Le traçage numérique de la population sera-t-il la prochaine étape de l’urgence sanitaire ? Cette perspective est désormais sur la table : un comité de scientifiques doit étudier la question à partir du 24 mars.

Le gouvernement va-t-il envisager le pistage numérique de la population pour vérifier qu’elle respecte bien les règles du confinement et pour déterminer si des personnes a priori saines ont été en contact avec des individus contaminés par le coronavirus ? En tout cas, la réflexion va se poser concrètement à partir du 24 mars, à l’occasion de la mise en place d’un comité, le CARE.

Selon un communiqué de la présidence de la République, repris par Reuters, le comité CARE (Comité Analyse Recherche et Expertise) doit accompagner la réflexion des autorités « sur l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ». Celle-ci pourrait s’appuyer sur la géolocalisation des smartphones.

Douze personnalités de la recherche et de la médecine doivent composer ce comité, qui sera présidé par Françoise Barré-Sinoussi, une biologiste et virologue qui a travaillé pour l’institut Pasteur dans l’équipe ayant découvert le virus de l’immunodéficience humaine (VIH), causant le sida. Elle a d’ailleurs reçu en 2008 le prix Nobel de médecine pour ces travaux, avec son collègue Luc Montagnier.

Françoise Barré-Sinoussi, en 2012. // Source : Academy of Medical Sciences

Françoise Barré-Sinoussi, en 2012.

Source : Academy of Medical Sciences

Les contours de cette « stratégie numérique d’identification des personnes » demeurent flous à ce stade, à supposer qu’elle soit effectivement exécutée. Une première réunion doit avoir lieu ce 24 mars à 17 heures. Les avis du CARE sont a priori de nature consultative, de sorte qu’ils n’obligent pas le gouvernement. Cela étant, celui-ci assure fonder son action en prenant l’avis de la communauté scientifique.

Depuis l’accélération de la crise sanitaire, un nombre croissant de pays dans le monde prend des dispositions pour surveiller sa population, pour diverses raisons, avec des outils juridiques propres et selon des modalités variées, par exemple pour suivre des trajets ou pour vérifier le respect des quarantaines pour les personnes malades, mais ne nécessitant pas de soins intensifs.

Parmi les pays qui optent pour cette approche figurent l’Allemagne, l’Autriche, la Belgique, la Chine, la Corée du Sud, l’Espagne, les États-Unis, l’Italie, Israël, la Pologne, la Russie, ou encore Taïwan.

Une réflexion qui avance en France

En France, des voix se sont aussi élevées pour suggérer l’exploitation des données, mais pas forcément pour pister les individus : plutôt pour modéliser la propagation du Covid-19, ce qui pourrait servir aux épidémiologistes à l’avenir en cas de nouvelle crise sanitaire. C’est ce que ce défend par exemple Stéphane Richard, le PDG d’Orange, le plus important des opérateurs en France, dans les colonnes du Figaro.

« Nous travaillons avec l’Inserm pour voir comment les données peuvent être utiles pour gérer la propagation de l’épidémie[…] Dans un tel usage, les données de géolocalisation sont anonymisées. Ainsi, il faudrait pouvoir garder des données sur une durée de temps longue, or actuellement nous devons les supprimer au bout d’un an, nous voudrions les garder deux ans. Ce sont des travaux tout à fait essentiels ».

Le 20 mars, il parlait aussi de « mesurer l’efficacité des mesures de confinement », via des « données anonymisées et agrégées ». « Il ne s’agit pas de traquer les gens individuellement », insistait-il, mais « il faut au moins savoir si les gens respectent les périmètres de confinement, ou s’ils se déplacent, sans pour autant savoir qui va où ». « Indispensable » pour s’en assurer, jugeait-il.

sénat

Deux sénateurs ont proposé d’assouplir la collecte de données de géolocalisation au détour d’un amendement, sans succès. // Source : Julien Chatelain

Au niveau parlementaire, une tentative récente pour inclure le pistage numérique dans la loi visant à faire face à l’épidémie de Covid-19 a été stoppée. Un amendement déposé par les sénateurs Patrick Chaize et Bruno Retailleau visait à faciliter les procédures imposées aux opérateurs dans la collecte et le traitement des données de santé et de localisation, en les autorisant pour six mois.

Quels leviers juridiques ?

Selon La Quadrature du Net, une association défendant les libertés des individus dans l’espace numérique, la loi sur le renseignement de 2015 paraît déjà offrir l’arsenal juridique adéquat pour le recueil et l’exploitation en masse des données de géolocalisation auprès des opérateurs télécoms, notamment en temps réel. Il faudrait toutefois avoir une lecture très souple des dispositions de ce texte.

Interrogés le 18 mars à ce sujet par BFM TV, deux députés de la majorité faisaient entendre une tonalité moins alarmiste. « Cela reste inenvisageable dans l’état actuel de notre droit », arguait Éric Bothorel, le référent numérique à LREM. Quant à Jean-Michel Mis, rapporteur de la mission d’évaluation de la loi renseignement de 2015, il déclarait « qu’un tel dispositif n’est pas évoqué et ne correspond pas à notre culture ».

Mais la réalité de la crise sanitaire distord l’horizon politique et ce qui n’était pas d’actualité il y a encore deux semaines peut désormais être sur la table aujourd’hui.

Comme le faisait remarquer Alexandre Archambault, un avocat spécialiste du droit des réseaux, il existe aux niveaux administratif et judiciaire des dispositions permettant d’obtenir la géolocalisation d’abonnés, y compris pour des enquêtes relatives à des suspicions de fraude fiscale ou sociale. Cependant, ces mesures sont ciblées à une personne, pas à un groupe d’individus ou à tout le pays.

Illustration du coronavirus. // Source : Numerama / Claire Braikeh

Illustration du coronavirus.

Source : Numerama / Claire Braikeh

Dans la mesure où ces données de géolocalisation pourraient permettre de déduire ou d’impliquer des données de santé — qui est malade et qui ne l’est pas –, des questions vont nécessairement se poser sur d’éventuels ajustements réglementaires et sur le rôle de la Commission nationale de l’informatique et des libertés (CNIL). En effet, les données de santé sont des données dites sensibles.

En la matière, la CNIL a rappelé début mars que les données de santé bénéficient d’une protection spéciale, à travers le Code de la santé publique et du Règlement général sur la protection des données (RGPD).

Ces données « peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation ». Il est aussi noté que  « l’évaluation et la collecte […] des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ». Or, justement, le RGPD prévoit des dérogations exceptionnelles, comme une crise sanitaire.

Ainsi, si le traitement des données personnelles révélant la situation sanitaire d’un individu est interdit, il est autorisé — et même nécessaire — « pour des motifs d’intérêt public dans le domaine de la santé publique ».


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.