Covid-19 et applications de traçage : Le droit ne doit pas céder aux chants des sirènes du solutionnisme technologique
Écrit par Mark Likhten – avocat – et Sylvain Longhais – auxiliaire de recherche au Laboratoire de cyberjustice.
Dans ce contexte de pandémie que l’on connaît, Evgeny Morozov rappelait l’importance de ne pas céder au solutionnisme technologique ayant notamment pour conséquence de sacrifier la vie privée des personnes au nom de la santé publique. En cause, les multiples propositions pour des applications de traçage des malades de la Covid19 qui ont fleuri récemment qu’elles soient d’initiative gouvernementale ou privée ont de quoi faire frémir quant aux répercussions négatives qu’elles peuvent avoir sur la vie des citoyens. Au Québec, une telle solution technologique a été annoncée par Yoshua Bengio, Directeur scientifique de Mila. La France et d’autres pays d’Europe ont également présenté l’élaboration d’outils de traçage tandis qu’Apple et Google, rassemblant à eux seuls la grande majorité du marché de téléchargements d’applications, avaient annoncé une collaboration visant à créer une architecture technologique similaire.
De manière générale, il s’agit d’applications installées sur les cellulaires enregistrant les identifiants électroniques des utilisateurs ayant été à proximité les uns des autres. La technologie Bluetooth sur laquelle s’appuie le bon fonctionnement de l’application capte un signal jusqu’à quelques mètres, qui permet d’alerter une personne qu’elle a été en contact avec une autre qui s’est déclarée comme positive au virus selon des modalités qui restent encore à définir. Ainsi, de plus en plus d’États ont l’espoir que le recours à ces technologies de traçage aide à remplir un double objectif qui serait d’enrayer l’épidémie, tout en procédant au déconfinement de la population. Si l’objectif est louable et souhaitable, la stratégie adoptée l’est moins. Dans une optique de trouver des solutions à la hâte à des problèmes qui ne nécessitent pas qu’on les traite impérativement de cette manière, il semble que les États prennent le risque de mettre à mal certaines libertés individuelles en se cachant derrière des technologies faussement disruptives, à des fins de faire semblant d’agir.
De manière indispensable et à l’image de nombreux chercheurs à travers le monde, des questions doivent être posées sur l’efficacité réelle de l’utilisation de ces applications de traçage de la population, des technologies employées jusqu’au mode de déploiement de l’outil. En d’autres termes intéressant le droit, est-ce que ces applications sont respectueuses des lois de protection des données personnelles ? Est-ce que ces nouvelles technologies, par leur contribution à la situation sanitaire d’un État, justifient que des atteintes en matière de libertés fondamentales soient commises ? N’y a-t-il pas un risque de voir ces technologies au service de finalités nourrissant les dérives de surveillance de masse ?
Les enjeux relatifs à la protection des renseignements personnels
Ces dernières semaines que ce soit au Canada ou en Europe, la plupart des autorités de contrôle responsables de la protection des renseignements personnels y sont allées de leurs recommandations, mises en garde ou conseils, concernant l’élaboration, le déploiement des applications de traçage et in fine l’utilisation des données collectées. La Commission d’accès à l’information (CAI) a par exemple rappelé la nécessité de respecter les principes et bonnes pratiques en matière de protection des renseignements personnels. De son côté, l’instance fédérale a rappelé dans un document d’orientation quelles étaient les lois applicables et leurs dispositions les plus importantes, ainsi qu’une série de principes particulièrement applicables au contexte. En France, la Commission nationale de l’informatique et des libertés (CNIL) et le Conseil national du numérique (CNNUM) ont également rappelé la nécessité pour de telles applications de respecter les règles en matière de protection des données personnelles tandis qu’au niveau de l’Union européenne, la Commission a présenté une « boîte à outils » de 44 pages fournissant notamment les exigences techniques essentielles dans le cadre du développement de ces applications, ainsi que des orientations sur le sujet. Le Comité européen de la protection des données (CEPD) a quant à lui émis deux séries de lignes directrices qui, compte tenu de l’urgence sanitaire, n’ont pas été soumises à consultation. L’une portait sur le traitement des données de santé à des fins de recherches et la seconde sur le traitement des données de localisation dans le contexte de la pandémie de Covid19.
Si de manière générale on doit souligner l’effort qui a été fait pour apporter une réponse technique qui clarifie le type de technologie à utiliser afin de respecter au mieux les mesures de protection des données, ainsi qu’un rappel complet des règles applicables et de leur interprétation par les différentes autorités de contrôle, il faut également déplorer la frilosité de ces acteurs s’agissant de prendre position sur la nécessité d’avoir recours auxdites technologies de traçage. Dans l’ensemble, tout semble justifié par la situation sanitaire publique, et ce quoiqu’il en coûte. La CAI procède à un test de proportionnalité eu égard au caractère non absolu du droit à la vie privée, caractère également pointé par le Commissariat à la protection de la vie privée du Canada (CPVC). La CNIL et le CNNUM justifient le recours à de telles applications par la gravité de la situation actuelle. Le CEPD a rappelé que la législation européenne en matière de données personnelles permettait des mesures de suivi numérique dans certaines conditions.
Cette frilosité est dangereuse pour au moins deux raisons :
La première raison est, rappelons-le, que le droit sur les renseignements personnels est protecteur afin de permettre la libre circulation de ces derniers. Cela signifie que dans ce contexte, on ne peut pas s’opposer sur le seul fondement du droit des renseignements personnels, aux développements de telles applications de traçage, si les dispositions légales sont respectées. Cela signifie que justifier par un test de proportionnalité ou par l’impérieuse nécessité de faire face à la crise actuelle, la mise en place de technologies de traçage, c’est les acter. Les acter, c’est s’exposer aux risques tout en pensant être bien protégé par nos lois. C’est donc surestimer ces dernières. Mais soyons réalistes, dans ce contexte, on ne pourra compter que sur la protection des données personnelles a posteriori lorsque les dommages seront causés et qu’il faudra les réparer. À ce moment-là, ça sera notamment aux autorités de contrôle qui ont justifié l’utilisation de ces applications fortement intrusives de faire face aux conséquences.
La deuxième raison est qu’on ne peut pas tout justifier sur le fondement de la protection des données personnelles. Plus précisément, il ne faudrait pas que les problématiques de protection des données personnelles occultent d’autres atteintes tout aussi préoccupantes. Ainsi, à la lecture de ces justifications, on pourrait penser que tant que les dispositions de protection des données sont respectées, tant que le bouclier de protection des données est actif, aucune autre atteinte ne peut exister. Ainsi, il aurait été de bon ton que la recherche de justification pour mettre en place des applications de traçage ne soit pas faite uniquement à la lumière des principes de vie privée et de protection des données personnelles, mais également sur d’autres libertés mises à mal. Peut-être que le discours aurait été différent ou du moins plus difficile à justifier de manière crédible. En effet, ce n’est pas parce qu’une branche du droit répond de manière un peu plus adaptée aux développements technologiques que l’on doit nécessairement chercher à régler toutes les atteintes en une seule sous sa houlette.
Sur les atteintes certaines aux libertés individuelles
Au Québec, l’application de la Loi sur la santé publique, dont l’article 118 permet, sous certaines conditions, de déclarer l’état d’urgence sanitaire, entraîne la possibilité d’exercer des pouvoirs exceptionnels, essentiellement énumérés à l’article 123 de cette même loi. L’état d’urgence sanitaire peut être déclaré par le gouvernement pour des périodes maximales renouvelables de 10 jours, ou de 30 jours si c’est fait avec l’assentiment de l’Assemblée nationale. Ces dispositions doivent nous rappeler à quel point ces mesures sont exceptionnelles. En France, un dispositif relativement similaire se trouve dans le code de la santé publique.
Ainsi, c’est ce type de mesures qui justifient l’entrave aux libertés individuelles telles que la liberté d’aller et venir ou la liberté de réunion. Dans tous les cas, même si l’entrave est nécessaire, il faut qu’elle soit légitime ce qui est démontré entre autres par l’efficacité de la mesure entraînant l’atteinte. Dans le cas des applications de traçage, l’efficacité et la pertinence de ces dernières étant assez contestable à l’heure actuelle, il semblerait que les États soient en mal d’arguments convaincants autres que celui du solutionnisme technologique, puisqu’il reste beaucoup de zones d’ombres que ce soit concernant la technologie employée ou encore l’efficacité sur le terrain.
En effet, des limites techniques quant à l’utilisation du Bluetooth sont par exemple déjà entrevues. Selon certains chercheurs, la collecte d’informations par Bluetooth est bien supérieure à la distance de sécurité de deux mètres. Ainsi, cela aurait tendance à altérer la précision de l’outil et favoriser la détection de faux positifs. Selon Ross Anderson, professeur à l’université de Cambridge, plusieurs limites à la technologie et à son utilisation sur le terrain peuvent être relevées. Il rappelle que certains matériaux ne sont pas hermétiques au signal Bluetooth comme le placoplâtre, ce qui entraînerait la détection par l’application de personnes n’étant pas nécessairement dans la même pièce et contribuant également à fausser les résultats. Cela aurait notamment pour conséquence le déclenchement de notifications incessantes pour les personnes utilisant l’application, qui au bout d’un moment n’y feraient plus attention. Ainsi, l’application aurait un effet contre-productif considérable. De plus, l’utilisation de systèmes décentralisés s’avèrerait selon lui, complexe en pratique puisque les mises à jour sur autant d’appareils différents utilisant des communications en pair-à-pair obligeraient les autorités publiques de la santé à gérer trop de paramètres en même temps. Il a en outre été observé que pour la plupart des applications, l’enregistrement des contacts a lieu toutes les cinq minutes ce qui aurait pour conséquence de passer à côté de certaines personnes infectées. Enfin, concernant l’anonymisation des données qui est la tête de gondole des gouvernements prônant le développement de ces outils, Ross Anderson rappelle que la technologie n’a pas vocation à préserver l’anonymat puisque la détection d’un malade et son diagnostic entraîne sa notification aux autorités publiques de santé afin de prévenir de potentiels contacts avec qui la personne a été en lien. Pas certain donc que ces applications remplissent les critères qui justifient des entraves aux libertés. Les gouvernements, conscients que rendre l’installation d’une telle application obligatoire serait perçu comme une mesure autoritaire et excessive en matière d’atteinte aux libertés, tirent leur source de légitimité du volontariat.
Cependant, les atteintes peuvent exister, volontariat ou non et elles peuvent être directes ou indirectes.
Les premières résulteraient de l’utilisation de l’application à des fins directement reliées aux atteintes. Ainsi, tel serait le cas si l’application était utilisée à des fins détournées par un État pour limiter ou restreindre volontairement les libertés individuelles des citoyens. Elles sont théoriques, mais ne doivent pas être sous-estimées.
Les secondes, indirectes, seraient par exemple un cas de faille de sécurité entraînant l’identification de la personne (les données utilisées par ces applications étant essentiellement les contacts de l’utilisateur avec les autres individus, même anonymisées, il serait relativement facile pour une personne d’identifier ces individus rencontrés ou côtoyés). Dans ce cas, les risques de dérapages possibles dus à une utilisation malveillante ou même inappropriée seraient quasi infinis. Si l’information sur la « dangerosité » d’une personne, justifiée ou non, devenait accessible, celle-ci pourrait se voir refuser l’accès à des établissements, un emploi, un service ou devenir victime d’isolement, de harcèlement, voire de crimes haineux. Cela poserait alors, non plus uniquement un problème d’atteinte à la vie privée, mais de discrimination, d’atteinte à la liberté et à la sécurité des personnes entre autres. Tout cela est même plausible advenant une utilisation généralisée des applications, qui créerait une minorité « à risque » ou n’ayant tout simplement pas accès à la technologie. La protection des droits d’une telle minorité deviendrait précaire.
De plus, l’utilisation de ce type d’applications de traçage expose à des risques en matière de surveillance de masse.
Les risques de dérives de surveillance de masse
Les révélations d’Edward Snowden en 2013 ne doivent pas être oubliées, surtout s’agissant du développement de ce type de technologies de traçage. Il devrait être gardé à l’esprit qu’elles sont un terreau fertile en matière de surveillance de masse. C’est d’autant plus le cas lorsque les objectifs de l’utilisation de ces applications ne sont pas clairs. Est-ce que c’est pour informer les gens quant aux risques de côtoyer leurs voisins ? Est-ce que c’est permettre au gouvernement de mettre en place et contrôler un confinement sélectif plutôt que généralisé ? Ce même confinement obligatoire ne devait-il pas initialement servir à « aplatir la courbe » comme les gouvernements ne cessaient de nous le répéter ? Aujourd’hui, la courbe est aplatie, mais de nouvelles raisons sont évoquées pour prolonger le confinement. La même dynamique risque de s’appliquer aux applications de traçage, aujourd’hui elles seront utilisées pour informer les gens, et demain pour contrôler leur déplacement. De plus, on pourrait voir apparaître une forme de défiance envers les personnes n’ayant pas l’application qui, sous la pression sociale, l’installeraient entraînant la mise en place d’un réseau de traçage de plus en plus important.
Se posera ensuite la question de l’après, et du démantèlement supposé de l’application. Il faudra être très vigilant et rigoureux quant à la suppression des données afin de s’assurer de leur non-réutilisation. L’histoire nous montre qu’il est dangereux de mettre une technologie de cette nature entre les mains d’un gouvernement sans contre-pouvoir et par le biais de l’accès aux immenses ressources exploitées par des compagnies privées. Il est alors encore plus inquiétant de voir certains gouvernements tenter de développer leur propre application alors que l’on a pour le moment que très peu d’informations sur l’instance étatique qui en serait responsable et quelles autres y auraient accès. Il est cependant tout aussi dangereux de laisser libre cours aux géants technologiques, ceux-ci n’ayant pas la réputation d’être les plus vigilants lorsqu’il est question, entre autres, de données personnelles. Ainsi il est impératif que le débat ait lieu et qu’il ne soit pas qualifié de prématuré.
Le débat est d’autant plus primordial puisque ces outils risquent d’étendre un peu plus ce que Shoshana Zuboff définit comme le capitalisme de surveillance et qui est théorisé dans son ouvrage quasiment éponyme L’ère du capitalisme de surveillance paru en 2018. La notion renvoie à une forme de capitalisme fondée sur l’économie de la donnée, puisque basée sur une logique d’accumulation ; cette dernière renforcée notamment par le processus de « Big Data ». Là où le capitalisme industriel exploite une force de travail, le capitalisme de surveillance exploite notre existence, résume Françoise Laugée à propos de la théorie de S. Zuboff. Ce n’est pas par hasard que dès 2003, Google déposait un brevet intitulé « Générer des informations utilisateur à des fins de publicité ciblée ». Il s’agit donc par le biais d’un système que S. Zuboff appelle « Big Other » d’exercer une surveillance sur les activités d’individus générant des données en les incitant à en partager toujours plus ; la finalité étant de prédire les comportements à des fins commerciales. À cet égard, le développement des outils de traçage s’inscrit de manière inquiétante dans la notion de capitalisme de surveillance. L’élaboration de tels outils par des firmes privées, quand bien même il ne s’agit que de l’architecture technologique ou « socle » de l’outil, leur permettrait de réaliser une nouvelle cartographie précise en collectant notamment les données de santé des individus qui utilisent ces applications dans le cadre d’une pandémie ; et étendant de facto le degré de contrôle et de surveillance. Cette pratique serait adoubée par les États qui déploieront leurs outils sur les plateformes de téléchargements d’applications. On a d’ailleurs à ce titre, peine à croire que l’annonce du partenariat entre Apple et Google ne soit que pure philanthropie. Cette ligne rouge ne doit pas être franchie. Il est capital que les États n’ouvrent pas la boîte de Pandore en démocratisant des applications tierces ayant pour but de tracer la population en collectant des données sensibles qui in fine deviendront de la matière commerciale. La surveillance de la population à des fins de gestion de crise ne doit pas devenir une norme sur laquelle on fonde une économie… de surveillance.
Le débat en cours cristallise à lui seul la réalité de l’enjeu au sein duquel s’opposent nécessité d’agir et défense des libertés, les partisans de l’une, prêts à jouer aux apprentis sorciers sans égards aux conséquences à moyen et long terme, les partisans de l’autre s’inquiétant à juste titre des répercussions futures. Mais, au-delà par exemple de la sempiternelle opposition entre vie privée et intérêts concurrents, le débat actuel révèle surtout la nécessité d’une approche macrojuridique par laquelle les mutations numériques de nos sociétés avancées sont examinées dans une perspective multidisciplinaire. Ce doit d’autant plus être le cas à l’heure où l’acceptation sociale du capitalisme de surveillance a tendance à croître. Ainsi, avant de céder au chant des sirènes du solutionnisme technologique, analyser ces outils au regard du droit dans une optique globale afin d’apprécier leur licéité est une nécessité absolue. Parallèlement, explorer des mesures alternatives moins dangereuses pour les libertés fondamentales et nos sociétés démocratiques semble également indispensable.
À l’avenir, l’anticipation de ces situations de crise devra être prise en considération de manière sérieuse et à tous les niveaux afin que l’on puisse répondre de manière adéquate lorsqu’elles deviennent réalité.
Ce contenu a été mis à jour le 9 juin 2020 à 13 h 33 min.