L’application StopCovid : évidence européenne ou paradoxe à la française ?

Des passants à Paris, le 16 avril 2020. Eric Piermont/AFP

« Nous voulons être dépistés mais pas pistés », entend-on sur les ondes, formule qui illustre le débat passionné qui anime la presse et les réseaux sociaux.

Le projet d’application mobile de contact tracing (traçage numérique) StopCovid, visant à permettre à ses détenteurs d’être informés en cas de contact « caractérisé » avec une personne infectée, donne lieu à des propos souvent clivants, opposant sans nuance l’absolue protection de nos libertés à la nécessité de tout mettre en œuvre pour tenter de sortir de la crise sanitaire.

Face à cette crise globale, la réponse doit être globale

La pandémie touche pour la première fois tous les pays du monde et tous les secteurs de la vie économique et sociale. Les moyens comme l’approche politique pour lutter contre la prolifération du coronavirus ne peuvent donc pas raisonnablement se limiter à l’échelle nationale. La Commission européenne n’a d’ailleurs pas manqué de soutenir les États membres dans leurs réflexions en publiant une boîte à outils commune ainsi que des Orientations relatives aux applications soutenant la lutte contre la pandémie. Le réseau E-health, qui assure la coopération entre les diverses autorités nationales de santé, a également contribué à cette réflexion globale.

Outre des outils communs de conception d’une application numérique, largement repris par le projet français, l’UE pose une contrainte technique, celle de l’interopérabilité des systèmes conçus dans chaque État membre, contraignant ces derniers à ne pas faire cavalier seul pour choisir et développer une technologie de contact tracing. Cette interopérabilité doit aussi être RGPD-compatible (conformément au Règlement européen relatif à la protection des données du 27 avril 2016), ce qui assure en principe un niveau de protection des droits individuels sans égal à ce jour dans le monde. Ce patrimoine juridique commun doit servir de base de réflexion pour chaque débat national.

Le président du Conseil européen Charles Michel tient une conférence de presse sur la réponse de l’UE à la crise Covid-19 au siège de l’UE à Bruxelles le 15 avril 2020. John Thys/AFP

Sans verser dans le « solutionnisme technologique », il ne fait nul doute que l’innovation numérique a toute sa place dans nos démocraties. En revanche, l’adoption d’une application de contact tracing devrait être conditionnée à l’existence d’un cadre juridique précis et surtout à une efficacité attendue au regard de finalités préalablement et précisément définies.

Le débat nous semble fondamental pour fixer les garde-fous juridiques et éviter que cette application ne devienne un prétexte ou un passeport sanitaire qui briderait trop fortement nos libertés.

La faisabilité juridique d’une application numérique de contact tracing

Le RGPD ainsi que la Directive e-Privacy du 12 juillet 2002 (en cours de réforme au niveau européen) définissent le cadre juridique applicable à la collecte de données personnelles, y compris de santé pour le premier et de géolocalisation pour la seconde. Toute application doit donc d’abord et avant tout être conçue à partir de ces textes, pour protéger le droit des personnes à maîtriser leurs données.

Le gouvernement français ainsi que l’INRIA (Institut national de recherche en sciences et technologies du numérique), chargé du développement de l’application, ont d’emblée affirmé vouloir retenir un niveau élevé de protection, garantie par une approche privacy by design, la contrainte du respect de la protection des données étant intégrée, nativement, dans la conception même de l’application.

Dans la logique européenne, l’utilisation de l’application serait fondée sur le consentement des individus, elle ne permettrait pas de connaître l’identité de la personne infectée croisée, pas plus que le tracking ou la géolocalisation des individus. Enfin, l’application serait supprimée à l’issue de la crise sanitaire. L’application numérique garantirait ainsi les principes européens de protection des données personnelles.

Pour être licite, tout traitement de données doit par ailleurs répondre à des principes bien déterminés à ce jour. Tout d’abord, il doit respecter le principe de transparence. L’INRIA a déjà communiqué sur la démarche paneuropéenne adoptée et sur les contours du protocole de communication « ROBERT » pour ROBust and privacy-presERving proximity Tracing. L’institut a ensuite annoncé que l’application serait disponible en open source afin, notamment, de garantir son interopérabilité entre les différents pays européens. Les applications déployées seront en effet nationales mais disposeront de « briques » communes afin de pouvoir communiquer entre elles et permettre le contact tracing par-delà la frontière nationale.

StopCovid doit aussi assurer l’information des futurs utilisateurs au moment où elle sera téléchargée sur leur smartphone. La finalité poursuivie et les fonctionnalités de l’application devront être clairement énoncées. Dans l’hypothèse où l’application pourrait intégrer différentes fonctionnalités (information, recherche de contacts, envoi d’avertissements, etc.), la Commission européenne a indiqué qu’un consentement spécifique pour chaque finalité serait nécessaire afin de permettre aux individus de conserver le contrôle de leurs données.

Le principe de minimisation implique que seules les données strictement nécessaires à la réalisation de la finalité fixée devront être traitées. Par exemple, les données de proximité ne devront être traitées que s’il existe un risque réel de contamination, lequel dépend de l’étroitesse et de la durée du contact. Par ailleurs, la Commission européenne ainsi que la CNIL en France ont indiqué que seules les autorités sanitaires nationales détermineront les finalités et les moyens du traitement des données et que l’éventuelle divulgation et/ou accessibilité des données devra être strictement limitée.

La Commission européenne insiste sur la nécessité de définir, au niveau de chaque État, une base juridique spécifique pour préciser la mise en œuvre nationale de ces principes. La loi devra ainsi définir la finalité de l’application, l’identité du responsable de traitement et des éventuels destinataires ainsi que les garanties juridiques offertes aux personnes concernées.

En outre, des mesures devront être prises pour minimiser la durée de conservation des données traitées via l’application. Le critère de « fin d’épidémie » invoqué lors des débats devant la commission parlementaire française semble peu satisfaisant et, en tout état de cause, une suppression automatique des données devra être envisagée.

Enfin, les mesures de sécurité font également débat, la technologie Bluetooth soulevant notamment des problématiques techniques car elle ne fonctionne, en principe, que lorsque l’application est ouverte. Débloquer ce paramétrage pourrait engendrer des failles de sécurité plus larges sur les smartphones des utilisateurs.

Le droit actuel peut donc être mis au service de la sécurité de l’utilisation de l’application numérique StopCovid par les citoyens. L’enjeu véritable se situe à d’autres niveaux : celui de son acceptation sociale et, peut-être plus encore, celui de son efficacité.

Une application numérique comme outil de désescalade des mesures sanitaires ?

Les institutions européennes et les autorités nationales considèrent que l’application numérique sera un outil de gestion du « déconfinement » et, plus largement, de la réouverture des frontières intérieures de l’UE.

Les institutions européennes emploient la formule de « désescalade des mesures de confinement » et pas de « déconfinement ». Cette différence sémantique est centrale pour les politiques qui vont être déployées par la France à partir du 11 mai 2020. Si les États ont en majorité appuyé sur le bouton « off » pour stopper les chaînes de contamination, il ne suffit pas de trouver un bouton « on » pour revenir à la situation pré-Covid. La désescalade sera progressive dans le temps et dans l’espace. L’application de contact tracing peut être utile pour déterminer des décisions de confinement localisé et pour savoir quand reprendre la libre circulation des personnes.

Mais le strict respect des libertés individuelles et la mise en place de garde-fous juridiques sont-ils conciliables avec l’efficacité de cet outil numérique ?

Il est évident que l’application ne suffira pas à endiguer l’épidémie mais pourrait être un instrument de mise en œuvre d’une responsabilité collective, sous réserve de l’adhésion du plus grand nombre. L’efficacité de l’outil de traçage sera en effet fonction du nombre d’utilisateurs et de leur adhésion au principe – et donc au passage à l’échelle collective.

Si chacun a le droit de prendre le risque de mourir de ce qu’il veut, cela ne l’autorise pas à mettre en danger les personnes qu’il croise dans sa vie sociale. C’est finalement toute la difficulté de ce minuscule virus, qui au fond met en évidence les limites d’une conception exclusivement individuelle des droits humains.

Par ailleurs, comme l’a rappelé le professeur Delfraissy, Président du CARE (Comité d’Analyse Recherche et Expertise, rattaché à l’Élysée pour conseiller le gouvernement sur la gestion de l’épidémie, y compris sur l’opportunité de la mise en place d’une stratégie numérique de contact tracing), une telle application numérique ne peut fonctionner que s’il y a « de l’humain derrière le numérique ». L’identification de contacts positifs, pour être efficace, devra donc être associée à un arsenal de mesures préventives et/ou curatives, incluant des solutions de dépistage et de confinement individuel (notamment à l’hôtel). L’efficacité recherchée sous-tend ainsi l’alliance de la technologie et de l’humain comme prérequis nécessaires permettant de développer l’exercice effectif d’une responsabilité collective.

Ces questions sont fondamentales et doivent être débattues pour garantir la souveraineté numérique de l’Europe (et des États), l’acceptabilité sociale de l’application, gage de son efficacité en tant qu’instrument de lutte contre la propagation du Covid-19 et ce, dans le respect des droits des personnes.

Dans ce contexte extraordinaire de confinement général, où la liberté d’aller et venir, de commerce et d’autres encore sont largement limitées pour assurer la sauvegarde de notre santé publique, n’est-il pas paradoxal d’opposer l’efficacité d’une application numérique à la défense de notre vie privée ?

De la mesure avant toute chose… un arbitrage sera nécessaire. Les concessions individuelles et collectives devront s’accompagner de l’assurance d’une maîtrise juridique, technique et démocratique. Voilà ce qu’il faut attendre du débat public qui devrait avoir lieu à la fin du mois d’avril 2020.

Want to write?

Write an article and join a growing community of more than 105,300 academics and researchers from 3,358 institutions.

Register now