COVID-19 & Traçage numérique : comment concilier santé et libertés individuelles ?

Cap Digital, l’UNESCO et la Chaire ITEN de l’Unesco ont réalisé le 27 novembre 2020 une conférence dans leur cycle « NumériqueS en temps de criseS » dédiée aux apps et outils de traçage des populations pour lutter contre la propagation de la pandémie de COVID-19.

Retrouvez le texte de l’intervention, qui traite notamment de la mise à l’épreuve de nos systèmes de gouvernance et des travaux du Conseil de l’Europe en la matière.

Intervention donnée le 27 novembre 2020, lors de la conférence « COVID-19 & Traçage numérique : comment concilier santé et libertés individuelles ? »


La crise sanitaire met à l’épreuve nos systèmes de gouvernance

Les crises ont toujours mis à l’épreuve les systèmes de gouvernance. Les défis pour nos systèmes démocratiques sont encore majeurs aujourd’hui car c’est dans ce contexte précis que nos normes durement acquises en matière de protection des individus, notamment les droits de l’homme, peuvent être remis en cause sous prétexte de sécurité. Sortant de l’horreur de la Seconde Guerre mondiale, des textes comme la Convention européenne des droits de l’homme ont pu voir le jour, essentiellement fondé sur l’idée de poser de solides fondations humanistes et de préserver la liberté du citoyen individuel face l’autorité du gouvernement dans la communauté politique. Ce qui se joue aujourd’hui à notre ère numérique recompose cet antagonisme entre individu et Etat en y ajoutant une dimension sociétale où des atteintes, relativement mineures, à l’encontre des individus peuvent en réalité constituer des atteintes majeures contre l’État de droit ou la démocratie.

En prenant un pas recul historique, ce n’est pas la première fois que nous devons faire face à une telle situation en Europe occidentale. Lors d’une intervention dans un webinaire du Conseil de l’Europe, l’avocat Adrien Basdevant rappelait, en citant les travaux de Michel Foucault, que deux principaux moyens ont été utilisés dans l’histoire pour faire face aux épidémies et contrôler la population : le premier modèle a été l’exclusion des personnes atteintes de la lèpre et le second l’inclusion et le confinement de la peste. En d’autres termes, au XVIIIe siècle, nous sommes passés de l’ère de la punition (interdire les gens dans les villes) à l’ère de la discipline (exiger des gens qu’ils restent chez eux, vérifier leur présence). Le passage d’un modèle à l’autre a été l’un des faits les plus marquants de du XVIIIe siècle, au moment même où les statistiques apparaissaient et montraient leur efficacité pour accompagner ces politiques et se passer de politiques brutales d’exclusion.

Quelles leçons pour l’époque actuelle ? Que nous sommes peut-être entrés, avec les nouvelles technologies, dans une ère de contrôle par le traçage et une nouvelle forme de gouvernance. Cela revient à permettre aux personnes d’être libérées du confinement, d’aller et venir en échange d’un contrôle en temps réel (on a encore vu dans les déclarations du président de la République l’appel à utiliser ces applications ou ce qui se passe à Singapour, de manière contrainte). Cela peut paraître anodin car il s’agit d’une adhésion volontaire (au prix parfois d’un discours public culpabilisateur), mais nous avons vu des pays l’imposer (souvent de manière limitée dans le temps) comme en Corée du Sud, en Chine ou en Israël. 

Nos systèmes démocratiques s’avèrent encore solides aujourd’hui et nous avons vu que toutes les mesures contraignantes (ou même les mesures volontaires comme pour les demandes de recherche des contacts) ont été discutées par presque tous les parlements d’Europe occidentale, pour une mise en œuvre pendant une durée déterminée. Ce qui est le plus à craindre, c’est l’acculturation à une logique de surveillance, notamment par de nouveaux moyens numériques, comme moyen de résolution des crises. Nous vivons déjà cela avec la lutte contre le terrorisme, auquel s’ajoute maintenant la gestion d’une pandémie. La technologie nous permet de passer à tout nouveau modèle de gestion de crise où nous devons veiller à ce que les contre-pouvoirs continuent à jouer leur rôle.

Le Conseil de l’Europe s’est positionné sur le sujet du traçage numérique

Le Conseil de l’Europe ne propose pas de solutions numériques et n’est pas intervenue sur le travail de coordination de l’Union pour les solutions de traçage, il promeut des normes pour s’assurer que ces solutions numériques sont compatibles avec les piliers de l’Organisation : Droits de l’homme, démocratie et État de droit.

Lors de la crise sanitaire, certains États ont fait un usage effectif des normes du Conseil de l’Europe pour développer des solutions numériques et offrir un haut niveau de protection : le meilleur exemple est certainement la Convention 108(+) sur la protection des données : des conseils ont été donnés sur ce sujet spécifique par le Président du Comité de la Convention 108 et notre Commissaire à la protection des données dans deux déclarations conjointes, dont l’une sur les applications de traçage publiée fin avril. Ce texte a identifié quelques principes d’action qui pourraient créer la base d’une approche commune. Le point de départ étant l’efficacité d’un tel système de contrôle : Compte tenu du caractère très intrusif de ces systèmes à grande échelle, et de l’effet de cliquet lié à leur développement, les promesses valent-elles les risques sociétaux et juridiques prévisibles ? 

D’ailleurs, entre nous, il y aurait beaucoup à dire sur la pertinence d’une technologie comme le Bluetooth qui traverse les murs et qui est utilisée pour présumer une contamination – ou encore de l’emploi « de l’IA » censé calculer des probabilités d’infection en fonction des lieux visités et des individus rencontrés… le taux de faux-positifs serait intéressant à mesurer. 

Lorsque les gouvernements décident de recourir à de tels systèmes, la déclaration commune souligne les garanties juridiques et techniques qui doivent être mises en place pour atténuer les risques en jeu : transparence et caractère volontaire, évaluation d’impact obligatoire et respect de la vie privée dès la conception, définition d’une finalité spécifique, minimisation et qualité des données, sécurité de pointe, désidentification des personnes, architecture aussi décentralisée que possible, interopérabilité des différents systèmes, et autorités indépendantes. Ce sont autant de principes directeurs que les États – et dans le respect de la Convention 108, c’est un groupe de 55 États qui sont concernés, même au-delà de nos frontières européennes – peuvent déjà intégrer au niveau national.

Il doit également être souligné le travail de fond réalisé dans un rapport intitulé « Solutions numériques pour lutter contre la COVID-19 », paru un octobre 2020, coordonné par l’unité de protection des données du Conseil de l’Europe. Ce rapport réalise une revue des diverses solutions déployées dans le monde, sous un angle de protection des données, et rappelle les principes déjà évoqués.

L’une des questions qui demeure est de savoir si l’anonymat de ces solutions peut être totalement garantie, comme annoncé

Le risque zéro n’existe bien sûr pas, mais tout l’objectif des normes du Conseil de l’Europe est de minimiser ces risques et de faire en sorte que les individus puissent avoir des recours en cas de violation de leurs droits.

Techniquement, des solutions convaincantes ont été proposées par la communauté, comme le protocole DP-3T, basé sur des travaux universitaires bien documentés. La difficulté de ces solutions protectrices pour les individus est qu’elles rendent ensuite plus complexe la prise de contact par les autorités sanitaires chargées de la recherche des contacts. De plus, cela a conduit certains pays à opter pour des solutions théoriquement moins protectrices afin de s’assurer qu’un opérateur humain peut correctement gérer le test et l’isolement.

Moins que l’anonymat, qui est une question importante, c’est une fois de plus le cadre juridique qui est crucial : de nombreux pays ont fait passer la mise en œuvre de ces systèmes de recherche par leurs parlements, pour une période déterminée et sous le contrôle strict des autorités de protection des données. En Norvège, par exemple, leur système a été arrêté. Même dans une situation de crise, la garantie des équilibres démocratiques est la clé.

Le consentement à l’utilisation : entre volontariat et culpabilisation

La logique du volontariat a été la clé en Europe occidentale pour la mise en place de ces systèmes, donnant du pouvoir aux citoyens. Nous avons vu que les taux de téléchargement ont également été meilleurs lorsque les applications offraient une valeur ajoutée et des services supplémentaires : en France, la deuxième version de l’application a réussi à donner accès à des outils supplémentaires (tels que la génération automatique de certificats ou d’informations locales). Un « nudge » d’ailleurs efficace pour accroître le nombre de téléchargement. 

Mais la frontière entre incitation et culpabilisation reste parfois fine. De nombreuses techniques « commerciales » d’incitation, singulières pour une autorité publique, ont été utilisées en employant notamment des arguments visant à culpabiliser les réfractaires : que penser ainsi de l’affirmation estimant qui si l’application « permet de sauver une seule vie, alors elle sera utile ». Que nombre d’autres mesures, non numériques et mieux fondées scientifiquement, peuvent permettre de sauver des vies : pourquoi alors ne pas assurer un approvisionnement permanent en masques et gel à l’ensemble de la population, notamment les plus précaires ? Que dire aussi du démarchage directement sur les téléphones portables, instrumentalisant des canaux d’urgence de communication avec la population avec, cette fois-ci, un argumentaire liant réouverture des commerces et emploi de l’application. C’est ainsi qu’une chaine de restauration rapide a pu offrir des ristournes aux détenteurs de l’application. On passe ainsi d’un gentil « hack » de geeks, pensant que le Bluetooth allait pouvoir appuyer les brigades sanitaires, à une vision bien plus autoritaire. Non par une discipline verticale, obligatoire, mais par la recherche d’une emprise plus horizontale, prétextant le caractère facultatif mais mettant tout en œuvre pour que la pression sociale se charge du travail. 

Il a pu être aussi question d’imposer l’emploi de solutions de traçage numérique dans certains environnements professionnels. Mais, encore ici, imposer une telle application n’a pas forcément de sens : il n’est pas certain qu’elle intéresse tous les métiers et les mesures de protection physique (masquage, gel, ventilation des locaux) présentent autant d’avantages. Imposer une telle application soulève également des questions sur la discrimination qui peut en résulter : que faire des employés (et il y en a) qui ne disposent pas d’un téléphone sophistiqué compatible avec ces applications ? L’absence d’activation, lors de l’installation de l’application, est-elle alors une faute ?

Sans parler également de l’absence de coordination européenne, tant sur le fond – pour administrer la preuve de la valeur ajoutée de ces systèmes – que sur la forme avec le manque d’interopérabilité. Il est d’ailleurs singulier que les pays utilisant la solution promue par Apple et Google se trouvent en meilleure situation que les autres.

En conclusion, et de manière tout à fait empirique, on a l’impression de ressentir beaucoup de lassitude dans l’opinion publique avec les mesures contraignantes, doit-on rajouter de fausses solutions numériques ?

La tension entre la protection de l’intérêt collectif et l’autonomie individuelle a toujours été au cœur des débats lors des crises sanitaires. Si l’on remonte dans le temps, l’épidémie de variole a pu être contenue au XVIIIe siècle grâce à la vaccination, mais la question de savoir si cette vaccination doit être obligatoire ou non a fait l’objet de vifs débats. En fin de compte, ce sont les statistiques qui ont démontré l’intérêt collectif pour la vaccination de masse et les autorités publiques de l’époque ont décidé de l’imposer. 

La liberté d’aller et venir est fondamentale et doit être farouchement protégée : mais si sa limitation est contrôlée pour des raisons impérieuses, limitée dans le temps et régulièrement débattue démocratiquement pour l’intérêt collectif, il est admis dans tout système démocratique que de telles atteintes puissent être justifiées, sous un contrôle strict parlementaire. Ce qui doit être mis en débat en revanche c’est l’instrumentalisation, de plus en plus fréquente, de la « science » dans les débats publics et la décision publique. Les études et articles scientifiques sont jetés dans l’espace public comme autant d’arguments d’autorité, sans réelle prise de recul ni contextualisation. La controverse, moteur naturel de la réflexion, n’est pas le temps de l’action et il est alors aisé de trouver appui dans la littérature scientifique. Le temps du consensus doit en revanche conduire à l’action. En toute hypothèse, doter les citoyens d’une base de culture scientifique, à même d’administrer dans les discours qui sont livrés au public (dont les réseaux sociaux) est un impératif démocratique majeur. C’est ainsi que nous serions tous en mesure d’estimer si de telles atteintes à nos libertés sont justifiées et si nous sommes réellement « volontaires » pour recourir à des outils de traçage, dont le fonctionnement n’est pas garanti. En d’autres termes, on devrait pouvoir retrouver le « goût du vrai » (en référence à la publication d’Etienne Klein). Certainement le seul moyen d’éviter de verser dans le technosolutionnisme.

Documents de référence