Veiller au respect des droits et libertés fondamentaux numériques est devenu une
ardente nécessité.
Nous devons nous poser les véritables questions que l’accélération du rythme des décisions prises par le pouvoir exécutif et leur technicité font perdre de vue à certains.
Le recours de plus en plus fréquent des pouvoirs publics aux usages d’internet et aux technologies numériques, notamment à l’utilisation de nouvelles technologies de surveillance, telles que celles qui sont envisagées pour lutter contre la pandémie de Covid 19 (« contact tracing » ou « proximity tracing »), a conduit l’Institut des droits fondamentaux numériques (iDFRights) à alerter les parlementaires dans une lettre ouverte diffusée le 27 avril dernier.
Il vient de lancer une nouvelle alerte à l’endroit du grand public dans une tribune intitulée
« STOP COVID : l’avenir d’internet est entre vos mains », publiée le 27 mai à l’occasion de la publication de la délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid ».
Les préoccupations voire les inquiétudes nourries par l’Institut ont été malheureusement renforcées à l’occasion de la parution de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire. Son article 11 permet en effet la création d’un système d’information aux seules fins de lutter contre l’épidémie de covid-19 et dispose que dans ce cadre : « des données à caractère personnel concernant la santé relatives aux personnes atteintes par ce virus et aux personnes ayant été en contact avec elles peuvent être traitées et partagées, le cas échéant sans le consentement des personnes intéressées, dans le cadre d’un système d’information créé par décret en Conseil d’État et mis en œuvre par le ministre chargé de la santé ». Ce dispositif ne fait là aussi que légitimer les solutions que nous avions esquissées. Quelles que soient les mesures que la CNIL a préconisées dans sa délibération ou celles qui encadrent la création et la mise en œuvre des fichiers SI-DEP et « Contact Covid », les finalités de ce système d’information déboucheront sur la collecte, le stockage – même momentané – et la diffusion d’un spectre très large de données. De nombreuses interférences avec la vie de l’individu et ses libertés ne manqueront pas de se faire jour. Il ne s’agit évidemment pas de mettre ici en doute la bonne volonté du Gouvernement ni de sous-estimer les difficultés pratiques qu’il y a à suivre la chaîne de contamination et la rompre. Mais de fait, et à ce stade, aucune précision suffisante n’a encore été apportée sur la gouvernance de ce système d’information ni sur les moyens qu’auront les citoyens de faire respecter leurs droits. Aujourd’hui, la gouvernance des données est organisée de telle sorte qu’en pratique, les individus ne sont ni représentés ni entendus et encore moins associés à l’élaboration de cette gouvernance, qui n’est nullement démocratique.
Aussi, et au-delà des positions qui se dessinent, les uns souhaitant, par exemple, une nouvelle rédaction de la loi, afin de faire disparaître toute dimension de suivi et d’identification des personnes infectées, les autres souhaitant exclure formellement l’utilisation de ces fichiers pour l’application « Stop Covid », l’Institut des droits fondamentaux numériques demande que soit rappelé, instauré et garanti le principe fondamental qui est le seul à même de concilier les impératifs d’action du pouvoir exécutif et la protection des droits et libertés fondamentaux : celui de la séparation des pouvoirs.
C’est là en effet la condition d’une gouvernance humaniste de la technologie dans laquelle l’individu est représenté et ne dépend pas, pour l’exercice de ses droits sur l’utilisation de ses données, de l’organisation qui les collecte et les utilise. Au cas présent, la consécration de ce principe aurait permis au système d’information instauré par l’article 11 de la loi d’être transparent et d’offrir aux individus un contrôle sur l’utilisation des données collectées et transmises grâce à des moyens indépendants. En pratique, le recueil et l’utilisation des données nécessaires à la lutte contre la pandémie doit être conditionné aux autorisations consenties par les citoyens, qui seront en droit de révoquer les autorisations qu’ils auront accordées, et ceci pour chacune des utilisations faites de leurs données. De même convient-il que les individus concernés soient représentés et participent à la gouvernance des systèmes d’information mis en place dans le cadre du nouveau dispositif. Pour l’heure, rien ne permet de dire que de telles garanties seront assurées…
Ceux qui utilisent nos données ne peuvent pas être les mêmes que ceux qui s’assurent du respect de nos droits ! Ce principe très fort de séparation des pouvoirs numériques nous permettra d’aborder la réponse à la crise avec confiance et servira nos choix technologiques sur le long terme. Qu’on ne s’y trompe pas, ce principe sur lequel nous travaillons concrètement avec un ensemble de partenaires, s’inscrit dans la marche logique de l’histoire de la technologie : un mouvement vers plus de décentralisation au service de l’humanité.