Traçage des citoyens français par l’Etat : quelles garanties juridiques ?
Nous ne concevons pas l’idée de vivre dans une société où les autorités seraient capables de tracer le moindre de nos mouvements, de vérifier, à leur guise et en continu, notre pression artérielle, notre température corporelle, notre rythme cardiaque.
La France est la “patrie des droits de l’homme” et nous sommes très attachés à nos droits et libertés.
Il y a quelques mois, nous ne concevions pas non plus le fait de devoir nous munir d’une attestation pour justifier nos déplacements.
Pourtant, nous avons compris que ces mesures étaient nécessaires pour enrayer la propagation du virus et soulager les services de réanimations. La plupart d’entre nous avons rapidement intégré cette réalité.
Nous vivons dans une société ultra connectée et c’est assez naturellement que l’usage des outils numériques pour combattre le covid se pose.
Bien entendu la mise en place d’un tel dispositif nourrit des inquiétudes. Nous affirmons que la société va changer. Mais nous ne savons pas comment. Et le climat anxiogène de ces dernières semaines est un terreau fertile aux prévisions alarmistes.
Nous craignons de devoir sacrifier notre vie privée comme nous avons pu le faire temporairement avec notre liberté de circuler.
Quelles garanties nous offrent le droit ?
En réalité, le traçage par le gouvernement est limité par des gardes fou juridiques. Ces gardes fous ne sont pas gravés dans le marbre et l’interrogation est un réflexe positif pour freiner le risque de mise en place d’une société de surveillance totalitaire.
Garde fou n°1 : Le cadre législatif
Je prends les transports en commun pour me rendre sur mon lieu de travail. Je monte dans une rame de métro dans laquelle se trouve quatre autres personnes. Je m’assois à côté de l’une d’entre elle. Il s’avère que cette personne a été testée positive au Covid-19 il y a quelques jours. Si elle est également utilisatrice de l’application, je recevrais une notification afin que je puisse à mon tour me faire tester, me confiner et être pris en charge si nécessaire.
Tel est l’objectif affiché par l’application StopCovid lancée le 2 juin dernier. Le but est d’identifier les chaînes de transmission afin de limiter la diffusion du virus. La mise en place de ce système nécessite de manipuler des données sensibles afin de retracer nos déplacements et identifier nos potentiels contacts avec des personnes malades.
L’application StopCovid se base sur les communications Bluetooth pour enregistrer les contacts entre les individus. Ce système ne repose pas sur la géo-localisation précise des utilisateurs. De cette manière, à chaque fois que deux téléphones sont à une distance proche, il y a échange - par Bluetooth - de leur pseudonymes de l’instant, et enregistrement du jour et l’heure de l'échange. Ces informations sont stockées dans le téléphone de chaque utilisateur pendant deux semaines.
Les autorités garantissent l’anonymisation de la base de donnée. En réalité, les informations collectés sont pseudonymisées, ce qui signifie que les malades sont identifiés par un code et un numéro indépendant de leur identité réelle. Il sera toujours possible de désanonymiser ces informations en les combinant à d’autres informations présentes sur le registre.
La base de donnée n’est donc pas totalement anonyme. L’application comporte des données personnelles et sera soumis au respect des grands principes du RGPD.
Nos données personnelles sont en effet protégées au niveau européen par le Règlement Général sur la Protection des Données. Cette législation s’applique à toute les entités qui collectent les données personnelles des résidents de l’UE. Les autorités publiques ne sont pas exonérées de l’application du Règlement et doivent s’y conformer à l’instar des acteurs du privée.
Pour être légale, l’application devra notamment :
Fournir une information compréhensible du type de données collectées.
Obtenir le consentement de l’utilisateur quant à la collecte de ses données (qui doit être libre de ne pas utiliser la solution retenue)
Sécuriser les données recueillies.
Il faut être particulièrement vigilant à ce dernier point. Assurer la sécurisation des données personnelles nécessitent des efforts techniques qui demandent du temps. Les créateur de l’application doivent investir dans différents systèmes de prévention contre les failles, contrôles d’accès etc. L’urgence de la situation ne doit pas empêcher la mise en place de barrières solides contre le détournement et le pillage des données.
Garde fou n°2 : La présence nécessaire d’un danger public exceptionnel
Comment a t-il été possible - dans une démocratie aussi installée que la notre - d’interdire à la population d’aller à la plage, de flâner dans les rues, de rejoindre des amis ou même de rendre visite à sa famille ?
Qu’est-ce qui a permis au gouvernement de fermer l’ensemble des commerces non essentiels et de réduire nos déplacements au strict minimum ?
La présence d’un danger public exceptionnel.
Une dérogation aux droits de l’homme est possible lorsque l’existence même de la nation est en péril en raison d’une catastrophe, d’un conflit armé, d’une attaque terrorisme ou d’une pandémie.
Avec le confinement, c’est la liberté de circulation et de réunion qui ont été mise à l’épreuve au profit de la sécurité sanitaire ou plus largement du droit à la vie et à la santé.
La restriction doit être proportionnelle à l’objectif poursuivi.
Il faut mettre en balance les deux droits en cause pour prouver que l’entrave est nécessaire et proportionnelle à la poursuite du résultat souhaité, à savoir la cessation du danger public exceptionnel.
Autrement dit, il faut se poser la question suivante : la restriction de la liberté de circuler est elle une mesure nécessaire et proportionnelle à l’enrayement du virus et à la protection de la population ?
Si les libertés de circulation et de réunion ont été sacrifiées sur l’autel de la sécurité sanitaire, peut-on risquer de voir notre vie privée bafouée pour les mêmes raisons ?
Oui. Mais encore faut-il que la mesure soit considérée comme nécessaire et proportionnelle. Le Conseil d’Etat, dans sa décision du 18 mai 2020, a enjoint l’Etat de cesser la surveillance par drone de la population parisienne. La mise en place d’un tel dispositif doit évidemment respecter le principe de proportionnalité. Il ne pourra être envisagée qu'après l'intervention du pouvoir réglementaire et l'avis de la Commission nationale de l'informatique et des libertés.
La restriction doit être limité dans le temps.
Si les pratiques restrictives doivent répondre à un objectif précis, elles ont aussi une durée limitée.
La mise en place d’un dispositif exceptionnel est la conséquence d’une situation exceptionnelle. Lorsque l'événement cesse, la mesure aussi.
Le stockage des données permis par l’application StopCovid n’a pas vocation à perdurer. Il est limité aux 14 jours qui correspondent à la période d’incubation du virus.
Ces pratiques doivent être circonscrites à une durée précise, pour répondre à un objectif précis.
Dans un article consacré au Financial Time, Yuval Noah Harari pointe le risque de la normalisation des mesures exceptionnelles. A terme, il craint la mise en place d’une société de surveillance totalitaire.
“ Les mesures temporaires ont la fâcheuse habitude de durer plus longtemps que les urgences, d’autant plus qu’il y a toujours une nouvelle urgence qui se profile à l’horizon”.
C’est ainsi que la plupart des mesures prises lors de l’Etat d’urgence promulgué au lendemain des attentats terroristes de novembre 2015 sont aujourd’hui inscrites dans le droit commun.
Rappelons toutefois que l’application n’est pas obligatoire. Les autorités s’emploient à être le plus transparent possible - en partageant le code source de l’application par exemple - pour justifier le fait que notre vie privée ne serait pas en danger.
Bien sur, il ne faut jamais oublier que le modèle démocratique n’est pas intangible. Les lois peuvent être abolies, les grands principes bafoués.
Les décisions qui - en temps normal - font l’objet de débats et de réflexions, sont prises en quelques heures pour répondre à l’urgence.
Alors que 44% des plus de 70 ans ne possèdent pas de smartphone, il est légitime d’interroger la proportionnalité de cette mesure qui ne bénéficiera pas directement au groupe le plus à risque.