et éclairé, demeure sujet à débat ; (ii) l’anonymisation pourrait être illusoire voire contre-productive ; (iii) il n’existe pas, pour l’heure, d’encadrement législatif prévoyant les garanties en termes de durée limitée, de destinataires spécifiquement définis et de mesures techniques et organisationnelles (incluant l’incontournable AIPD) : l’application envisagée actuellement (même si elle se contente de relever des interactions techniques entre téléphones portables pour retracer les contacts avec des personnes potentiellement infectées au lieu de géolocaliser les individus) semble encore peu efficace, et insuffisamment conforme au RGPD.
Il n’est pas question de s’opposer à tout crin au recours à des solutions technologiques reposant sur des collectes de données. Le chargé d’études prospectives de la CNIL rappelle à cet égard que « Les données sont à la fois une technologie cognitive de mise en visibilité et un instrument d’action publique qui inclut une conception particulière du rapport gouvernant / gouverné. Ce dispositif de surveillance du virus et des populations est utilisé à des fins sanitaires et sécuritaires. En rendant visible le virus, sa propagation ou les déplacements des populations en temps de confinement, les données permettent d’appréhender un phénomène et de donner des prises à l’action ».
Mais puisqu’il s’agit bien d’instruments de surveillance, ces « coronoptiques » doivent convoquer une réflexion juridique et philosophique, dans le moment « foucaldien » actuel, et ce nonobstant l’urgence. En matière de technologie, la question est et demeure en tous temps, surtout les plus troublés : « qui garde les gardiens ? » En substance, qui doit se charger de la surveillance ? Qu’est-ce qui doit être surveillé ? Comment doit-on surveiller ? Quelles décisions prend-on sur la base des données collectées (alors même que la médecine sait que les données de dépistage sont parfois fragiles ou trompeuses – que dire alors de données simplement comportementales ?)
C’est à ces questions que le RGPD demande de répondre. Lorsqu’il est question d’assurer la transparence, la précision des finalités, la limitation dans le temps du traitement, la limitation des personnes susceptibles d’accéder aux données, leur protection contre les détournements, c’est une méthodologie qu’on doit faire respecter – exactement comme les essais cliniques doivent respecter des méthodologies scientifiques dûment établies pour avoir un caractère probant et donc fiable ; la méthodologie juridique impose qu’on encadre la collecte et l’usage des données afin que le traitement ne puisse pas donner lieu à des discriminations, dégénérer en surveillance totalitaire au prétexte de la santé publique, ni créer un précédent en la matière.
A titre d’exemple, si les applications numériques évoquées pourraient permettre le suivi de la pandémie et le déploiement de préconisations de quarantaine en pistant les contacts des personnes contaminées, ce qui relève de la santé publique, on peut en revanche s’inquiéter qu’elles puissent également être utilisées aux fins de contrôler le respect du confinement, qui est une mesure de police indirectement liée, et très restrictive en termes de libertés publiques. Les promoteurs de l’application expliquent que le but n’est pas de mettre en place une surveillance généralisée de la population : on leur répondra que cet argument est invalide, dès lors que la technologie peut permettre une surveillance généralisée de la population.
En matière de technologies de surveillance, les autorités doivent garantir – pas seulement s’efforcer d’assurer, mais garantir la transparence sur les traitements effectués et les destinataires des données, ainsi que la destruction des fichiers dès la crise passée. Les pratiques observées ces dernières années, notamment en matière de fichiers de police, n’invitant pas vraiment à la confiance, le contrôle citoyen est indispensable, sauf à poser les bases d’une société de contrôle dont nous ne voulons pas.
C’est aussi pour cela qu’il faut regarder les applications d’initiative privée avec la plus grande circonspection, car elles véhiculent le risque de détournements de finalités, et peuvent même propager… des virus informatiques. A cet égard, Apple et Google viennent d’annoncer qu’elles travaillaient sur le contact tracing pour combattre la pandémie. Cela peut paraître une bonne nouvelle, compte tenu de leurs capacités financières et des compétences techniques de leurs services R&D… mais qu’on permette ici aux juristes, habitués aux condamnations récurrentes de certains grands acteurs du numérique sur la base du RGPD, de se poser des questions quant au respect des règles susmentionnées par ces entreprises. Les données de santé de la population française iront-elles aux USA ? Comment y seront-elles protégées le cas échéant ?
Compte tenu du caractère intrusif de la finalité évoquée et du caractère sensible des données collectées, une telle application ne devrait qu’être fournie sous les auspices de l’Etat, et soumise au contrôle des autorités compétentes en matière de données personnelles. Ces applications permettent par construction, un suivi de masse de toute la population. Et à cet égard, certaines CNIL européennes sont plus que réticentes.
Dans tous les cas, une analyse d’impact est à mener. Le RGPD impose en effet d’effectuer une analyse exposant les risques encourus par les personnes physiques dont les données seront traitées via l’outil de traitement envisagé. L’article 35 du RGPD dispose que « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel ».
Compte tenu de l’échelle envisagée (toute la population), des données concernées (données de santé), des technologies utilisées, l’AIPD apparaît ici incontournable. C’est cette analyse qui pourra permettre de se prononcer sur le bilan à faire entre avantages espérés et risques induits par ce traitement de surveillance de masse.
Conclusion (provisoire)
Il est donc légitime de s’interroger sur le rapport bénéfice / inconvénients des applications de « contact tracing » dont l’efficacité est largement conditionnée par des facteurs qui lui sont extérieurs, en même temps qu’elle introduirait un précédent problématique en matière de suivi généralisé de la population…
Si les outils numériques et le « big data » peuvent fournir des approches inédites et efficaces à grande échelle, qu’on doit évidemment considérer pour optimiser nos chances d’enrayer la pandémie, on doit cependant se protéger du solutionnisme qui voudrait que nos problèmes soient réglés par des applications et des algorithmes qu’on sait parfois défaillants, et dont on n’assurerait pas l’encadrement juridique adéquat. Certes, chercheurs et développeurs travaillent actuellement à corriger les effets pervers mentionnés plus haut, à renforcer l’efficacité technique encore incertaine, et à limiter les impacts sur les libertés individuelles. Sera-ce suffisant ?
« StopCovid » n’arrêtera pas la pandémie, car c’est de la science médicale que la solution viendra. Les applications numériques doivent rester des outils, entre les mains des populations elles-mêmes et non pas de leurs dirigeants, pour que tout un chacun participe individuellement à cet effort, sans nous faire collectivement courir le risque d’un recul des libertés publiques.
Certaines voix se sont élevées pour rappeler que les crises telles que celle que nous connaissons, peuvent conduire à la suspension de certaines libertés publiques, mais qu’alors de telles mesures doivent être formellement limitées à ce qui est strictement nécessaire, soigneusement encadrées par la loi, extrêmement provisoires, et approuvées par voie démocratique, afin de ne jamais sacrifier les libertés publiques sur l’autel de l’urgence ou de la peur.
Ces précautions, qui pourraient paraître byzantines face à la menace sanitaire, sont néanmoins des garde-fous indispensables si nous voulons préserver les droits fondamentaux qui distinguent les pays démocratiques d’autres régimes bien moins enviables. C’est précisément dans la tempête qu’on éprouve la solidité de ces principes fondamentaux : la vigilance de tous est donc de mise, face à des traitements de données personnelles qui ouvriraient la voie à une société de surveillance bien plus liberticide encore, avec ou sans pandémie.
Il est aisé de critiquer d’autres pays, comme la Chine, pour le peu de cas qu’ils font des droits fondamentaux en temps normal ; il serait extravagant de s’aligner sur eux, même face à des défis exceptionnels – défis qui pourraient d’ailleurs être de moins en moins exceptionnels dans les années qui viennent. La tentation sécuritaire, qu’elle puise ses motivations dans la lutte contre le terrorisme ou les crises sanitaires, sera toujours un mauvais choix – et ce d’autant plus qu’elle s’avère le plus souvent, en définitive, inefficace contre les menaces en question.