Mise à jour du 23 avril 2020
Dans l’arsenal de la lutte contre le Covid-19, des applications sur téléphone mobile sont apparues avec la promesse de faciliter la recomposition des chaînes de transmission et d’accompagner le déconfinement. Autant qu’un débat sur la protection des données, ces applications soulèvent surtout la question bien plus basique de leur efficacité : la proximité de deux téléphones portables pendant une certaine durée permet-elle de présumer une contamination ?
Toutes les crises majeures de notre civilisation ont conduit nos sociétés à s’adapter, particulièrement pendant les révolutions, les guerres et les crises sanitaires. La statistique, ainsi, se déploiera en véritable outil de politique publique pour lutter contre le choléra ou encore la variole. D’Alembert et Diderot s’opposeront sur le bénéfice d’une vaccination de masse de la population, le premier estimant que le choix devait être laissé aux individus et qu’ils pouvaient ainsi refuser de se voir inoculer une forme atténuée de la maladie pour développer une immunité. Daniel Bernoulli, en affirmant par une approche statistique que le risque mortel de la vaccination était d’un cas sur 200, allait trancher le débat, faire prévaloir le collectif sur l’individuel et emporter la décision publique.
Près de 250 ans plus tard, le débat semble se rejouer avec les instruments de notre temps. Alors que la science statistique s’est totalement banalisée et a intégré de manière courante toutes les strates du champ de la décision publique, c’est maintenant les instruments contribuant à la collecte de données qui font débat – ou plus exactement des applications à installer sur nos téléphones portables pour contribuer à l’effort de lutte contre la pandémie. Ces applications visent notamment à supporter deux fonctions distinctes : le suivi des malades (« backtracking ») et l’identification des personnes avec qui ils ont pu être en contacts (« contact tracing »).
Etat de l’utilisation d’applications sur téléphones mobiles pour contribuer à la lutte contre la pandémie
L’affaire semble acquise : même les autorités de protection des données, saisies par la violence des conséquences de la pandémie, concèdent l’utilité de tels dispositifs et appellent à un modèle paneuropéen d’application[1]. Des chercheurs européens, sur initiative du Fraunhofer Heinrich Hertz Institute de Berlin et de l’Ecole Polytechnique Fédérale de Lausanne ont publié le code d’une application PEPP-PT de « contact tracing », basée sur l’historicisation des rencontres effectuées grâce à un protocole bien connu de communication de proximité bluetooth[2]. La France a confié au CARE (Comité analyse recherche expertise) le soin d’évaluer plusieurs solutions[3] et le Président de la République a évoqué la possibilité de déployer une application « StopCovid » sur la base du volontariat et la soumettra au Parlement (sans vote) [4]. Le ministre de l’Intérieur semblait confiant sur la capacité de la population à y adhérer de manière volontaire en masse[5]. La Commission européenne a publié le 16 avril 2020 une boîte à outils commune au niveau de l’UE en vue de l’utilisation d’applications mobiles de traçage des contacts et d’alerte pour lutter contre la pandémie de coronavirus.
S’il convient de rester prudent sur la capacité de discipline collective des populations et la réelle utilité du dispositif sans moyens de suivi (près de 30 000 personnes seraient nécessaires pour suivre toute la population française), l’idée d’employer les téléphones portables pour contribuer à la lutte contre la pandémie nous est venue d’Asie, notamment de Singapour avec l’application TraceTogether, qui enregistre les contacts de proximité entre téléphones mobiles avec un numéro aléatoire n’identifiant pas les utilisateurs. En Israël, un plan visant à utiliser le suivi téléphonique individuel pour avertir les utilisateurs de ne pas côtoyer des personnes potentiellement porteuses du virus a été élaboré[6]. En Corée du Sud, une alerte transférée aux autorités sanitaires se déclenche quand les personnes ne respectent pas la période d’isolement, en se rendant par exemple dans un lieu fréquenté comme les transports en commun ou un centre commercial[7]. À Taïwan, un téléphone portable est remis aux personnes contaminées et enregistre leur position GPS pour que la police puisse suivre leurs déplacements et s’assurer qu’elles ne s’éloignent pas de leur lieu de confinement[8]. En Italie, une entreprise a également développé une application sur téléphone intelligent (smartphone) permettant de reconstituer l’itinéraire d’un individu atteint du virus et d’avertir les personnes ayant eu un contact avec elle. D’après le concepteur, la vie privée serait garantie, car l’application ne révèlerait pas les numéros de téléphone ou des données personnelles[9]. En Lombardie, les opérateurs téléphoniques ont mis à disposition les données concernant le passage d’un téléphone portable d’une borne téléphonique à une autre[10].
Clarifier les usages et dresser une typologie rigoureuse des applications
A titre liminaire, il conviendra de constater que l’ensemble de ces politiques partent du constant qu’une masse critique de la population possède un téléphone portable à même de supporter ces applications. Ce postulat est déjà en soi critiquable, puisque certaines catégories de groupes vulnérables sont sous-équipées avec ces appareils : en France seulement 44% des 70 ans et plus détiennent un tel téléphone, sans même entrer dans les considérations de savoir le faire fonctionner correctement[11]. Que dire aussi des populations paupérisées, comme les sans domiciles fixes ou les personnes en situation irrégulière (qui refuseront naturellement tout type d’application gouvernementale de peur d’être tracé).
« Toutes ces applications de suivi ne présentent pas les mêmes finalités, n’exploitent pas les mêmes données et ne procèdent pas de la même logique«
Sur le fond, toutes ces applications de suivi ne présentent pas les mêmes finalités, n’exploitent pas les mêmes données et ne procèdent pas de la même logique.
S’il s’agit bien d’applications visant à suivre les populations, la finalité n’est pas la même pour tous les cas d’usage : il conviendrait donc de distinguer les applications visant à garantir le respect des mesures de confinement de celles relevant d’une alerte de contact avec un porteur du virus.
Dans la première hypothèse, il a pu être utilisé des données agrégées et anonymes, collectées auprès des opérateurs téléphoniques, pour constater les mouvements de population. De tels usages vise à renseigner les gouvernements sur l’effectivité de mesures de confinement strict et ceux-ci n’appellent que peu de commentaires en situation de crise, pour un objectif précis, en totale transparence avec les populations. L’utilisation de données à caractère personnel pour « cibler » des individus est une autre question. Nous l’avons vu, certains pays ont assorti le prononcé de mesures de confinement individuel à l’utilisation d’un dispositif de traçage afin de vérifier, en temps réel ou de manière inopinée, si la mesure est respectée. Il y a donc un enjeu de licéité de ces mesures, qui doivent s’inscrire dans un cadre législatif clair, proportionné et transparent, respectueux des droits fondamentaux.
« Le fait que deux téléphones aient été à proximité n’entraîne pas nécessairement une contamination«
L’ambition est quelque peu différente dans la seconde hypothèse, quand il s’agit d’utiliser des données de localisation pour tracer les contacts entre individus. Certains dispositifs de pair-à-pair se présentent comme étant totalement décentralisés et ne feraient donc encourir aucun risque de suivi individuel par les autorités. Pour en reformuler l’ambition, il s’agit ici plus d’une évaluation de risque, afin d’encourager les personnes à consulter ou à se confiner, que d’un contrôle en vue de prononcer des sanctions. Il demeure toutefois une question essentielle qui porte sur la validité scientifique de l’approche : le fait que deux téléphones aient été à proximité n’entraîne pas nécessairement une contamination. Pour le déduire, d’autres données seraient nécessaires dont certaines, comme le mode de contamination du COVID-19, restent bien incertaines. Le virus peut-il subsister dans l’air ? Une simple conversation suffit-elle à contaminer ? Croiser quelqu’un suffit-il à caractériser un risque ? Sans parler de la nécessité de se déclarer une fois que l’on se sait porteur de la maladie… ce qui pose la question des porteurs sains et du manque substantiel de tests dans de très nombreux pays. Seul et sans tests systématiques, le « contact tracing » s’avère donc potentiellement plus anxiogène qu’efficace.
Ensuite, les données de localisation peuvent – ou non – être centralisées. Les modèles « distribués » (dits également de « pair-à-pair ») des applications de suivi de contact ne permettent pas aisément une surveillance généralisée. Si les données de « contact » ne sont enregistrées que sur les téléphones portables concernés, il est en effet difficile de redouter une surveillance de masse. A contrario, si les données, couplées à de la localisation, sont centralisées à des fins d’exploitation pour vérifier si tel ou tel individu respecte le confinement, le problème est tout autre. Nous reviendrons plus précisément sur le cadre juridique alors applicable, les dispositions relatives à la protection des données à caractère personnel ne prohibant pas nécessairement tous les usages de cette nature.
Enfin, la logique de ces applications dépend fortement des régimes politiques des Etats et de la capacité des populations à accepter ces technologies et à les considérer – ou non – comme intrusives. Certains Etats d’Asie ont ainsi imposé l’emploi de technologies pour s’assurer du respect de mesures de confinement et, dans une logique répressive, ont pu employer ces informations pour sanctionner les individus récalcitrants. En Europe, l’on semble se diriger vers une démarche individuelle et volontaire, en estimant qu’en arrivant à 60% de couverture de la population, l’usage sera suffisamment signifiant[12].
En croisant finalité, données et logique, l’on obtient donc une manière de mieux classifier ces applications, certaines ne semblant révéler qu’assez peu d’enjeux sur la protection des données à caractère personnel.
Risques sur la protection des données personnelles : une approche pragmatique des autorités indépendantes
Le premier prisme d’analyse portant sur ces applications a été celui des risques qu’elles font peser sur la protection des données à caractère personnel. Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (CNIL), a ainsi appelé à une vigilance particulière du fait de leur potentiel intrusif[13]. Les principes de protection des données (proportionnalité, durée de conservation, caractère provisoire, sécurité) devraient être respectés selon elle, tout comme le principe du consentement. Le contrôleur européen de la protection des données a appelé pour sa part à une solidarité européenne numérique et souligne que le Règlement général sur la protection des données (RGPD) n’édicte pas un droit absolu à la protection des données, cette protection devant mise en balance avec d’autres droits fondamentaux[14]. L’on voit donc que l’emploi de ces applications, dans des circonstances de particulière urgence comme lors d’une crise sanitaire, ont conduit les autorités de protection des données à adopter une démarche relativement pragmatique.
Il faut dire qu’une simple lecture des dispositions de la loi informatique et liberté[15] conduit à constater que le consentement d’une personne à utiliser de telles applications n’est pas requis :
- Si le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (article 5, 3°) ;
- Si le traitement est rendu nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (article 5, 4°) ;
- Si le traitement est rendu nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (article 5, 5°).
L’article 9 du RGPD autorise de plus le traitement de données sensible (comme les données de santé) si « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique » (article 9, 2°, i) et dispense du consentement des utilisateurs si « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée » (article 9, 2°, c).
« Lorsque des restrictions sont appliquées, ces mesures doivent être prises à titre provisoire uniquement et pour une période explicitement limitée«
Au Conseil de l’Europe, Alessandra Pierucci, Présidente du Comité de la Convention 108, et Jean-Philippe Walter, Commissaire à la protection des données ont rappelé que la « protection des données ne peut en aucun cas constituer une entrave au fait de sauver des vies et que les principes applicables permettent toujours de trouver le juste équilibre entre les intérêts en présence[16] ». Même dans une situation d’urgence, les principes des données devraient toutefois pouvoir être respectés tels que la licéité : l’article 11 de la Convention 108+ admet ainsi une exception à son application dès lors qu’elle est « prévue par une loi, qu’elle respecte l’essence des droits et libertés fondamentales, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique ». Lorsque des restrictions sont appliquées, ces mesures doivent être prises à titre provisoire uniquement et pour une période explicitement limitée, ce que rappelle aussi le bureau du Haut-Commissaire aux droits de l’homme des Nations Unies[17]. Sur le traitement de mégadonnées (big data) et l’utilisation de l’intelligence artificielle, Alessandra Pierucci et Jean-Philippe Walter insistent sur la transparence et l’explicabilité de ces solutions, respectant la dignité humaine et la protection des données. Deborah Bergamini (Italie, PPE/DC), rapporteure de l’Assemblée parlementaire du Conseil de l’Europe (APCE) sur la nécessité d’une gouvernance démocratique de l’intelligence artificielle, estime pour sa part que l’IA peut être un outil efficace pour lutter contre la pandémie, à condition que son utilisation, notamment la localisation des personnes, soit responsable, éthique et centrée sur l’homme[18].
L’on voit donc que les cadres juridiques actuels de protection des données rendent possible, sous certaines conditions très strictes, le déploiement de certains types d’applications de suivi de population, même sans le consentement des utilisateurs. De plus, le consentement des utilisateurs et l’absence de traitement de données directement identifiantes ne permet d’écarter totalement l’application du RGPD : si les données peuvent « être attribuées à une personne physique par le recours à des informations supplémentaires » (Considérant 26 du RGPD), le règlement s’applique. Même si les identifiants stockés dans des applications de « contact tracing » sont générés aléatoirement, le traitement postérieur opéré sur l’historique pour refaire le lien avec les numéros de téléphone portable démontre une possible réversibilité, donc une pseudonymisation et non une anonymisation. En conséquence des risques évoqués, le Comité européen de protection des données a adopté des lignes directrices le 21 avril 2020 qui serviront de cadre commun aux Etats de l’Union européenne pour mettre en œuvre ces solutions[19]. Le Comité rappelle notamment qu’il n’y a pas de choix à faire entre le développement de réponses efficaces et la protection de droits fondamentaux.
Risque sur la protection des populations : un faux sentiment de sécurité
Le principe de l’usage d’application numériques pour accompagner une série de mesures de sortie du confinement semble donc ne plus faire peur aux décideurs publics, surtout s’agissant des formes a priori les moins centralisées, présentées comme tout à fait protectrices des libertés individuelles et en recueillant le consentement des usagers. La présidente de la CNIL, Marie-Laure Denis, a bien précisé lors d’une audition par la Commission des lois de l’Assemblée nationale que le « consentement libre et éclairé » des usagers lui semblait nécessaire pour la mise en œuvre d’une telle application et que le refus de l’installer ne devrait avoir aucune conséquence[20]. Nous nous concentrerons donc sur ces applications « distribuées », dans ces conditions d’utilisation, afin d’analyser de manière plus précise sur leurs mécanismes.
« TraceTogether est présentée comme un support à des politiques approfondies de recherche des personnes ayant été en contact avec un malade et n’est pas une solution autonome »
TraceTogether à Singapour a inspiré les développements européens. Son fonctionnement est basé sur un historique des rencontres réalisées durant les derniers 21 jours afin de faciliter le « contact tracing » en cas de maladie. En d’autres termes, l’application, développée par les autorités est présentée comme un support à des politiques approfondies de recherche des personnes ayant été en contact avec un malade et n’est pas une solution autonome. Pour mémoire, une brigade de 20 000 enquêteurs de terrain ont été mobilisés en Corée du Sud pour exploiter les résultats d’une application de ce type… et il en faudrait près de 30 000 en France[21]. Le fonctionnement est « distribué » sans aucune centralisation de l’ensemble des enregistrements, ni enregistrement de la géolocalisation ou des noms. Les identifiants des téléphones ne sont pas leurs numéros (appel, IMEI) mais sont créées aléatoirement. Ce sont ces identifiants aléatoires qui sont stockés sur les téléphones et recomposés que si les données d’historique sont transmises aux autorités de santé sur accord du malade. Les individus ayant été à proximité suffisante, durant un temps suffisant, sont ensuite prévenus qu’ils ont été proches d’un malade, sans en révéler l’identité. L’utilisation de cette application est volontaire : selon différentes sources, entre 10% à 19% de la population de Singapour aurait installé cette application[22].
Le protocole PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) est celle développée sur initiative du Fraunhofer Heinrich Hertz Institute de Berlin avec l’appui d’autres centres de recherches, comme l’Inria en France. Son mécanisme, documenté sommairement sur le site internet des développeurs, peut être résumé en 4 principales étapes : 1°) diffusion à courte distance d’un identifiant temporaire et anonyme ; 2°) enregistrement des seuls identifiants diffusés à proximité pendant une période de temps « épidémiologiquement » suffisante ; 3°) Si un utilisateur n’est pas testé ou a été testé négatif, l’historique anonyme de proximité reste crypté sur le téléphone de l’utilisateur – seul l’historique de proximité pertinent pour la transmission du virus est sauvegardé ; si un utilisateur est testé positif, les autorités sanitaires lui fourniront un code sécurisé afin de permettre la notification aux utilisateurs enregistrés dans l’historique de proximité ; 4°) si les identifiants proviennent de deux pays différents, un mécanisme de coopération entre autorités sanitaires est mis en place. La deuxième étape est certainement celle qui mérite le plus d’attention, car les concepteurs ont considéré que la proximité suffisante de deux téléphones mobiles, durant un temps déterminé, suffisait à laisser supposer une probable infection. Cette vision simplificatrice de la transmission du virus, pour laquelle d’ailleurs les scientifiques continuent des recherches pour en comprendre précisément les mécanismes, néglige de nombreux aspects : le port de masques appropriés, la réalisation de gestes barrières ou la simple absence de projections sont autant de raisons pour que le postulat des chercheurs se révèle exagéré. L’expression de la maladie, ensuite, n’est pas certaine. Les porteurs sains, qui peuvent contaminer tout aussi largement leur entourage, ne pourront pas se signaler sur le système. Un dépistage massif doit donc accompagner le déploiement de l’application pour faire sens, sous réserve que des personnes ayant contracté le virus soient bien immunisées.
La proposition de « dépistage pair-à-pair » émise par Yoshua Bengio et Vargha Moayed est également basée sur un mécanisme distribué, sans enregistrement centralisé ni recours à des données à caractère personnel. Ils y ajoutent un calcul de la probabilité d’infection en fonction des lieux visités et des individus rencontrés[23]. L’estimation des risques de chaque téléphone serait enrichie des calculs effectués sur les autres téléphones rencontrés. Les concepteurs vont plus loin sur le mécanisme d’adoption de leur système : ceux-ci ne comptent pas sur une adoption pleinement volontaire mais plutôt sur « une pression sociale pour télécharger l’application afin de pouvoir se déplacer librement à l’extérieur dans des endroits où se trouvent d’autres personnes ». Les auteurs estiment que « les gouvernements pourraient rendre obligatoire l’utilisation de l’application pour accéder à certains lieux accueillant un grand nombre de personnes, tels que les épiceries, les écoles et les universités ». Ici aussi, se pose la question de la fiabilité d’une telle évaluation, dont les critères de calcul des risques n’est pas explicitée ni les biais envisagés. Les recherches se poursuivant pour préciser les modes de transmission, la construction d’une modélisation statistique s’avèrera bien complexe. L’attente d’une pression sociale pour persuader les individus à recourir à cette solution et la discrimination opérée pour accéder à certains services entre les individus ayant recours à l’application et ceux ne le voulant pas (ou ne le pouvant) pose de sérieuses questions d’un point de vue des droits fondamentaux.
« Au final, ces trois solutions posent moins un problème relatif à la protection des données qu’une réelle difficulté liée à la vision simplificatrice des modes de transmission du virus… pouvant créer un faux sentiment de sécurité »
Au final, ces trois solutions posent moins un problème relatif à la protection des données qu’une réelle difficulté liée à la vision simplificatrice des modes de transmission du virus… pouvant créer un faux sentiment de sécurité. Ces dispositifs pourraient même se révéler contreproductifs, en conduisant en l’absence de signalement de maladie à relâcher des bonnes pratiques (gestes barrières, port de masque) ou, en cas de faux positif, à conduire inutilement à une mesure de distanciation sociale et à augmenter l’anxiété d’une possible contamination. Un emballement autour d’une solution technologique semble commencer à prendre consistance, sans même s’interroger si l’état de nos connaissances sur le virus peut nous permettre de modéliser une telle solution. De manière tout aussi substantielle, l’exclusion des populations les plus fragiles n’ayant pas (ou ne voulant pas) avoir recours à une solution numérique conduit avec ce type d’ambition à les fragiliser en situation de crise. Il est donc surprenant que ces applications soient autant prises au sérieux vu leur manque évident de maturité.
La gestion de crise est un exercice qui impose aux décideurs publics d’ordonnancer clairement des priorités : la sortie de confinement, en France tout du moins, nécessitera d’abord d’acquérir les moyens nécessaires pour procéder à des tests de manière massive et d’équiper la population de masques efficaces. Ne dévalorisons pas la crédibilité des applications numériques en imposant dans les débats des solutions inutilement attentatoires à nos principes fondamentaux. Mais peut-être passons nous à un « nouvel âge de contrôle des individus[24] » ?
Pour aller plus loin
- Liste des applications de tracking mises en oeuvre pour lutter contre le Covid-19 : https://fs0c131y.com/covid19-tracker-apps/ et datavisualisation sur ce site.
- Coronavirus: une approche au niveau de l’UE pour un traçage efficace des contacts : https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf
- Webinar du Conseil de l’Europe dans le cadre des « petits déjeuners de l’IA », sur le thème « mythes et réalités des applications de suivi » : https://youtu.be/l9d3B6AuvdI et sa transcription en français.
Notes
[1] V. Manancourt, EU data regulator calls for pan-European COVID-19 app, POLITICO, 6 avril 2020
[2] J. Delcker, S. Brown, Europe shares code for new coronavirus warning app, POLITICO, 1er avril 2020, Europe to launch coronavirus contact tracing app initiative, CNBC, 1er avril 2020 et site du PEPP-PT : https://www.pepp-pt.org/ – Consulté le 7 avril 2020
[8] Ibid.
[11] Source : Statista, accessible sur https://fr.statista.com/statistiques/505110/taux-de-penetration-du-smartphone-par-age-france/ – Consulté le 7 avril 2020
[12] J. Delcker, S. Brown, Europe shares code for new coronavirus warning app, op.cit.
[15] En plus du RGPD que ce texte a mis en œuvre par la loi n°2018-493 du 20 juin 2018
[16] Déclaration conjointe sur le droit à la protection de données dans le contexte de la pandémie à COVID-19 – Accessible sur : https://rm.coe.int/covid19-declaration-conjointe/16809e0a17 – Consulté le 7 avril 2020
[17] COVID-19: Governments must promote and protect access to and free flow of information during pandemic, accessible sur : https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=25729&LangID=E – Consulté le 7 avril 2020
[18] Extraits de la déclaration sur le site l’Assemblée Parlementaire du Conseil de l’Europe, accessible sur : https://pace.coe.int/fr/news/7844/l-ia-peut-etre-un-outil-efficace-pour-lutter-contre-le-covid-19-a-condition-que-son-utilisation-notamment-la-localisation-des-personnes-soit-responsable-ethique-et-centree-sur-l-homme-selon-une-rappor – Consulté le 7 avril 2020
[20] Application StopCovid: la CNIL rappelle l’importance des gardes-fous, Huffington Post, 8 avril 2020
[22] Coronavirus et traçage numérique en France : « Des garde-fous s’imposent », France 24, 7 avril 2020 et P. Forteza, Tribune de 15 députés: «Nous avons besoin d’un dépistage massif, pas d’un pistage massif», Le Figaro, 8 avril 2020
[24] A. Basdevant, Covid-19 : un nouvel âge du contrôle des individus ?, Coup Data, 31 mars 2020
Animateur des Temps Electriques et auteur du l’ouvrage « L’intelligence artificielle en procès »
Les opinions exprimées n’engagent que son auteur et ne reflètent aucune position officielle du Conseil de l’Europe