Collecter des données personnelles n’est pas anodin dans une société démocratique. Rappelons des règles essentielles sans lesquelles la démocratie n’existerait pas. Celles-ci sont posées, notamment, par la Convention Européenne des Droits de l’Homme. La Cour Européenne des Droits de l’Homme (CEDH) rattache au droit au respect de la vie privée posé par l’article 8 de la Convention, la protection des données personnelles. Son arrêt du 6 septembre 1978 a posé, au sujet de l’écoute des conversations téléphoniques par la République fédérale d’Allemagne, des principes que l’on peut en tous points transposer à la situation actuelle. Il s’agissait alors de lutter contre le terrorisme, il s’agit maintenant de lutter contre un virus.
Si la CEDH admet que l’existence de dispositions législatives accordant des pouvoirs de surveillance secrète des télécommunications est, devant une situation exceptionnelle, nécessaire dans une société démocratique à la sécurité nationale et/ou à la défense de l’ordre, elle souligne que les États ne disposent pas pour autant d’une latitude illimitée pour assujettir à des mesures de surveillance secrète les personnes. Consciente du danger, inhérent à pareille loi, de saper, voire de détruire, la démocratie au motif de la défendre, pour reprendre ses mots, la CEDH affirme que les Etat ne sauraient prendre, au nom de la lutte contre l’espionnage et le terrorisme, n’importe quelle mesure jugée par eux appropriée. Quel que soit le système de surveillance retenu, la Cour doit se convaincre de l’existence de garanties adéquates et suffisantes contre les abus. Il en est de même au niveau national en France. Dans sa décision du 22 mars 2012, le Conseil constitutionnel considère qu’au regard du droit au respect de la vie privée, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel par les pouvoirs publics doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif.
Tracking ou tracing de la population : le cahier des charges juridique à respecter
Les décisions précitées de ces Hautes Juridictions nous donnent les points structurants de la réflexion.
Il faut un « motif d’intérêt général » : c’est là le plus important et c’est certainement là où le bas blesse. En quoi la surveillance des déplacements des individus va permettre de lutter contre la contamination au Covid-19 ? Il faudra que le Législateur, si le pas est franchi, donne des éléments suffisamment précis pour justifier de l’efficacité d’une telle mesure, sauf à encourir le grief d’inconstitutionnalité de loi. Passons en revue les technologies qui sont évoquées ces derniers jours.
Les applications de « contact tracing »
En présentant le projet d’application « StopCovid », Cédric O, secrétaire d’Etat au numérique, déclare au journal Le Monde « l’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif, afin qu’elles se fassent tester elles-mêmes ». Encore faut-il que le pays soit maillé d’un réseau de laboratoires rapides et efficaces pour réaliser ces tests. Inutile de lancer l’application s’il n’y a pas de tests pour tout le monde ! Au final, si la France parvient à mettre en place une infrastructure de tests qui tient la route, l’application sera-t-elle encore utile alors que l’on pourrait plutôt souhaiter que les personnes déconfinées soient toutes testées au rythme du déconfinement ?… En outre, le risque de faux-positifs dans les zones de fortes populations (particulièrement dans les transports urbains) fait douter de la réelle efficacité du contact tracing. Au cœur de l’épidémie, alerter de manière inutile des personnes qui n’ont pas été réellement en contact avec un porteur du virus pourrait être contre-productif. L’application semble donc présenter une utilité à plus long terme, pour lutter contre une résurgence de l’épidémie.
Pour prévenir toute critique, le secrétaire d’Etat déclare que l’application serait installée volontairement. Ce qui finalement fait douter tout simplement de son utilité car on s’accorde à considérer qu’il faut un usage par plus de 60% de la population de ce type d’application.
Il convient également que la mesure de traçage soit mise en œuvre avec les « garanties adéquates ». Aujourd’hui, hormis les plus jeunes et les plus âgés, toute la population dispose d’un téléphone portable (il y a 74 millions de cartes SIM actives). Il faudrait donc pour mettre en place le contact tracing organiser une base de données des interactions sociales de l’ensemble de la population française sur une vingtaine de jours glissants. On imagine le défi en terme de sécurité informatique, car il faudrait garantir l’anonymat des porteurs avérés du virus.
Les applications de « geo-tracking » à grande échelle
S’il s’agit d’étudier en masse les déplacements de la population pour anticiper l’évolution de l’épidémie, deux sources de données sont sollicitées : celles du réseau des bornes des opérateurs mobiles et celles collectées par les applications sur smartphones. L’atteinte aux libertés individuelles est ici moins à craindre si l’on est en mesure d’anonymiser les données.
Mais en la matière rien n’est simple. Des études montrent les difficultés grandissantes à anonymiser de manière fiable une grande quantité de données. Le croisement des données anonymisées avec d’autres données disponibles permet la réidentification des personnes. Ainsi, pour prendre un exemple connu des spécialistes, en partant des listes électorales du Massachusetts, il est possible de réidentifier 79% de la population de cet Etat avec un fiabilité de 80% dans les données supposée de-identifiées des clients d’une compagnie d’assurance et ce par le croisement des seules informations suivantes : code postal, date de naissance et sexe. En ajoutant le nombre d’enfants à ces informations, la fiabilité de la réidentification passe à 99,8%
Tout le débat démocratique doit donc se porter sur notre capacité technique à correctement anonymiser les données. C’est malheureusement un sujet très peu mis avant et dont la compréhension est limitée à quelques spécialistes. Or, les sujets qui touchent à la préservation des libertés individuelles ne peuvent se reporter uniquement sur la confiance que l’on place dans des experts. Rappelons-nous que ce qui est technologiquement sûr aujourd’hui, ne le sera rapidement plus.
Les applications de « geo-tracking » individualisées
Le Big Brother de 1984 ne les aurait pas reniées. Un pays européen comme la Pologne y a pourtant recours. Il s’agit, par l’usage d’un téléphone mobile, de vérifier qu’une personne assignée en quarantaine respecte son confinement.
Nous espérons qu’une telle application ne puisse s’inviter dans le débat en France tant elle bouleverserait les valeurs fondatrices de notre société : un malade n’est pas un criminel et les modalités de la contamination par le Covid-19 sont encore scientifiquement trop peu définies pour que l’on puisse considérer que le porteur du virus attente volontairement à la vie d’autrui en se déplaçant.