La crise du coronavirus met-elle en danger nos libertés ?

Application "StopCovid", attestation dématérialisée, surveillance, partage de données de géolocalisation... nous faisons le point sur une situation qui inquiète les associations de défense des libertés individuelles.

© Denis Salles
À situation exceptionnelle, mesures exceptionnelles. La pandémie de COVID 19 a conduit le gouvernement à mener des actions qu'il n'aurait sans doute pas pu seulement évoquer sans soulever une vague d'indignation il y a seulement trois semaines.

Mais si les Français comprennent la situation, certaines mesures inquiètent. Entre autres, l'attestation de sortie dématérialisée qui semble générer bien des réactions sur les réseaux sociaux.
Mais comment fonctionne-t-elle ? Le principe est simple : on rentre ses noms, prénoms, ainsi que toutes les informations de date, heure et motif de sortie avant de générer un QR code sur fichier PDF qui sera déchiffrable par la police en cas de contrôle. C'est à ce moment que la question se pose : qui va recueillir ces données ?  

Normalement personne. La page du gouvernement le précise : elles sont stockées exclusivement sur votre téléphone ou ordinateur, aucune information n'est collectée par le Ministère de l'Intérieur. De fait, la chose est vérifiable : l'application étant écrite en "code source ouvert", n'importe quelle personne possédant assez de connaissances informatiques peut s'en assurer.
 

Le problème est-il pour autant réglé ? 



Pas forcément pour tout le monde. Martin Drago est juriste à la Quadrature du Net. Cette association de défense des libertés individuelles comptait parmi les plus visibles des opposants à la loi HADOPI. Aujourd'hui ses membres sont très vigilants.

La crise sanitaire est en train de légitimer tout un éventail de mesures de surveillance qui dans un temps normal nous auraient inquiétés et choqués.
Martin Drago

Et l'application dématérialisée n'échappe pas à leur observation :
"Du côté du site sur lequel le particulier crée son PDF, effectivement, les choses ont l'air propres. Après, il y a une question du côté de la police, à partir du moment où elle va scanner ce PDF. Là le code n'est pas clair. Pour l'instant, on ne peut que faire confiance à l’État sur le fait que la police ne récupère pas de données personnelles lorsqu'elle scanne votre PDF."

Ce qu'en pense Martin Drago à retrouver ici >

  

Big Drone is watching you



Mais d'autres mesures inquiètent bien plus l'association. Par exemple, l'utilisation de drones par les forces de l'ordre pour surveiller le respect du confinement. La méthode a été utilisée dans de nombreuses régions y compris dans certaines zones de Nouvelle Aquitaine, notamment des plages.

Normalement, tout outil de vidéosurveillance utilisé par l’État et la police est encadré par un texte spécifique. C'est le cas des caméras fixes et des caméras-piéton portées par les policiers pour lesquels on trouve des textes spécifiques dans le code de la sécurité intérieure. En revanche, il n'y a rien pour les drones. Et cela pose des questions au niveau juridique, parce que ce sont des machines qui passent au-dessus des villes, qui prennent beaucoup plus d'images que les caméras fixes... Cela décuple le pouvoir de surveillance et de sanction des forces de l'ordre. Or c'est un débat qu'on n'a pas eu en France, alors voir ce moyen légitimé en état d'urgence, en pleine crise sanitaire, c'est très inquiétant.

 

Des données de géolocalisation téléphoniques communiquées à l'Union Européenne



Autre mesure qui aurait provoqué un tollé il y a seulement un mois mais qui est quasiment passée inaperçue : l'Union Européenne a demandé à plusieurs opérateurs téléphoniques dont le français Orange de communiquer des données de géolocalisation de téléphones mobiles.
Si ce type de donnée est déjà commercialisé par Orange, sa communication aux pouvoirs publics est une première. Objectif : aider à analyser l'efficacité des mesures de confinement et coordonner la réponse à la pandémie. Bien évidemment ces données sont agrégées et anonymisées, ce qui signifie qu'on ne doit pas pouvoir  retracer les déplacements d'une personne en particulier.
Là encore, pas si simple pour Martin Drago :

"La notion d'anonymisation des données de localisation, c'est toujours dangereux. Plusieurs rapports montrent qu'une donnée de localisation est quelque chose de tellement individualisant que, en la croisant avec d'autres données, on peut la désanonymiser.
Ensuite une autre question se pose. Certes, les données ont été anonymisées par Orange avant d'être communiquées. Seulement voilà : avant qu'elles ne soient anonymisées, il s'agissait de données individuelles de localisation. Et cela tombe normalement sous le coup du texte européen e-privacy : de telles données ne peuvent être recueillies qu'anonymement ou avec le consentement des personnes."

Et aujourd'hui il n'y a pas eu de consentement des clients ce qui mettrait Orange hors la loi.
Martin Drago - juriste à la Quadrature du Net

 

Le secteur privé et la publication des données



Orange n'est du reste pas la seule entreprise à avoir été sollicitée. Par exemple, en Nouvelle Aquitaine, la préfecture a fait appel à "Airbnb" ainsi qu'à plusieurs agences de location pour savoir si les statistiques de taux de réservations indiquaient une arrivée conséquente de touristes dans la région en cette période de confinement.

Et certaines sociétés n'ont pas besoin de demandes officielles pour agir : le géant du net Google a publié des données agrégées et anonymisées récoltées via son application Google Maps dans 131 pays dont la France, la société Géo4Cast a, quant à elle, créé l'application covimoov qui calcule un taux de respect du confinement en se basant sur des données récoltées sur smartphones.

Une attitude pro-active du secteur privé qui met les membres de la Quadrature du Net mal à l'aise... 
"Il y a un principe de finalité qu'il faut bien comprendre dans le Règlement Général sur la Protection de Données. Imaginons que j'ai pris un logement en location et que j'ai consenti à donner à Airbnb certaines de mes données personnelles, à savoir que je vais prendre une chambre à tel endroit à tel moment. J'ai donné ces informations pour une seule finalité qui est la location d'un endroit. Si, tout d'un coup, Airbnb commence à changer cette finalité en les utilisant aussi pour gérer le confinement, alors on ne respecte plus le droit : on sort de la finalité pour laquelle j'ai donné mon consentement".
   

L'après COVID 19 ?



Un ensemble de mesures et d'initiatives qui flirtent donc avec la légalité, préservant l'anonymat des personnes tout en jouant avec l'esprit des lois. Évidemment, une situation de crise contraint l'exécutif à prendre certaines décisions pour préserver le bien commun. En l’occurrence, en ce moment, la santé et la vie des citoyens.
L'argument porte, mais ne peut pas tout justifier pour les associations de défense des libertés individuelles.
Avec un raisonnement simple : les mesures prises peuvent perdurer au-delà de la crise.
Cela s'est déjà vu, c'est même le cas de la loi renseignement, votée en 2015 en pleine période d'attentats. "Nous contestons cette loi aujourd'hui devant la cour de justice européenne parce qu'elle donne beaucoup de pouvoir aux services de renseignement.[...]On sait que ça a été un moment difficile pour les libertés. Il y a eu le contexte du risque terroriste qui a aidé à prendre ce type de lois liberticides. [...] On parle d'un état d'urgence au moment de la crise qui rentre ensuite dans le droit commun.

Il faudra se demander si demain, pour la prochaine épidémie de grippe, on ne va pas se dire qu'on peut réutiliser les mesures prises pendant cette pandémie de COVID 19.

D'autant plus que, pour la Quadrature du net, il y a même un risque de voir les Français s'habituer à cette situation.

Si on a un confinement pendant un mois avec des drones, de la géolocalisation et d'autres mesures de surveillance, est-ce qu'il n'y a pas un effet de banalisation où, quand le confinement sera fini, vous ne serez plus tellement étonné de voir les drones de la police voler au dessus de Bordeaux parce que vous serez habitué et qu'il y aura eu cet effet psychologique et sociologique de banalisation d'un outil de vidéo-surveillance ?



 

La France est elle pour autant en voie d'orwellisation ? 



Le pays glisse-t-il doucement vers un état de surveillance généralisée digne des cauchemars les plus sombres de l'auteur britannique ? Pas nécessairement, car il y a des gardes-fous.

D'abord des associations telles que la Quadrature du Net qui jouent un rôle d'observateurs et qui informent le public. Ensuite, en ce qui concerne les libertés individuelle, il y a en France la CNIL, entendez Commission Nationale de l'Informatique et des Libertés.
Cette autorité administrative est indépendante et elle a entre autres missions celles de réguler, protéger, contrôler et même sanctionner le cas échéant. Et la CNIL se fait entendre en ce moment même. En effet, par la voix d'Edouard Philippe, le gouvernement a annoncé travailler à un projet d'application mobile destinée à identifier les personnes ayant été en contact avec une personne contaminée.
Réaction de Marie-Laure Denis, présidente de la CNIL, pendant une visioconférence avec la commission des lois de l'Assemblée Nationale. D'abord avec le rappel que l'utilisation de cette application devra s'appuyer sur le volontariat, "le consentement libre et éclairé de chacun", mais aussi qu'elle devra être "limitée dans le temps".
Et ensuite une mise en garde :  

"Il faut que les citoyens sachent quelles données les concernant sont susceptibles d'être traitées, par qui, pour quelle finalité, dans quelles conditions, et avec qui les données sont partagées. C'est seulement en gagnant le pari de la confiance du respect de la vie privée que nos concitoyens pourraient être susceptibles d'adopter un tel dispositif de façon suffisamment vive pour en assurer l'efficacité sanitaire".

 

StopCovid, une application sous observation



Sans être ouvertement suspicieux, le ton est tout de même celui de la prudence. Car cette application "StopCovid" pourrait revêtir, pour un même objectif, des formes radicalement opposées en termes de libertés individuelles. Prenons trois scénarios qui peuvent aider à comprendre comment :


> Le premier scénario, le moins vraisemblable en France, est le plus liberticide : l'application géolocalise l'utilisateur et, en se fondant sur ses déplacements, détermine si il est ou pas une personne à risque. La méthode est actuellement utilisée en Chine, où le feu vert de l'application est une condition nécessaire pour sortir de son domicile. Selon le New-York Times, l'application partagerait même des informations avec la police...


> Deuxième scénario, l'application utilise le bluetooth ( technologie évoquée par le Premier ministre lors de son intervention ) pour enregistrer dans le téléphone les identifiants des autres appareils croisés. En cas de déclenchement du coronavirus, l'utilisateur rentre un code et l'application envoie les identifiants des appareils croisées à un serveur de l’État qui se charge ensuite de contacter les personnes concernées. Dans ce cas de figure, s'il n'y a pas surveillance directe et permanente, l’État peut tout de même recevoir des données personnelles.


> Troisième scénario : comme dans le précédent, l'application utilise le bluetooth pour enregistrer dans le téléphone les identifiants des appareils croisés. Par contre, en cas de déclenchement du coronavirus, la personne rentre bien un code, mais aucune donnée n'est envoyée à l'Etat : c'est le téléphone lui même qui contacte les appareils des personnes croisées. De ces trois scénarios, et il y en a d'autres, c'est celui qui garantit le mieux les libertés. Une application de ce type, nommée "TraceTogether" est déjà utilisée à Singapour.
 
On constate donc qu'en matière de libertés individuelles, le diable se dissimule dans les détails... Enfin... lorsqu'il prend la peine de se dissimuler.  Car cette période de coronavirus voit naître des mesures extrêmes dans plusieurs pays. Nous avons évoqué la Chine plus haut, mais il y en a d'autres : par exemple en Pologne, où les malades sont contraints d'envoyer régulièrement des photos selfies pour prouver qu'ils se trouvent bien à leur domicile. Évidemment, on imagine mal les Français accepter de telles injonctions, mais on comprend aussi dès lors la vigilance de la CNIL et des associations telles que la Quadrature du Net. 

Et Martin Drago d'ajouter à propos du projet d'application français : "Il y a une critique que nous faisons souvent : celle de l'utilisation d'un outil numérique comme baguette magique pour répondre à un problème qui n'est pas numérique mais clairement un problème de Santé Publique, de distribution de masques, de tests massifs, de financement de la Santé Publique."
 














 
Poursuivre votre lecture sur ces sujets
coronavirus santé société
l’actualité de votre région, dans votre boîte mail
Recevez tous les jours les principales informations de votre région, en vous inscrivant à notre newsletter