Close
  • Français
  • English

Tracing but not Tracking (par le général d’armée (2s) Watin-Augouard, fondateur du FIC)

19/05/2020

Du tracking au tracing, seule une lettre fait apparemment la différence. En vérité le fossé est béant ! D’un côté, un suivi géolocalisé des personnes, une atteinte profonde à la vie privée, de l’autre un souci de concilier liberté et sécurité sanitaire, deux principes à valeur constitutionnelle.

Hier, nous critiquions, à juste titre, l’usage des technologies numériques « à la chinoise » afin de capter, mesurer, évaluer, sanctionner le comportement des citoyens, en soulignant le caractère orwellien d’un tel dispositif, comme s’il s’agissait d’un modèle impossible à transposer dans les vraies démocraties. Aujourd’hui, ce modèle frappe à notre porte.

Le débat sur l’application « StopCovid » divise. La communauté médicale, Académie de médecine et Conseil national de l’ordre des médecins en tête, se montre plutôt favorable à ce dispositif d’accompagnement d’un déconfinement progressif dès lors qu’il vient compléter un dispositif d’ensemble. Les personnalités politiques ont des opinions partagées, y compris au sein de la majorité. Les spécialistes de la cybersécurité et de la protection des données se répartissent entre un « oui mais ! » (CNIL, Conseil national du numérique) et un « non assurément ! » (Quadrature du Net en particulier). Le sujet est suffisamment délicat pour que le débat à l’Assemblée nationale, prévu le 28 avril, ait été reporté par le Premier ministre. Outre les questions relatives à son efficacité, « StopCovid » appelle des interrogations sur les modalités de traitement des données à caractère personnel les plus sensibles : les données de santé. Leur traitement est particulièrement encadré par le RGPD, sans pour autant interdire aux autorités d’agir pour des motifs d’intérêt public dans le domaine de la santé lorsqu’il s’agit d’assurer la protection contre les menaces transfrontalières graves pesant sur elle.

Il est acquis qu’une telle application, si elle était autorisée, devrait respecter un cahier des charges strict encadré par la CNIL dans son avis du 24 avril. « StopCovid » doit être limité dans le temps et dans sa finalité. Il doit être un « suivi de contacts » et non un suivi des personnes exposées ou diagnostiquées positives au virus. La technologie « Bluetooth », permettant d’évaluer la proximité entre deux ordiphones (bien qu’elle n’ait pas été conçue pour évaluer des distances) évite de recourir à une technologie de géolocalisation. Utilisée sur la base du volontariat, sans contrepartie aucune positive ou négative, elle devrait minimiser toute identification directe ou indirecte des personnes qui y auraient recours. La technologie ne doit faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier.

Stop Covid est le fruit d’un travail en urgence dans le cadre du « Pan European Privacy Proximity Tracing » (PEPP-PT), projet européen de recherche rassemblant plus de 130 scientifiques de haut niveau en provenance de huit pays, dont la France, l’Allemagne et la Suisse, « dont le but principal est de permettre le développement de solutions de suivi de contacts respectueuses des normes européennes en matière de protection des données, de vie privée et de sécurité, dans le cadre d’une réponse plus globale à la pandémie ». Le protocole est appelé ROBERT (ROBust and privacy-presERving proximity Tracing) et se veut respectueux des valeurs européennes. En France, le chef de file est l’INRIA, conseillé par l’ANSSI sur le volet de la sécurité numérique. Un consortium s’organise, notamment autour de Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings.

Mais, le 26 avril, l’Allemagne annonce qu’elle quitte le projet européen. Certes, chaque pays est souverain et peut donc choisir ce que bon lui semble, sachant que la santé n’entre pas dans les attributions de l’UE. Il n’empêche que c’est encore un mauvais coup porté à l’unité européenne qui n’en a pas besoin en ce moment !

L’Allemagne se retourne désormais vers Apple et Google qui ont développé une technologie « décentralisée » par opposition à la centralisation-décentralisation qui caractérise ROBERT.  Mais est-ce souverain d’abandonner sa souveraineté au GAFA ? Il est vrai que nous sommes déjà dépendants d’Apple et de Google qui doivent -s’ils le veulent bien – modifier leur système d’exploitation pour permettre le fonctionnement de « StopCovid » sur les OS (operating systems) installés sur les ordiphones commercialisés en France et en Europe. Cédric O a engagé des discussions avec les deux géants, mais le rapport de force pourrait ne pas être favorable, en particulier parce que Google et Apple développent leur propre application. Les autorités françaises, selon lui, « se montreront intransigeantes et ne se laisseront pas imposer leurs choix dans la gestion de la crise sanitaire et de ses instruments, quitte à renoncer à mettre en œuvre l’application StopCovid si ces conditions n’étaient pas réunies ».

Doit-on suivre les Allemands, au nom du pragmatisme, comme nous invitent à le faire certains éditorialistes, en particulier Jean-Francis Pécresse (Les Echos) ? La souveraineté numérique doit-elle attendre, une fois de plus ? La crise n’est-elle pas justement l’occasion de la recouvrer ? N’est-elle pas le moment venu d’offrir « une autre voie, une autre voix » pour l’Europe ? Abandonner, c’est renoncer au développement de technologies européennes, c’est casser l’élan qui rassemble des grandes entreprises, des centres de recherche, des start-ups sur un projet qui, même s’il n’aboutit pas dans sa mise en œuvre, fera progresser une Europe numérique que la Commission appelle de ses vœux dans ses communications du 12 février et du 19 mars.

Au-delà de cette question essentielle de souveraineté se trouve posée celle de la légitimité d’une technologie de « tracing ». Tout progrès technologique franchit plusieurs étapes dans la mise en œuvre du process : sait-on le faire (conceptuellement) ? peut-on le faire (techniquement) ? a-t-on le droit de le faire (juridiquement) ? est-il accepté (socialement) ? L’acceptabilité sociale est, en effet, une condition nécessaire. Mais il faut parfois ajouter une autre étape : celle de la politique, au sens le plus noble du terme. Dans le cas d’espèce, la technologie est au cœur d’un dilemme entre deux principes fondamentaux qui prennent racine dans notre bloc constitutionnel : la liberté et la santé. Peut-on sacrifier l’une au profit de l’autre ? quel juste équilibre peut-on établir sous la pression d’une opinion publique qui a peur de la mort ? Peut-on choisir le temps court du « sauve comme on peut » au détriment du temps long, celui qui inscrit la liberté dans la durée. La question est certes technique, juridique, sociologique, mais elle est d’abord politique. La politique c’est l’art de faire des choix, parfois contre la pensée dominante. C’est à cela que l’on reconnaît les hommes d’Etats qui entrent dans l’Histoire ; c’est en l’oubliant que les hommes et les femmes politiques se transforment en comptables, en gestionnaires de l’instant présent, en expéditeurs des affaires courantes.  L’heure est à la décision souveraine. Passée l’heure…