ActualitéBusinessDecodeTech

[DECODE] Pourquoi est-il difficile d’imposer une app de tracking en France?

  • Le gouvernement développe actuellement StopCovid, une app de contact tracing pour lutter contre la propagation du Covid-19, sur la base du volontariat. Mais serait-il si difficile un jour d’imposer un tel outil?
  • Si lors d’une prochaine pandémie un gouvernement voulait imposer une app de géolocalisation croisée à des données de santé, il faudrait regarder du côté de l’article 9 du RGPD. Or, celui-ci autorise le traitement des données de santé relatives à une personne identifiée ou identifiable pour des motifs « d’intérêt public important ». Une pandémie pourrait entrer dans ce cadre.
  • En ce qui concerne les données de géolocalisation pures, différentes interprétations existent. De son côté, le Comité européen de la protection des données s’est appuyé sur la directive ePrivacy et a fait entrer sous la coupe de la « sécurité publique » une pandémie comme celle que nous vivons actuellement. Ainsi, il serait là aussi possible, selon lui, de se passer du consentement.
  • Mais même imposée, la réussite d’un tel projet ne pourrait reposer sur la seule coercition. A titre d’illustration, seulement 9% des personnes interrogées par Ipsos-Sopra Steria pour le Cevipof entre le 16 et 17 mars 2020 avaient déclaré être «tout à fait favorables» à un système de ce type. 
  • L’autre question centrale est de savoir s’il serait possible de faire coïncider des valeurs démocratiques et le tracking  automatique et individuel de la population… Sans oublier qu’il faudrait également repenser la façon dont les différents services de l’État communiquent entre eux, et apprendre à partager les données.

StopCovid, l’app que développe le gouvernement en partenariat avec l’inria, repose sur la base du volontariat. Un principe dont il assure qu’il ne dérogera pas. Dans le précédent papier, nous avons montré comment la confiance que la population placera dans cet outil sera un enjeu crucial pour sa réussite. L’application ne pourra être efficace que si elle est massivement utilisée.

Respect des données personnelles, transparence… font donc partie des principaux enjeux. Mais si le gouvernement voulait finalement imposer une application de tracing, cela serait-il si difficile? Nous nous sommes posés la question d’un point de vue législatif. Nous avons également imaginé à quoi ressemblerait une application qui irait plus loin en faisant par exemple communiquer différentes administrations avec des établissements de santé pour croiser leurs données à l’instar de ce qui a été mis en place à Taïwan.

Un changement de loi possible sous le motif « d’intérêt public important »

Si un gouvernement voulait imposer une telle application, il faudrait un changement législatif. Mais avant de détailler ce point, pour rappel, de quelles pratiques parle-t-on? Il pourrait s’agir d’identifier les personnes ayant été en contact avec le Covid-19 en utilisant la méthode du backtracking. Celle-ci s’appuie sur les données du téléphone et a pour but de retrouver ces personnes, de les prévenir et de casser la chaîne de transmission. Ces données pourraient aussi servir à repérer des «zones à risque» ou encore à vérifier que ceux qui doivent être confinés restent bien chez eux. Dans le cas d’un traçage automatique, on pourrait imaginer que l’app s’appuie sur les données de géolocalisation. Il s’agirait donc de croiser ces dernières avec des données de santé.

«En ce qui concerne la situation juridique, avec le RGPD, il est difficile de faire ce type de tracing en tant que tel», explique Alain Bensoussan, avocat spécialisé en droit des technologies avancées. L’article 9 du Règlement général sur la protection des données interdit en effet le traitement des données de santé, c’est-à-dire toute opération portant sur des données de santé relatives à une personne identifiée ou identifiable. C’est donc en principe interdit. Mais il existe des exceptions. L’utilisation de ces données est ainsi autorisée si «le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée».Il ne serait alors plus nécessaire d’obtenir le consentement des personnes concernées.

Or, une pandémie comme le pays la vit aujourd’hui semble entrer sans trop de difficultés dans ces «motifs d’intérêt public important». C’est d’ailleurs parce qu’elle est en état d’urgence sanitaire que la France a pu prendre une mesure aussi impactante sur les libertés individuelles que le confinement. «Dans le cas d’un état d’urgence, il est possible de prendre des règles d’exception par rapport aux principes généraux», développe ainsi Alain Bensoussan. Mais dans ce cas précis à quoi pourrait ressembler un telle règle? Le confinement a par exemple ses exceptions, son mode de fonctionnement comme l’attestation qui permet de pouvoir sortir sous certaines conditions…

Pour aller plus loin 

Dans un texte publié en ligne, La Quadrature du Net explique que "contrairement à ce qu’on peut lire dans la presse, le RGPD n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le pourrait. Elle l’interdit en l’espèce". L'association ajoute: "La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement".

Mais pour l'instant, le Comité européen de la protection des données, organe chargé d’appliquer le règlement général sur la protection des données, a rendu un avis différent le 19 mars 2020, dans un texte intitulé "Statement of the EDPB Chair onthe processing of personal data in the context of the COVID-19 outbreak".

En ce qui concerne les données de santé, il se base aussi sur l'article 9 du RGPD et l'exception qu'il comprend pour montrer qu'elles pourraient donc être utilisées sans avoir recours au consentement dans un contexte de pandémie, comme expliqué plus haut.

Pour ce qui est des données de géolocalisation pures et issues des téléphones portables, le comitése base en effet sur la directive ePrivacy qui régit l’utilisation des données de communication électroniques. Mais il inscrit une pandémie comme le Covid-19 dans les situations qui entrent sous la coupe de la "sécurité publique", et pouvant être alors assujetties à une mesure d'exception.

 "Lorsqu'il n'est pas possible de traiter uniquement des données anonymes, la directive ePrivacy permet aux Etats membres d'introduire des mesures législatives pour garantir la sécurité publique (art. 15). Si des mesures permettant le traitement de données de localisation non anonymisées sont introduites, un État membre est tenu de mettre en place des garanties adéquates, telles que l'octroi aux particuliers des services de communications électroniques du droit à un recours juridictionnel".

Le comité a donc rendu un avis favorable à l'utilisation des données de géolocalisation individuelles sur une autre base que celle du consentement. Il s'agit ici d'invoquer le motif de la sécurité publique, en cas de pandémie. Cela ne veut pas dire que l'avis du comité n'est pas contestable au regard des arguments de la Quadrature du Net. 

Mais il faut bien avoir conscience des exceptions qui existent déjà au sein des différents textes.

Ainsi, pour Judith Rochfeld, professeure de droit et directrice du Master 2 "Droit du commerce électronique et de l'économie numérique" de l'Université Paris I Panthéon-Sorbonne, interrogée par FrenchWeb à ce propos, toutes ces exceptions qui pourraient permettre l’utilisation des données de géolocalisation individuelles sans le consentement des personnes montrent l’importance «d’avoir un débat un minimum démocratique sur la surveillance que nous sommes capables d’accepter dans une société démocratique comme la nôtre».

« Il faut que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer »

«Le Conseil constitutionnel demande qu’à chaque fois qu’il y a une ingérence, une atteinte extrêmement importante à une liberté, cela soit limité dans le temps et qu’il y ait des garanties pour que cela ne s’inscrive pas dans une politique liberticide au-delà de la résolution du problème exceptionnel», rappelle Alain Bensoussan. Ainsi, il faudrait que la mesure qui permet de tracer individuellement les données de géolocalisation des personnes et de les croiser avec celles de santé soit limitée. Cela implique également une destruction de ces informations une fois la crise passée. 

Il est également écrit que «le traitement doit respecter l’essence du droit à la protection des données». Qu’est-ce que cela veut dire? «On l’interprète assez facilement. Cela signifie qu’il faut trouver un principe de proportionnalité. Là on va porter atteinte à un certain nombre de principes fondamentaux, mais il faut quand même que les règles telles que la dignité, la loyauté, la transparence continuent à s’appliquer malgré le caractère dérogatoire», développe Alain Bensoussan. Ainsi, pour ce dernier, même s’il n’y aurait plus d’obligation d’obtenir le consentement, il ne pourrait pas, par exemple, y avoir une loi qui permettrait de manière cachée de tracker les personnes sans les prévenir. Il y aurait ainsi une obligation d’information. 

En revanche, selon l’avocat, dans ces conditions, rien n’empêcherait à un gouvernement de mettre en place des amendes ou autres sanctions, qui doivent être proportionnelles à l’infraction rencontrée, pour ceux dont il est prouvé qu’ils ne respectent pas le confinement via leurs données de géolocalisation. Mais la manière de mettre cela en place serait à inventer. En effet, « les infractions doivent être constatées par un officier de police judiciaire », explique Alain Bensoussan. Ainsi, la procédure ne peut se faire de manière automatisée, sauf à aller jusqu’à modifier le code pénal. « Mais il existe déjà un exemple avec la vidéo-verbalisation. Il y a un officier de police judiciaire qui constate l’infraction sur les clichés. La prise de décision ne peut pas être automatisée ». 

Les Français pourraient-ils adhérer à des mesures de tracking individuel?

La mise en place d’une date limite, l’information des personnes et la destruction des éléments acquis seraient déjà des premiers garde-fous, mais pour Alain Bensoussan il faudrait aller encore plus loin. Celui-ci ajoute la création d’un droit constitutionnel en référé qui permettrait de s’opposer à ce texte ou à certains points de ce dernier devant le Conseil d’État. Il s’agirait d’une procédure spéciale et rapide. «Car un État sans régulation n’est pas un État démocratique», développe l’avocat. «C’est l’équilibre des pouvoirs entre le parlement, la justice, et le gouvernement». Mais en pratique, est-il si facile de faire régner cet équilibre au milieu du sentiment de panique que génère un phénomène comme une pandémie?

Alain Bensoussan met aussi en avant l’obligation d’auditabilité. «Il faudrait que l’ensemble des procédures qui ont été suivies soient publiques, sauf intérêt de défense nationale. Cela pourrait par exemple concerner les délibérations du comité scientifique. L’intérêt de les rendre publiques est qu’il peut y avoir des décisions qui ne seraient pas forcément les mêmes si elles n’étaient pas publiques».

Voilà dans un exercice de projection, sur le plan légal, à quoi pourrait ressembler une France qui cherche à faire coïncider ses valeurs démocratiques et le tracking individuel de sa population en tant de pandémie. Mais un paramètre semble indispensable pour la réussite d’un tel projet: l’adhésion de la population. Un système de cette ampleur ne pourrait pas reposer uniquement sur la coercition car il y a toujours des moyens de le contourner, voire de l’attaquer.

«Le risque éthique sans doute principal dans ces périodes de crise épidémique, c’est la tension possible entre l’intérêt de l’individu et du collectif», explique David Gruson, membre de la Chaire Santé de Sciences Po Paris, fondateur d’Ethik-IA et directeur santé de Jouve. «Nous avons en France et en Europe, une tradition de médecine personnalisée qui porte en notion essentielle l’idée d’une approche singulière de la prise en charge du patient. Même s’il ne faut pas caricaturer ces distinctions. Le sens de la santé publique, y compris en France, est aussi de pouvoir défendre la nécessité de démarche collective. C’est le sens notamment des mesures de confinement qui s’appliquent à nous aujourd’hui», poursuit ce dernier.

On peut donc imaginer qu’une situation comme aujourd’hui, qui fait vivre à la population un très haut niveau d’inquiétude et d’anxiété, aussi bien pour leur santé que leur situation économique, pourrait assouplir leur défiance. C’est d’ailleurs à l’issue de l’apparition d’un autre coronavirus, le MERS (syndrome respiratoire du Moyen-Orient) sur son territoire en 2015, que la Corée du Sud, traumatisée, a voté une nouvelle loi fin 2016 permettant de prendre un ensemble de mesures exceptionnelles, comme le tracking individuel, en cas d’urgence de santé publique. 

Difficile de savoir si une telle acceptation pourrait naître au sein de la population française. La façon dont se finira l’actuelle pandémie de Covid-19 et les leçons qui en seront tirées serviront sûrement d’indicateur.  En attendant, un sondage Ipsos-Sopra Steria réalisé pour le Cevipof entre le 16 et 17 mars 2020 montre que seulement 9% des personnes interrogées se disent «tout à fait favorables» à l’utilisation des données des téléphones portables des citoyens pour contrôler leurs déplacements. Le verrou n’a en tout cas pas encore sauté.

Crédit: Ipsos-Sopra Steria pour le Cevipof.

De l’app « déclarative » à la reconnaissance faciale

À quoi ressemblerait une telle application de tracing? Il y a ce que l’on connaît déjà. «On peut imaginer une track extérieure, c’est ce qu’a fait Orange pour voir le flux des Parisiens qui sont partis. Cela repose sur deux technologies: soit c’est du tracking via une puce 3G et une application, ou alors cela passe par une triangulation qui permet de vous positionner en temps réel avec un écart de 10 ou 15 mètres», décrit Ramzi Larbi, fondateur de la startup VA2CS, dont la technologie mêle capteurs et intelligence artificielle pour notamment prévenir les chutes à domicile des personnes âgées. Ensuite si les vannes sont ouvertes, tout est imaginable pour aller plus loin. 

Mais à quel point, cela dépend des systèmes mis en place. Cela pourrait aller d’une application qui se base sur du déclaratif et de la géolocalisation pour suivre les déplacements des personnes infectées et prévenir celles situées dans la zone, à des systèmes automatisés qui couplent des informations provenant de différents organismes de santé à de la géolocalisation. Il serait possible aussi d’y injecter des données provenant d’appareils connectés ou même de caméras, comme en Chine. Mais cela suppose que la France ait définitivement basculé dans la généralisation de la reconnaissance faciale en déjouant les limites qui existent aujourd’hui et installé des caméras intelligentes un peu partout dans le pays d’ici une supposée prochaine pandémie. 

Mais même sans aller aussi loin, rien que pour pouvoir partager et croiser des données parvenant de différents organismes, il faudrait que d’ici là le pays ait organisé leur interopérabilité. Un réel enjeu aujourd’hui dans le domaine de la santé en France, déjà en ce qui concerne l’amélioration du suivi des patients. Puis, il faudrait des mesures qui poussent les différents acteurs à les partager, et notamment des entreprises privées.

Passer de la course aux données au partage des données

«Cela demanderait un énorme travail et surtout un changement de mentalité en se disant que la donnée n’a de valeur que si elle est échangée. Jusqu’à aujourd’hui, on a été dans une course à la donnée. Chacun devait en emmagasiner le plus possible parce que c’est ce qui donnait de la valeur. Or, demain, si ont veut créer des modèles plus intelligents, il faudra croiser l’ensemble de ces données», est convaincu Ramzi Larbi. Ce sont des modèles qui devront avoir été mis en place en avance et qui impliquent des acteurs variés: opérateurs, sociétés d’assurance mutuelle- qui disposent d’énormément de données- et bien-sûr les établissements de santé comme les hôpitaux.

Mais ce serait également un pays où les silos auraient été brisés au sein même de l’administration et où les différents services seraient capables d’échanger et de partager efficacement leurs données. Même si cela n’implique pas directement des données de géolocalisation, Taïwan a par exemple mis en place un système qui fait communiquer les données issues de son système d’assurance maladie avec celles de son service d’immigration et de douanes pour croiser les antécédents de voyage et les symptômes afin d’aider à l’identification des personnes à risque quand elles se rendent à l’hôpital.

Comment la révision de la loi de bioéthique pourrait aussi venir en renfort

Mais rendre ces données intéressantes supposerait d’y injecter de l’intelligence artificielle. Et c’est là qu’une autre disposition pourrait entrer en ligne de compte: il s’agit de l’article 11 actuellement en phase de finalisation devant le parlement dans le cadre de la révision de la loi de bioéthique.

Celui-ci pose deux conditions, une fois la question du RGPD réglée, au déploiement de solutions d’intelligence artificielle aux données de santé. La première est l’information du patient sur le recours à ces algorithmes. «On pourrait imaginer des formes d’informations adaptées à un contexte de crise», explique David Gruson qui via l’initiative Ethik-IA a fortement milité pour la mise en place de ces dispositions. Et la seconde, qui selon lui «est essentielle», est la notion de «garantie humaine» de l’IA. «L’idée est de faire en sorte que ces technologies soient mises sous supervision humaine de professionnels de santé mais aussi de patients», explique David Gruson. Cela pourrait prendre des formes diverses comme la mise en place d’un collège associant professionnels de santé et patients qui assurent le suivi au fil de l’eau de l’algorithme à partir de cas réels.

Ainsi, si David Gruson se positionne du côté de ceux qui ne sont pas pour une mise en place plus poussée du tracing à partir des données de géolocalisation, il rappelle qu’une fois cette révision de la loi de bioéthique adoptée, l’article 11 pourrait servir de protection supplémentaire si un jour un tel chemin devait être emprunté.  «C’est en situation de crise que la nécessité de ces outils se fait sans doute le plus fortement sentir. Le risque d’une perte de contrôle étant plus grand parce que l’on cherche trop vite un déploiement sans garde-fou préalable».

Tags

Innocentia Agbe

Journaliste chez FrenchWeb / Le Journal des RH - DECODE.MEDIAPour communiquer sur FrenchWeb ou le Journal des RH, devenez partenaire, cliquez ici.
[DECODE] Pourquoi est-il difficile d’imposer une app de tracking en France?
Royaume-Uni: Nokia signe son premier contrat 5G depuis l’exclusion de Huawei
eSport : PandaScore lève 5 millions d’euros auprès de la FDJ, Serena et Alven
S’adapter: le maître-mot des artisans et des boutiques depuis le confinement
Cryptoactif: Bitpanda lève 52 millions de dollars auprès du fonds de Peter Thiel 
Comment Cafeyn profite de la crise pour se renforcer
FrenchWeb Day Retail: Une matinée de conférences en ligne sur les nouvelles pratiques dans le retail