Note d'analyse - Enjeux juridiques et politiques liés à l’identification et suivi des personnes atteintes du COVID-19

Eclairage Eclairage

Ces derniers mois, de nombreuses initiatives internationales, européennes et nationales visant à développer des outils numériques pour contenir la propagation de l’épidémie de COVID-19 ont vu le jour. Ces projets soulèvent d’importants enjeux politiques, éthiques et juridiques, qui relèvent à la fois de leur architecture et de leur gouvernance. 

Ils posent question sur la protection de la vie privée à l’heure du tout numérique et il paraît sain de revisiter le cadre juridique actuel pour s’assurer  contre une intrusion trop importante, voir une surveillance généralisée des populations.

  • Les principales initiatives en France 

Plusieurs projets ont été développés par les autorités publiques françaises dans le cadre de l’urgence sanitaire :

o   Suivant une approche traditionnelle de suivi épidémiologique, le Gouvernement français a  mis en place deux bases de données recensant les personnes infectées ou présentant un risque d’infection (Décret du 12 mai 2020). Le fichier SI-DEP (Système d’information national de dépistage populationnel) regroupe les résultats des tests au COVID-19 et l’identité des patients afin d’améliorer la prise en charge des personnes positives. Le second fichier, Contact Covid, a pour objectif d’appuyer le travail des « brigades sanitaires » chargées de proposer à l’entourage d’une personne diagnostiquée positive des mesures de dépistage et d’isolement. Leur action repose sur la participation active et volontaire des personnes testées positives : ce sont elles qui doivent fournir les noms et coordonnées des personnes rencontrées les 15 derniers jours, afin que les « brigades sanitaires » puissent les contacter.

o   La crise a également donné lieu au développement d’outils tout-à-fait nouveaux pour gérer la crise sanitaire. Plusieurs types d’applications mobiles, se distinguant par leurs finalités ou modes de fonctionnement, ont ainsi été déployés en Europe et dans le monde. Le Gouvernement français a quant à lui fait le choix de développer une application de tracage de contacts (contact tracing) des personnes atteintes du COVID-19.

Baptisée StopCovid, elle a pour objectif d’alerter ses utilisateurs du fait qu’ils se sont trouvés à proximité d’une personne diagnostiquée positive au COVID-19. L’application repose sur la technologie Bluetooth, permettant d’évaluer la proximité entre deux utilisateurs sans connaître leur localisation géographique. La conservation des données de proximité permet a posteriori d’alerter une personne qu’elle a été physiquement proche avec un malade. Cette application va être déployée sur base volontaire et à l’échelle nationale dans les prochaines semaines, le parlement ayant donné son acord.

  • L’enjeu de la protection des libertés fondamentales

La mise en œuvre à grande échelle de solutions technologiques afin de lutter contre une pandémie est une première dans l’histoire.  

Dans un processus d’adoption volontaire, la confiance des citoyens dans un tel dispositif est cruciale. Une appropriation massive est en effet une condition indispensable pour son efficacité. Ce n’est que si 50% au moins de la population, donc 80% des utilisateurs de smartphone, adopte l’application qu’elle se révèlera utile pour casser la chaîne de contamination.

En France, l’opinion publique est hésitante devant des outils qu’elle ne comprend pas bien mais dont elle identifie à la fois le potentiel et les dangers. Le risque principal identifié est le passage d’un système de « tracing »  avec pour objectif le contrôle de  la diffusion d’une pandémie à titre exceptionnel à un système de « tracking » qui pourrait suivre et mesurer l’activité sociale des personnes pour des motifs mercantiles ou de pouvoir, sans limitation des motifs et du temps. La crainte est donc de voir se mettre en place un système utilisé à titre exceptionnel maintenu dans le temps.

Au regard des enjeux et de la sensibilité du sujet, les autorités françaises ont pris une série de mesures afin de renforcer le cadre juridique et limiter les utilisations possibles.

o   Tant l’application StopCovid que la mise en œuvre des deux bases de données ont suivi l’avis de la Commission nationale pour l’informatique et les libertés (CNIL), chargée de contrôler le bon respect des règles relatives à la vie privée, en particulier le Règlement général sur la protection des données (RGPD).

En ce qui concerne l’application, la CNIL a relevé un certain nombre de garanties apportées par le gouvernement, notamment l’utilisation de données pseudonymes et l’impossibilité de remonter des listes précises de personnes contaminées. L’Autorité a également insisté sur la nécéssité de recueillir un consentement libre des utilisateurs. Ainsi, aucune conséquence négative ne devrait être attachée à l’absence de téléchargement ou d’utilisation de l’application (recours au test, au transport en commun, interdiction pour les employeurs de subordonner certains droits à cette application).

Dans les deux cas, la CNIL s’est penchée en détail sur le respect du principe de proportionalité, soulignant que le dispositif ne devait être maintenu que pour la durée de la crise sanitaire. De la même manière, la rétention des données doit être strictement limitée dans le temps. Pour les deux bases de données, le Gouvernement a ainsi limité la conservation des données à trois mois et fixé la suppression du dispositif à 6 mois maximum à compter de la fin de l’état d’urgence.

o   Le Gouvernement s’est par ailleurs conformé aux recommandations de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) sur le volet cybersécurité.

o   Enfin, le Gouvernement a également assuré la tenue d’un débat parlementaire suivi d’un vote sur le déploiement de l’application. Débat qui a eu lieu le 27 mai et débouché sur un vote positif, tant de l’Assemblée nationale que du Sénat.

Ce processus de discussion et d’élaboration  témoigne d’une volonté forte de se montrer exemplaire en termes de préservation des libertés fondamentales et de maintien du débat démocratique en temps de crise. D’autres pays, tel la Hongrie, n’ont par exemple pas hésité à suspendre des pans entiers du Règlement, dont ses dispositions relatives aux droits des personnes concernées par le traitement des données.

Certains états européens se sont, quant à eux, reposés sur les protocoles techniques fournis par les géants du net afin de développer leurs applications. Le débat sur ces « briques » technologiques utilisées est également vif, notamment sur la question des données collectées par ces outils.

Pour la France, à court et moyen terme, le principal enjeu sera de veiller à ce que les engagements du Gouvernement soient tenus. A plus long terme, il s’agira de s’assurer que la mise en œuvre d’un tel système n’ouvre pas la voie à d’autres iniatives répondant à des besoins moins impérieux que la protection de la santé publique et à une érosion progressive de la vie privée. Le contrôle démocratique, exercé par les autorités publiques comme la CNIL, les élus ou les associations de protection de la vie privée auront un rôle décisif et les débats actuels risquent de rebondir.

 

Note réalisée par Benjamin de VANSSAY et Giulia OLIVEAU sous la supervision de Thaima SAMMAN.