Le point de vue d'une spécialiste du droit des nouvelles technologies, Me Sonia Cissé, responsable du département TMT du cabinet Linklaters, sur les enjeux liés à l'application StopCovid.
J’ai rejoint Linklaters en 2016, pour prendre la tête du département Technologies Médias Télécommunications. Avant ça, j’ai commencé ma carrière, il y a maintenant près de dix ans, dans un cabinet français très connu, Alain Bensoussan Avocats, pendant un peu plus de deux ans, puis j’ai rejoint un cabinet international pendant trois ans, et enfin Linklaters.
J’ai fait des études de droit général, puis en master je me suis spécialisée en propriété intellectuelle (j’étudiais tous les pans de ce domaine : propriété littéraire et artistique, propriété industrielle liée aux nouvelles technologies). C’est au cours de mon stage final et de ma première collaboration avec Alain Bensoussan que je me suis vraiment spécialisée dans le domaine des nouvelles technologies, inspirée par la passion qui animait les avocats que j’ai rencontrés.
C’est une application téléchargée par les utilisateurs sur la base du volontariat, point important. L’idée est de tracer les contacts entre les utilisateurs disposant de cette application, via la technologie bluetooth, de façon à faire une cartographie de l’expansion du virus et informer les personnes si on estime qu’elles sont entrées en contact avec quelqu’un qui présente des symptômes de contamination.
Alors… Est-ce que le fait que l’application émane du gouvernement est une garantie en soi de la protection des données, je ne saurais me prononcer... Cela peut rassurer les utilisateurs de penser qu’il n’y a pas d’intérêts privés dans l'utilisation de leurs données.
En ce qui concerne la promesse que les données ne sont stockées que pendant quatorze jours : le stockage en central, par opposition au stockage en local, a des avantages et des inconvénients ; le stockage en central vous permet de savoir que vous êtes en contact direct avec un tiers de confiance. Concernant StopCovid, le tiers de confiance est donc l’État. Les utilisateurs peuvent donc être confortés dans l’idée que le stockage des données se fait dans un but d’utilité publique, de santé publique… Toutefois, cela implique un geste de confiance envers l’État, là où le stockage en local implique plus d’intérêts privés, mais ne nécessite pas d'accorder sa confiance à un tiers. Tout est stocké sur votre téléphone, et vous ne partagez vos informations avec personne.
Cela dépend de ce qu’on entend par faire confiance. Dans le stockage en local, vous gardez le contrôle de vos données, puisque tout est stocké sur votre téléphone. Bien entendu, les constructeurs et les opérateurs ne devraient normalement pas avoir accès aux données stockées sur le téléphone. Vous partez du principe qu’elles sont chez vous, contrôlées par vous. Après, une dérive est toujours possible, mais il faut bien comprendre que le stockage en local n’est pas pensé pour cela.
J’ajouterai d’abord une petite précision : ce n’est pas le gouvernement qui a refusé de rendre cette application obligatoire. Les régulateurs de la protection des données, aussi bien la Commission européenne, le Comité européen de la protection des données, que la CNIL, ont alerté sur le fait que, compte tenu de la nature très sensible des données traitées, qui sont relatives à la santé, l’application ne pouvait en aucun cas être imposée aux utilisateurs. Ainsi, même en cas de deuxième vague, je ne pense pas que le gouvernement pourra obtenir un blanc seing pour rendre obligatoire cette application.
La CNIL a beaucoup insisté sur le sujet : il faut trouver le moyen d’inciter la population à l’utiliser mais ne pas la forcer.
En effet, on part souvent de l’idée que la société est ultra technologique ; mais, ce faisant, on oublie qu’il y a des personnes qui ont des téléphones portables, mais pas de smartphones ; ou encore des personnes qui n’ont ni l’un ni l’autre. Cette technologie exclut nécessairement une partie de la population.
Oui, en effet c’est un moindre mal, dans la mesure où le téléchargement de l’application est basé sur le volontariat. D’ailleurs, elle rencontre un succès très limité !
En tant que spécialiste de la protection des données, j’ai tendance à penser qu’on peut toujours retrouver quelqu’un. La technologie bluetooth n’est pas une exception à la règle. Par recoupement d’information, on arrive toujours à “suivre” un individu. Il n’y a donc pas de solution miracle.
Néanmoins, cette application n’a pas été pensée pour cela, comme en témoigne l’utilisation de la technologie bluetooth, et non pas de la géolocalisation, comme dans d’autres États. L'utilisation de la technologie bluetooth, qui ne permet pas facilement de retrouver les individus, témoigne du souci de préserver leur vie privée. En revanche, la Chine est dans un état d’esprit très différent : dans le débat relatif à la lutte contre le virus, la question de la vie privée des individus n’a pas la place centrale qu'elle peut avoir dans de nombreux pays en Europe, et notamment, la France.
Votre vision est un peu alarmiste. Pour ma part, ce que je peux dire, et que le grand public n’a pas en tête, c'est que, avant le déploiement de cette application, le gouvernement a fait la démarche d’interroger la CNIL. Il a donc posé la question de la légalité et de la légitimité de cette application.
Le défenseur de la protection des données a émis de nombreuses recommandations : il a demandé au gouvernement de faire des efforts de paramétrage pour sécuriser les données, de s’assurer qu’elle soit basée sur le volontariat, il a formulé des exigences relatives à l’information des personnes... Il y a donc eu tout un audit préalable de l’application de manière à circonscrire son besoin et à respecter au mieux la vie privée des individus.
Par conséquent, mêmes si le gouvernement décidait d’étendre demain cette application pour la lutte contre le terrorisme, il ne pourrait pas le faire de façon discrétionnaire. Cela devrait passer encore par un audit de l’autorité de protection. Donc soit on a confiance dans la grande institution qu’est la CNIL pour veiller à la défense de nos droits et libertés, soit pas.
On a des pare-feux, ce n’est pas Big Brother. Il y a des feux rouges avant une utilisation excessive de ce type d’application.