le 20/04/2020

Les applications de « contact tracing », une menace pour les libertés publiques ?

Audition devant la commission des lois à l'Assemblée nationale - Propos liminaire de Marie-Laure Denis, Présidente de la CNIL - mercredi 8 avril 2020

Le « contact tracing » ou pistage des téléphones, consiste, en période d’épidémie ou de pandémie, à retrouver les personnes qu’un porteur d’un virus a pu contaminer, pour les prévenir, confiner ou guérir. Il s’agit d’un moyen important pour lutter contre les virus, dont la propagation suppose le contact entre humains.  

L’efficacité de cette méthode, qui ne peut rivaliser avec la vitesse de propagation d’une pandémie, paraît susceptible, en revanche, d’être accentuée par le recours à l’outil numérique et en particulier, au vaste réseau d’informations que constitue celui des « smartphones », dont l’essentiel de la population est aujourd’hui doté. 

De nombreux pays, désireux de pouvoir engager, sans attendre, vers le déconfinement et la reprise de leurs activités économiques, sans prendre le risque d’un éventuel retour de la pandémie, réfléchissent à mettre en œuvre cette technique, alors que d’autres l’ont déjà instaurée. Mais, selon la sensibilité des populations concernées au respect des droits de l’Homme et aux libertés publiques, un tel choix risque d’être apprécié comme l’entrée dans une ère de surveillance numérique massive ou bien, au contraire, comme la simple volonté de recourir à tous les moyens de nature à mettre fin rapidement à une épidémie dont toutes les spécificités restent encore à découvrir. 

Le Président de la République paraît avoir été favorablement impressionné, lors de son passage récent en Corée du sud, par la méthode locale du contact tracing qui aboutit, à communiquer, sur des panneaux bien visibles, les innombrables informations collectées à tout instant, sur les vies quotidiennes, adresses et lieux de déplacement de milliers de personnes contaminées. 

L’un des comités scientifiques établis par l’Elysée, placé sous la présidence du professeur Jean-François Delfraissy a reçu, précisément, pour mission de réfléchir à « l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ».  

La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est aussi l’autorité française de protection des données personnelles, désirant s’assurer que le dispositif numérique ne serait pas susceptible de porter atteinte aux libertés publiques et aux données personnelles, a auditionné, le 31 mars dernier, le président du comité scientifique. 

Ainsi qu’il ressort de cette audition, il s’agirait de doter les personnes l’acceptant, d’un téléphone portable dont une application faisant appel au procédé de communication à courte distance : « Blue-tooth », permettrait aux autorités de connaître les identifiants des personnes dotées d’un tel équipement et ayant eu l’occasion de se rapprocher de ceux qui auraient, en se rapprochant, signalé saleur contamination. 

Pour le moment, il n’existe pas de projet définitif. Toutefois, le Président de la République, lors de son discours télévisé du 14 avril dernier, évoquant la perspective d’une levée progressive du confinement à compter du 11 mai prochain, a fait allusion, au titre des précautions qui seront prises, à l’utilisation d’applications numériques dédiées. 

Marie-Laure Denis, la présidente de la CNIL, interrogée le 08 avril à la commission des Loi de l’Assemblée nationale, à propos des applications de contact tracing, a tenu à souligner que la CNIL ferait, certes, dans le contexte actuel, preuve de pragmatisme, mais n’en prônerait pas moins les solutions les plus protectrices des libertés et que sa préoccupation serait d’apprécier si les mesures mises en œuvre étaient proportionnées aux buts recherchés et efficaces. 

Elle a précisé qu’en cas de suivi individualisé des personnes, il y avait deux solutions. Le suivi devrait reposer sur le volontariat, c’est-à-dire le consentement libre, spécifique, non-équivoque et éclairé. 

Il faudrait aussi qu’il respecte les principes de la protection des données : proportionnalité (que les dommages à la vie privée soient à la hauteur de l’efficacité du dispositif), durée de conservation, caractère provisoire, sécurité… Dans ce cas, il n’y a pas besoin de disposition législative.  

Un suivi individualisé des personnes qui ne reposerait pas sur le consentement, nécessiterait, d’une part, une disposition législative et, d’autre part, que le dispositif soit conforme aux principes de la protection des données. 

Seules les données nécessaires à des finalités explicites pourraient être collectées. S’agit-il d’informer celles et ceux ayant été en contact avec une personne porteuse du virus ou de vérifier le respect du confinement ?  

La Présidente de la CNIL a ajouté qu’un strict respect du principe du consentement devra être observé. Les modalités techniques des dispositifs doivent, par ailleurs, être minutieusement analysées, parce qu’elles ont une incidence sur la protection de la vie privée. Il faut enfin que ce soit temporaire.  

Les dispositifs doivent intégrer le droit des personnes à leur vie privée, pas seulement pour respecter l’Etat de droit, mais aussi parce que c’est un gage de confiance, sans lequel les utilisateurs potentiels de ces technologies seront peu disposés à les adopter. 

D’une façon générale, la Présidente de la CNIL estime que les solutions minimisant la collecte des informations, par exemple en utilisant un identifiant plutôt que des données nominatives, sont à privilégier. Le chiffrement de l’historique des connexions et le stockage des données sur un téléphone, lui apparaissent préférables à leur envoi systématique dans une base centralisée. 

 

En conclusion, le Gouvernement devra veiller à ce que les caractéristiques de l’application qu’il entend mettre en œuvre ne soient pas attentatoires à la vie privée et aux libertés individuelles. La technologie Bluetooth apparaît comme une solution adaptée puisque les données de connexion sont facilement anonymisables et que le Bluetooth n’enregistre pas les déplacements des personnes, contrairement à une puce GPS. Toutefois, le Gouvernement aura fort à faire en matière de pédagogie afin de bien expliquer à la population les vertus de son application mobile. 

Et c’est bien ici tout le problème. Pour que cette application fonctionne, il semblerait qu’il faille une majorité de français favorables à son installation et son utilisation. Or, sur un taux d’équipement des français en smartphones de l’ordre de 77%, cela suppose que l’application gouvernementale, pour pouvoir être efficace dans le ciblage des personnes pouvant être infectées par le virus, doit emporter une large adhésion de la population, ce qui ne semble pas gagné pour le moment. 

Aussi, il semblerait que, faute de pouvoir avoir un nombre suffisant d’utilisateurs et donc d’être efficace, on pourrait contester la pertinence du traitement et de la collecte, qui serait d’une certaine manière non proportionnée et par conséquent très fragile sur le plan juridique.