Blog de Predictice

Application StopCovid : danger ou solution ?

Rédigé par Éloïse Haddad Mimoun | 7 juil. 2020 08:01:00
Le point de vue d'une spécialiste du droit des nouvelles technologies, Me Sonia Cissé, responsable du département TMT du cabinet Linklaters, sur les enjeux liés à l'application StopCovid.

Vous êtes responsable de l’équipe Technologies, Médias et Télécommunications du cabinet Linklaters. Pouvez-vous nous raconter en quelques mots votre parcours s’il vous plaît ?

J’ai rejoint Linklaters en 2016, pour prendre la tête du département Technologies Médias Télécommunications. Avant ça, j’ai commencé ma carrière, il y a maintenant près de dix ans, dans un cabinet français très connu, Alain Bensoussan Avocats, pendant un peu plus de deux ans, puis j’ai rejoint un cabinet international pendant trois ans, et enfin Linklaters.

 

J’ai fait des études de droit général, puis en master je me suis spécialisée en propriété intellectuelle (j’étudiais tous les pans de ce domaine : propriété littéraire et artistique, propriété industrielle liée aux nouvelles technologies). C’est au cours de mon stage final et de ma première collaboration avec Alain Bensoussan que je me suis vraiment spécialisée dans le domaine des nouvelles technologies, inspirée par la passion qui animait les avocats que j’ai rencontrés.

 

L’application StopCovid est disponible depuis le 2 juin. Est-ce que vous pourriez nous expliquer son principe et son fonctionnement ?

C’est une application téléchargée par les utilisateurs sur la base du volontariat, point important. L’idée est de tracer les contacts entre les utilisateurs disposant de cette application, via la technologie bluetooth, de façon à faire une cartographie de l’expansion du virus et informer les personnes si on estime qu’elles sont entrées en contact avec quelqu’un qui présente des symptômes de contamination.

 

L’application a été développée à la demande du gouvernement français, qui a promis que les données stockées ne seront gardées que quatorze jours. Pensez-vous que son origine (elle est proposée par le gouvernement), et son fonctionnement (la technologie bluetooth et le stockage pendant 14 jours), constituent une garantie du respect de la vie privée et permettent une protection efficace des données ?

Alors… Est-ce que le fait que l’application émane du gouvernement est une garantie en soi de la protection des données, je ne saurais me prononcer... Cela peut rassurer les utilisateurs de penser qu’il n’y a pas d’intérêts privés dans l'utilisation de leurs données.

 

En ce qui concerne la promesse que les données ne sont stockées que pendant quatorze jours : le stockage en central, par opposition au stockage en local, a des avantages et des inconvénients ; le stockage en central vous permet de savoir que vous êtes en contact direct avec un tiers de confiance. Concernant StopCovid, le tiers de confiance est donc l’État. Les utilisateurs peuvent donc être confortés dans l’idée que le stockage des données se fait dans un but d’utilité publique, de santé publique… Toutefois, cela implique un geste de confiance envers l’État, là où le stockage en local implique plus d’intérêts privés, mais ne nécessite pas d'accorder sa confiance à un tiers. Tout est stocké sur votre téléphone, et vous ne partagez vos informations avec personne.

 

Une petite question technique : le stockage en local n’implique-t-il pas de faire confiance à Apple, si on a un Iphone, ou à Google, si on a un smartphone qui fonctionne sur Android ?

Cela dépend de ce qu’on entend par faire confiance. Dans le stockage en local, vous gardez le contrôle de vos données, puisque tout est stocké sur votre téléphone. Bien entendu, les constructeurs et les opérateurs ne devraient normalement pas avoir accès aux données stockées sur le téléphone. Vous partez du principe qu’elles sont chez vous, contrôlées par vous. Après, une dérive est toujours possible, mais il faut bien comprendre que le stockage en local n’est pas pensé pour cela.

 

L’application repose sur le principe du volontariat. Cela entre quelque peu en contradiction avec les exigences de l’application elle-même qui doit être téléchargée par un très grand nombre de personnes afin d’être efficace. D’ailleurs, elle ne rencontre pas beaucoup de succès. Seulement 2% de la population l’a téléchargée pour le moment. Doit-on craindre qu’en cas de deuxième vague, le gouvernement rende son téléchargement obligatoire ?

J’ajouterai d’abord une petite précision : ce n’est pas le gouvernement qui a refusé de rendre cette application obligatoire. Les régulateurs de la protection des données, aussi bien la Commission européenne, le Comité européen de la protection des données, que la CNIL, ont alerté sur le fait que, compte tenu de la nature très sensible des données traitées, qui sont relatives à la santé, l’application ne pouvait en aucun cas être imposée aux utilisateurs. Ainsi, même en cas de deuxième vague, je ne pense pas que le gouvernement pourra obtenir un blanc seing pour rendre obligatoire cette application.

 

La CNIL a beaucoup insisté sur le sujet : il faut trouver le moyen d’inciter la population à l’utiliser mais ne pas la forcer.

 

De plus il y a des problèmes techniques : deux Français sur dix n’ont pas de smartphone…

En effet, on part souvent de l’idée que la société est ultra technologique ; mais, ce faisant, on oublie qu’il y a des personnes qui ont des téléphones portables, mais pas de smartphones ; ou encore des personnes qui n’ont ni l’un ni l’autre. Cette technologie exclut nécessairement une partie de la population.

 

Beaucoup de commentateurs ont fait remarquer que, malgré la technologie bluetooth, il n’est pas difficile en réalité de retracer les déplacements des personnes par recoupement. Pensez-vous néanmoins que l’application proposée par le gouvernement est un moindre mal, par rapport à ce qui a été déployé dans d’autres pays (par exemple la reconnaissance faciale et la vidéo surveillance en Chine) ?

Oui, en effet c’est un moindre mal, dans la mesure où le téléchargement de l’application est basé sur le volontariat. D’ailleurs, elle rencontre un succès très limité !

 

En tant que spécialiste de la protection des données, j’ai tendance à penser qu’on peut toujours retrouver quelqu’un. La technologie bluetooth n’est pas une exception à la règle. Par recoupement d’information, on arrive toujours à “suivre” un individu. Il n’y a donc pas de solution miracle.

 

Néanmoins, cette application n’a pas été pensée pour cela, comme en témoigne l’utilisation de la technologie bluetooth, et non pas de la géolocalisation, comme dans d’autres États. L'utilisation de la technologie bluetooth, qui ne permet pas facilement de retrouver les individus, témoigne du souci de préserver leur vie privée. En revanche, la Chine est dans un état d’esprit très différent : dans le débat relatif à la lutte contre le virus, la question de la vie privée des individus n’a pas la place centrale qu'elle peut avoir dans de nombreux pays en Europe, et notamment, la France.

 

Nul ne connaît la fin exacte de la pandémie, et puis ce type d'application pourrait être utilisé pour d'autres motifs d'intérêt général, comme la lutte contre le terrorisme...

Pensez-vous que la mise en place d’une application de ce type constitue un précédent dangereux ?

Votre vision est un peu alarmiste. Pour ma part, ce que je peux dire, et que le grand public n’a pas en tête, c'est que, avant le déploiement de cette application, le gouvernement a fait la démarche d’interroger la CNIL. Il a donc posé la question de la légalité et de la légitimité de cette application.

 

Le défenseur de la protection des données a émis de nombreuses recommandations : il a demandé au gouvernement de faire des efforts de paramétrage pour sécuriser les données, de s’assurer qu’elle soit basée sur le volontariat, il a formulé des exigences relatives à l’information des personnes... Il y a donc eu tout un audit préalable de l’application de manière à circonscrire son besoin et à respecter au mieux la vie privée des individus.

 

Par conséquent, mêmes si le gouvernement décidait d’étendre demain cette application pour la lutte contre le terrorisme, il ne pourrait pas le faire de façon discrétionnaire. Cela devrait passer encore par un audit de l’autorité de protection. Donc soit on a confiance dans la grande institution qu’est la CNIL pour veiller à la défense de nos droits et libertés, soit pas.

 

On a des pare-feux, ce n’est pas Big Brother. Il y a des feux rouges avant une utilisation excessive de ce type d’application.