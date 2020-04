Covid19 : La Commission Européenne choisit la surveillance numérique pour endiguer la propagation

Lundi 23 mars 2020, la Commission européenne s’est entretenue avec divers opérateurs de téléphonie mobile, afin de collecter et traiter les données de géolocalisation de leurs clients. L’objectif, selon l’actuel PDG d’Orange Stéphane Richard, est de « modéliser la propagation de l’épidémie » et « mesurer l’efficacité des mesures de confinement ». Cette méthode de pistage, appelée « backtracking », alimente les réactions et crée le débat en Europe comme dans le monde entier. Dans cette « guerre » lancée au Covid-19, les moyens médicaux traditionnels ne semblent plus suffire, laissant place à un nouveau traitement : la surveillance numérique.

Un projet Européen pour coordonner la force de frappe contre la pandémie

« L’Union européenne vient ainsi grossir le rang des puissances qui voient le backtracking sanitaire comme un élément indispensable du contrôle de la pandémie. » Si André Loesekrug-Pietri, entrepreneur et directeur exécutif de la Joint European Disruptive Initiative (Jedi) affirme cela, c’est parce que depuis le 19 mars 2020, le Comité européen de la protection des données (CEPD) a suspendu une interdiction majeure. Celle d’échanger et de traiter les informations personnelles des citoyens européens. Dans son communiqué « Déclaration sur le traitement des données personnelles dans le contexte de l’épidémie de Covid-19 », le CEPD atteste, en se référant au Règlement général sur la protection des données (RGPD), qu’il est désormais permis « aux autorités de santé publique compétentes et aux employeurs, de traiter les données personnelles dans le cadre d’une épidémie, conformément à la législation nationale et dans les conditions qui y sont fixées. »

S’appuyant sur cet assouplissement juridique, le Commissaire européen au marché intérieur Thierry Breton a par la suite contacté huit opérateurs téléphoniques, un par pays (Orange Telecom Italia, Telefonica, Deutsche Telekom, Telia, Vodafone, Telenor et A1 Telekom Austria). Cet ancien dirigeant de France Télécom a obtenu l’aval de toutes les compagnies, ouvrant ainsi la voie à un projet inédit au niveau Européen. En effet, bien que les données soient fournies par des opérateurs nationaux, ces derniers ne participent en aucun cas au traitement des informations collectées. Seule la Commission récoltera, agrègera et analysera les données personnelles afin d’apporter une coordination européenne dans la lutte face au Covid-19. Par conséquent, seule la Commission sera tenue pour responsable de toute éventuelle dérive.

La Commission européenne s’engage ainsi dans le backtracking, ou traçage numérique, pour « mieux analyser les modes de diffusion du coronavirus ». Le cabinet de Thierry Breton explique vouloir modéliser la propagation de l’épidémie sur le territoire en temps réel. Cette carte virtuelle doit mettre en évidence les zones les plus touchées nécessitant davantage d’aides et anticiper les pics de contamination dans certaines régions. Le second objectif est de vérifier « le lien entre les mesures de confinement et la propagation du virus » pour percevoir l’efficacité de ce confinement mais aussi son respect par la population. En Italie, cette méthode a fait ses preuves en informant, par la collecte des données mobiles, que seulement 60% de la population lombarde était restée à la maison après la mise en quarantaine de toute la région. Ces résultats ont permis à l’Italie d’adapter sa politique dans la région en durcissant le confinement.

Ces temps exceptionnels engendrent-ils des mesures hors-normes ?

Dix jours après l’utilisation des données de localisation par l’Italie, tous les membres de l’Union européenne se sont vu accorder le même droit. Ce droit qui pourtant, s’avère être un délit en temps ordinaire. En effet, le RGPD prévoit des sanctions particulièrement élevées pour l’utilisation de données personnelles sans accord préalable, pouvant atteindre 20 millions d’euros. Mais la situation actuelle remet en questions nos cadres juridiques habituels et nous amène à nous demander jusqu’où la lutte contre la pandémie permet-elle d’enfreindre les droits ordinaires des citoyens ?

La Commission européenne, fortement engagée dans la protection des données ces dernières années, a voulu ancrer sa décision dans la légalité en se conformant au règlement du RGPD. Ce texte de référence autorise l’utilisation de données personnelles à une condition : d’obtenir le consentement préalable et explicite des personnes ou de rendre anonyme les informations obtenues. Dans le premier cas, les circonstances exceptionnelles viennent changer la règle énoncée. Comme l’explique Thierry Breton : « la quasi-totalité de l’Europe a été confinée, un fait totalement inédit ». Par conséquent, « dans ces circonstances, il n’est pas nécessaire de se fier au consentement des individus » affirme la CEPD, dans son communiqué du 19 mars cité précédemment. En effet, ce cadre singulier est prévu dans le RGPD à l’article 6-1.e : « Le traitement n’est licite que si le traitement est nécessaire à l’exécution d’une mission d’intérêt public », « tels que la protection contre les menaces transfrontalières graves pesant sur la santé », précise l’article 9-2.i.

Bien que ces circonstances atypiques permettent de transgresser la première règle (obtenir le consentement préalable des citoyens), la Commission européenne s’est voulue encore plus rassurante en promettant l’anonymisation des données. Le chercheur Inserm Eugenio Valdano, en collaboration avec Orange, explique ce positionnement : « Nous n’allons pas nous intéresser aux déplacements d’un individu particulier, en regardant comment il a bougé et où. Nous allons plutôt analyser des données quantitatives anonymisées qui rendent compte de la mobilité entre zones géographiques grâce à la localisation des antennes relais ». Ces collectes de données doivent donc évaluer l’effet du confinement « à l’échelle d’un code postal » assurant un champ de recherche large et impersonnel, explique le cabinet de M. Breton.

Par conséquent, cette décision européenne porte un objectif davantage informatif et non répréhensif, en écartant toute personnalisation des données. En cela l’Europe se différencie des autres mesures prises dans le monde et particulièrement en Asie : « Ce n’est absolument pas du traçage individualisé. Mais des données agrégées d’un seul opérateur. Ce qui n’a rien à voir à ce qui s’est pratiqué en Chine, en Corée du Sud ou à Singapour ou en Israël. » assure le Commissaire européen au marché intérieur.

Vers un modèle de surveillance asiatique ?

Sur ce sujet, le vieux continent n’est ni précurseur ni le plus investi. En Asie, l’émergence du virus a très rapidement conduit les autorités à se tourner vers l’utilisation des technologies, en complément ou en prévention du combat médical. Contrairement à la Commission européenne, ces pays ne font pas le choix de l’anonymisation, afin de suivre au cas par cas la propagation du virus. Cette personnification suit deux objectifs : faire respecter les consignes de confinement et suivre la contamination de la population.

A Taïwan, le chef du département de la cybersécurité Jyan Hong-wei, mise sur les nouvelles technologies pour vérifier l’application de la période de quarantaine et ainsi « empêcher les gens de sortir et de propager l’infection ». Dès lors, si une personne placée en quarantaine manque à ses obligations de confinement, la police en est directement informée. La personne est alors contactée par téléphone ou reçoit la visite des autorités publiques dans les 15 minutes. En complément, deux appels sont passés par jour afin de s’assurer que le téléphone ne soit pas laissé à la maison. En cas de non respect des consignes, une amende d’un million de dollars taïwanais (30 000 €) est imposée, en plus de la publication du nom de l’individu. L’amende peut être doublée si cette personne a emprunté les transports en commun. Ce modèle de prévention est suivi par d’autres pays asiatiques comme la Corée du Sud qui a développé une application similaire et Hong Kong qui a opté pour un bracelet électronique localisant les personnes en quarantaine.

Mais l’utilisation de la géolocalisation ne sert pas seulement à surveiller les personnes déjà placées en quarantaine mais doit également définir les individus à placer en quarantaine. Ainsi, le ministère de l’Industrie et des Technologies avec les autorités de santé ont récolté, grâce aux opérateurs China Mobile, China Unicom et China Telecom, les localisations de leurs clients étant passés par la province d’Hubei. Les autorités chinoises ont par la suite développé dès la fin du mois de février, dans les régions les plus touchées, une application en partenariat avec le géant Alibaba.

L’application classifie les habitants selon leurs derniers déplacements et donc la probabilité qu’ils aient pu entrer en contact avec un malade. Trois catégories sont ensuite établies : rouge, interdisant de sortir de chez soit pendant deux semaines ; jaune, demandant de se mettre en quarantaine pour sept jours ; vert, laissant l’individu libre de ses déplacements. Utiliser la géolocalisation pour voir où les personnes infectées auraient pu propager le virus et à qui elles auraient pu le transmettre, est un modèle repris, comme à Taïwan où « Lorsque nous avons un cas confirmé, nous demandons au fournisseur téléphonique de nous transmettre les lieux où ont été détectés le signal de son téléphone mobile », explique Yu-Lun Liu, médecin au sein du département du renseignement du Centre taïwanais pour le contrôle des maladies (CDC).

D’une manière générale, le backtracking reçoit dans ces pays l’adhésion de la population, explique Nathalie Devillier, appartenant au Groupe d’Experts de la Commission européenne sur la Responsabilité et les Nouvelles Technologies. Cela s’explique en partie par le souvenir encore récent des dernières pandémies, tel le SRAS et le MERS pour la Corée du Sud. A Taïwan, le SRAS avait engendré un lourd bilan (84 décès), faisant de ce dernier la troisième zone la plus touchée après la Chine et Hong Kong. Suite à cet événement, les autorités avaient décidé de mettre en place un centre de commandement dédié aux crises sanitaires afin de se préparer à toute épidémie future.

Ainsi, les technologies ne sont pas perçues comme une menace mais comme un bouclier contre la propagation du virus et leur utilisation reçoit dès lors le consentement global de la population. En témoigne la popularité de la présidente Tsai-ing Wen dépassant aujourd’hui les 60 %, comme le rapporte Stéphane Corcuff, spécialiste de la géopolitique du monde sinophone.

Une Europe intéressée mais prudente, qui doit pour préserver un Etat de droit, se munir de garde-fous.

Une équipe de chercheurs de l’université d’Oxford travaille actuellement sur une application prévenant l’utilisateur si celui-ci a été en contact avec une personne porteuse du virus. Même principe en Autriche avec l’application « Stopp Corona », sous l’égide de la Croix-Rouge, qui propose d’enregistrer tous les contacts avec qui l’utilisateur a passé plus de 15 minutes, à moins de 2 mètres, dans les deux jours précédents. Si la personne est par la suite positive au Coronavirus, ses contacts en sont informés. Cette application basée sur le volontariat, a été téléchargée plus de 130 000 fois.

L’Allemagne s’intéresse quant à elle à l’utilisation du bluetooth pour envoyer un « push » au divers contacts de l’utilisateur, afin de ne pas permettre une géolocalisation constante. Ce modèle basé sur l’application « Trace Together » utilisée à Singapour, séduit de plus en plus et notamment en France. En effet, selon une étude commandée par une équipe de recherche d’Oxford, huit Français sur dix seraient favorables à l’installation d’une telle application (48 % des sondés l’installeraient « sans aucun doute » et 31 % le feraient « probablement »). Bien que réticent au départ, le gouvernement français s’oriente désormais vers cette piste comme l’explique Cédric O, secrétaire d’Etat au numérique : « Le gouvernement a décidé de lancer le projet « StopCovid » afin de développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission ».

Ainsi, comme l’explique Martin Untersinger, journaliste au Monde : « L’idée fait peu à peu son chemin dans le monde entier. … Utiliser la masse de données personnelles numériques générées par nos smartphones peut aider à comprendre la manière dont le virus progresse, voire guider les décisions de mise en quarantaine. » Les divers Etats et même des instances comme l’OMS se penchent donc vers la surveillance numérique, l’utilisation d’application, imposée ou sur la base du volontariat… « En dépit du caractère très intrusif des dispositifs de surveillance, il est difficile de ne pas admettre leur utilité au regard de l’urgence sanitaire », estime Romain Perray, avocat en charge de la Protection des Données et de la Cybersécurité. Mais pour l’eurodéputée néerlandaise Sophie in’t Veld : « Il faut être attentif » et veiller à un équilibre entre sécurité et liberté : « Je ne voudrais pas me réveiller un jour en me rendant compte que les garde-fous de la démocratie et de l’Etat de droit dans l’UE ont disparu ».

Dans cette optique, 110 organisations internationales de défense des droits humains (tels que Amnesty International, Algorithm Watch, European Digital Rights, Human Rights Watch, World Wide Web Foundation…) ont souhaité mettre en garde les Etats dans leur rôle de défenseur des libertés et droits humains : « Un accroissement des pouvoirs de surveillance numérique des Etats, comme l’obtention de l’accès aux données de localisation des téléphones portables, menace la vie privée, la liberté d’expression et la liberté d’association, d’une manière qui pourrait violer les droits et dégrader la confiance dans les autorités publiques - sapant l’efficacité de toute réponse de santé publique. »

Les gouvernements sont donc appelés à mettre en place des mesures de surveillance « légales, nécessaires et proportionnées » ; à promouvoir une transparence de leur mise en place ; à servir par l’utilisation de ces données uniquement les objectifs de lutte face au Covid-19 ; à sécuriser les données… Certains Etats se retrouvent déjà en contradiction avec les critères énoncés, comme Israël. En effet, les 110 ont appelé à un « renforcement de la surveillance qui ne doit pas relever des services de sécurité ou de renseignement ». Or, le gouvernement Israélien a développé une application « The Shield » (le Bouclier), géolocalisant les personnes infectées, et permettant par ce biais au Shin Bet (service de sécurité intérieure israélien) d’accéder aux données des usagers. Ce communiqué souhaite donc rappeler qu’ « aujourd’hui plus que jamais, les gouvernements doivent veiller rigoureusement à ce que les restrictions imposées aux droits humains ne piétinent pas les garanties en la matière établies de longue date. »

Dans cette optique, la Commission européenne s’est engagée d’une part à rester en accord avec la RGPD, mais également à limiter dans le temps sa mesure, critère également énoncé par les 110. « Dès la fin de la pandémie, elles sont détruites. » assure Thierry Breton. Aux 110 de conclure que : « La pandémie de COVID-19 est une urgence de santé publique de portée internationale qui requiert une réponse coordonnée et de grande ampleur de la part des gouvernements du monde entier. Cependant, les initiatives des États visant à contenir le virus ne doivent pas servir de prétexte à entrer dans une nouvelle ère de systèmes généralisés de surveillance numérique invasive ».