covid

Geneviève FIEUX-CASTAGNET et Gérald SANTUCCI

Octobre 2020

N.B. Les opinions exprimées dans cet article visent à susciter un débat ; elles n’engagent que leurs auteurs et ne reflètent pas nécessairement celles des organisations auxquelles ils appartiennent.

Données personnelles, vie privée, éthique : de quoi parlons-nous ?

« L’éthique, à la différence de la loi, est avant tout une affaire interpersonnelle ; elle ne saurait faire l’objet de règles générales sans prendre le chemin de la tartufferie. En face de toute interdiction, posons-nous une seule question : à qui telle action nuit-elle directement ? A personne d’autre qu’à son auteur ? Alors, laissons faire, laissons vivre. Au besoin, indignons-nous : il est d’autant plus légitime de condamner moralement ce que l’on aura eu le courage de tolérer légalement. »
Gaspard Koenig, philosophe et président du think tank GenerationLibre, Les Échos, 16/09/2020

« La force de la morale, c’est sa cohérence interne. C’est aussi sa faiblesse : à cause de sa systémisation, il y a le risque de mettre le réel entre parenthèses. Mais le risque de l’éthique n’est pas moindre : si elle n’est qu’une discussion indéfiniment ouverte sur le bien et le mal, elle finit par dissoudre ces notions dans le bavardage et de se faire, au final, la caisse d’enregistrement du pathos et de l’opinion. La morale a la dureté de la loi, mais l’éthique a la mollesse d’un dialogue infini. De nos jours, la morale est très connotée. On entend « moralisateur » derrière le mot « morale ». Un discours qui juge… »
Martin Steffens, « Éthique et morale, de quoi parle-t-on ? », Le Figaro, 28/09/2018

Un peu d’histoire…

Jamais auparavant dans l’histoire de l’humanité les questions de l’identification et de la surveillance des individus ne s’est posée avec autant d’acuité qu’aujourd’hui.

L’Europe a donné le la en 1995 avec la directive sur la protection des données, complétée en 2002 par une autre directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (e-privacy).

Pour être plus complet, il convient de rappeler que c’est l’Allemagne qui a été le premier pays à porter son attention sur le respect de la vie privée (privacy). En fait, c’est la région de la Hesse qui, en 1970, a mis en place la première loi sur la protection des données^[1], suivie bientôt par les autres Länder puis par le niveau fédéral^[2]. En 1983, la cour constitutionnelle de l’Allemagne fédérale a établi que l’individu possède un droit constitutionnel à l’auto-détermination en matière d’information. Cette décision interdit le traitement des données personnelles sauf en cas d’autorisation statutaire spécifique ou de consentement de la personne concernée. En 1990, une nouvelle loi fédérale sur la protection des données a incorporé ces exigences constitutionnelles.

Avant le milieu du dix-huitième siècle, la question de la protection des données personnelles ne s’est quasiment jamais posée. Puis durant deux siècles, en raison de l’industrialisation et des cartes perforées, elle est devenue progressivement un thème de réflexion, quoique fort limité. Après 1945, ce thème s’est imposé dans le débat public avec l’arrivée des grands ordinateurs (à partir de 1945), des miniordinateurs (1975), des ordinateurs personnels (années 1980) puis des réseaux informatiques (années 1990). Cette accélération des changements dus aux technologies numériques s’est poursuivie avec l’augmentation continue de la puissance des systèmes informatiques, l’accroissement des largeurs de bande de transmission et des capacités de stockage des données, la réduction permanente de la taille des composants jusqu’à leur disparition du champ de vision, l’émergence de nouveaux concepts (biométrie, reconnaissance de la parole, géolocalisation, intelligence artificielle, blockchain, etc.) et l’apparition du traitement des données omniprésent (informatique diffuse, réseaux ubiquitaires, internet des objets, systèmes cyber-physiques, etc.).

Le « droit au respect de la vie privée » a été posé pour la première fois aux États-Unis par les juristes de Boston Samuel WARREN et Louis BRANDEIS^[3] :

« Le fait que chacun doit avoir une protection complète tant de sa personne que de ses biens est un principe aussi vieux que la loi commune ; mais il a semblé nécessaire de le redéfinir périodiquement pour renouveler sa nature exacte et l’étendue d’une telle protection. Les changements politiques, sociaux et économiques entraînent la reconnaissance de nouveaux droits et la loi commune, dans son éternelle jeunesse, s’étoffe pour satisfaire les nouvelles demandes de la société (…) Plus tard s’est imposée une reconnaissance de la nature spirituelle de l’homme, de ses sentiments et de son intelligence. Peu à peu le champ de ces droits juridiques s’est étendu et aujourd’hui le droit à la vie signifie le droit à la jouissance de la vie, le droit d’être laissé tranquille. »

Ce « droit d’être laissé tranquille » constitue la première brèche juridique dans le vaste débat ultérieur sur le respect de la vie privée. Il ne s’agit à l’époque que d’un droit essentiellement physique, c’est-à-dire un droit à maintenir une certaine distance par rapport aux autres. Il s’inscrit dans l’idée américaine de la « poursuite du bonheur » qui figure dans la Déclaration d’indépendance du 4 juillet 1776 : « Nous tenons pour évidentes par elles-mêmes les vérités suivantes : tous les hommes sont créés égaux ; ils sont dotés par le Créateur de certains droits inaliénables ; parmi ces droits se trouvent la vie, la liberté et la recherche du bonheur. Les gouvernements sont établis parmi les hommes pour garantir ces droits, et leur juste pouvoir émane du consentement des gouvernés (…) ». L’avènement de l’informatique et l’explosion du numérique qui s’ensuivit ont évidemment bouleversé la conception du respect de la vie privée, provoquant des débats aussi passionnants qu’interminables et jusqu’à aujourd’hui inaboutis sur les données personnelles, la vie privée et l’éthique.

Année	Pays	Titre
1972	Allemagne (Région de la Hesse)	Loi sur la protection des données
1974	États-Unis	Loi fédérale sur la protection des renseignements personnels
1977	Allemagne fédérale	Loi sur la protection des données
1980	OCDE	Lignes directrices sur la protection de la vie privée
1981	Conseil de l’Europe	Convention 108 pour la protection des données à caractère personnel
1995	Union Européenne	Directive 95/46/CE sur la protection des données
2000	Union Européenne	Protection des données à caractère personnel dans la Charte des droits fondamentaux de l’Union Européenne (Article 8)
2002	Union Européenne	Directive sur la vie privée et les communications électroniques (e-privacy)
2005 (actualisation en 2015)	APEC (Coopération économique Asie-Pacifique)	Cadre de protection de la vie privée
2016	Union Européenne	Règlement général (UE) 2016/679 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Evolution à travers le monde des règles de protection des données

Au tournant du 21^ème siècle de nouveaux enjeux liés aux technologies numériques et à la « transformation » qu’elles entraînent sont apparus qui ont posé d’une façon nouvelle les questions de la protection des données personnelles, du respect de la vie privée et aussi de l’éthique.

Parmi ces technologies figurent en tête l’internet des objets, l’intelligence ambiante, la RFID (identification par radiofréquence) et la NFC (communication en champ proche), l’informatique affective, l’informatique en nuage, la bioélectronique, la neuroélectronique, l’intelligence artificielle, la symbiose homme-machine.

Prenons quelques exemples.

L’Internet des Objets (IdO), un concept ayant vu le jour en 1999, renvoie à l’idée d’objets qui « bavardent » entre eux et avec les humains. Les systèmes numériques se déploient partout (notion d’ubiquité) et ils sont invisibles en raison de la taille de plus en plus petite des microprocesseurs, des marqueurs RFID (identification par radiofréquence) et des autres dispositifs intégrés aux objets de tous les jours. Les menaces pour l’individu sont principalement :

la somme des petites traces d’information qu’il laisse derrière lui du fait de ses activités quotidiennes (data shadows),
le profilage comportemental, et
la manipulation.

L’internet des objets ne désigne pas seulement le réseau informatique qui connecte des objets, il renvoie également au concept d’objet qui, comme l’a montré l’auteur de science-fiction Bruce Sterling^[4], s’est métamorphosé au fil du temps. D’abord un artefact (i.e. un outil rudimentaire lié aux civilisations de chasse et d’agriculture), puis une machine (i.e. un objet complexe reposant sur une source d’énergie artificielle) et enfin un produit (i.e. un objet manufacturé et reproduit en un grand nombre d’exemplaires identiques), l’objet dans l’ère numérique peut être aussi un gizmo (i.e. un objet complexe, comme par exemple un logiciel, qu’il est plus difficile de simplifier que d’augmenter, qui requiert un apprentissage de la part de ses utilisateurs et qui s’appuie sur d’autres objets pour exister) ou un spime (i.e. un objet traçable, identifiable, localisable, muni de dispositifs numériques, par exemple des puces RFID, et existant en réseau). Si l’on se projette plus loin dans un futur indéterminé (autour de 2060, selon Sterling), avec notamment la convergence Nano-Bio-Info-Cogno (NBIC), l’objet deviendrait un biot, c’est-à-dire une entité qui serait à la fois un objet et un humain !

Les nanotechnologies opèrent à une échelle comprise entre 1 et 100 nanomètres (nm) et permettent de créer et utiliser des structures, composants et systèmes qui, du fait de leur petite taille, présentent des propriétés et fonctionnalités nouvelles que l’on cherche à transposer à l’échelle macroscopique afin d’en tirer parti. Ces technologies sont invisibles à l’œil nu, même en s’aidant d’une loupe, et elles permettent de capter des informations comme la température, la tension, la pression.

Ces avancées technologiques renvoient à l’image de la « poussière numérique », c’est-à-dire des particules à l’échelle moléculaire capables de tracer et suivre les individus, sans qu’ils en aient conscience, grâce à diverses mesures indépendantes dont les données sont transmises et reçues à travers les réseaux numériques.

Plus récemment, l’intelligence artificielle et la 5G sont venues compléter les technologies numériques déjà en déploiement.

Les données à caractère personnel

La notion de « données à caractère personnel » n’est pas aussi facile à caractériser qu’on pourrait le croire. Dans la directive 95/46/CE, sa définition est ainsi libellée :

« toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité́ physique, physiologique, psychique, économique, culturelle ou sociale ».

Le règlement général 2016/679 sur la protection des données a mis à jour cette définition en introduisant la notion d’« identifiant » qui complète la notion précédente de « numéro d’identification » et en ajoutant l’identité « génétique » aux éléments spécifiques susceptibles de permettre d’identifier une personne physique :

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité́ physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Dans un avis de 2007, le groupe de travail « Article 29 » sur la protection des données avait passé en revue et analysé les éléments constitutifs de cette définition^[5] :

« toute information »
« concernant »
« une personne physique »
« identifiée ou identifiable »

Cet avis déjà ancien est toujours d’actualité pour préciser la définition de « données personnelles » dans le règlement de 2016.

Le constat général est que l’intention du législateur européen était d’adopter une notion large de données à caractère personnel afin d’assurer la protection des libertés et des droits fondamentaux des personnes physiques, notamment de la vie privée, à l’égard du traitement des données à caractère personnel. Un consensus s’est dégagé pour dire que le champ d’application des règles de protection des données ne devait pas être trop étendu mais en même temps qu’il fallait éviter de restreindre indûment l’interprétation du concept de données à caractère personnel. Les autorités de protection des données, telle la CNIL en France, « jouent un rôle essentiel pour parvenir à un équilibre approprié dans le champ d’application de la directive ».

Le respect de la vie privée

Si la notion de respect de la vie privée – les Anglo-saxons emploient le terme privacy – est ancienne^[6], elle n’a pas fait l’objet jusqu’ici d’un large consensus sur son interprétation. Le respect de la vie privée est reconnu comme un droit humain fondamental dans la Déclaration universelle des droits de l’homme (article 12), le Pacte international relatif aux droits civils et politiques (articles 14 et 17) et dans beaucoup d’autres conventions internationales et régionales concernant les droits humains. Il conforte notamment les valeurs de dignité humaine, de liberté d’association et de liberté de parole. La nomination par le Conseil des droits de l’homme en juillet 2015 du premier Rapporteur spécial sur le droit à la vie privée^[7] reflète l’importance croissante de ce droit dans les politiques planétaires concernant le numérique.

La sophistication croissante des technologies de l’information et des communications, avec notamment la possibilité offerte de collecter, analyser et diffuser des données à caractère personnel, s’est traduite par un besoin de législation dans de nombreux pays. Au cours des trente dernières années, le niveau des informations générées par chaque individu a atteint des sommets en raison des avancées en matière de santé, télécommunications, systèmes de transports et transferts financiers. Les ordinateurs, reliés à des réseaux à large bande, génèrent des dossiers sur chaque personne physique sans qu’il soit nécessaire de disposer d’un système informatique central unique.

Il n’est pas aisé de distinguer les notions de « respect de la vie privée » et de « protection des données à caractère personnel ». Selon les situations, l’une peut être perçue comme englobant l’autre. Les juristes s’accordent toutefois pour dire que la « protection des données » renvoie au mécanisme juridique destiné à assurer le « respect de la vie privée ». Le terme anglo-saxon privacy désigne le droit de tout citoyen de contrôler ses informations personnelles et de décider de l’usage qu’il en fera (c’est-à-dire de les révéler ou pas). Les spécialistes de ces questions considèrent le plus souvent que le terme privacy peut se rapporter aux éléments suivants^[8] :

les données personnelles
les communications personnelles
la personne physique
le comportement de la personne
la localisation et le lieu
la pensée et les sentiments
l’association et les groupes

Aux États-Unis, le concept de privacy prévaut tandis que dans l’Union Européenne c’est celui de « protection des données à caractère personnel » qui s’impose. Il convient de noter que le règlement général sur la protection des données ne fournit pas de définition de la « vie privée », pas plus que l’ancienne directive de 1995. Ainsi, par exemple, aux États-Unis on parlera d’analyse d’impact sur la vie privée (Privacy Impact Assessment – PIA – selon la traduction anglaise) tandis qu’en Europe on préfèrera utiliser la locution analyse d’impact sur la protection des données (Data Protection Impact Assessment – DPAI) qui est l’une des notions les plus importantes du règlement général européen sur la protection des données. Les conceptions américaine et européenne s’opposent en ce que l’Europe privilégie un cadre législatif global tandis que les États-Unis développent des règlements concernant le respect de la vie privée pour chaque secteur de l’économie, comme par exemple pour les services financiers (le Gramm-Leach-Bliley Act), la vie privée des enfants sur Internet (le Children’s Online Privacy Protection Act) ou encore le domaine médical (le Health Insurance Portability and Accountability Act).

Une autre différence importante entre les deux régions du monde porte sur l’autorité chargée de faire appliquer les règles : en Europe il s’agit des pouvoirs publics tandis qu’aux États-Unis ce sont les entreprises et les individus qui décident eux-mêmes, ce qui place ces derniers dans une position de faiblesse puisque la plupart du temps ils sont peu ou mal informés des conséquences des options offertes par le secteur privé en matière de respect de la vie privée. En 2016, la Commission européenne et les États-Unis s’étaient accordés sur un cadre juridique pour les transferts transatlantiques de données : le « bouclier vie privée UE-États-Unis » visant à protéger les droits fondamentaux des citoyens de l’Union lorsque leurs données sont transférées vers les États-Unis et à apporter une sécurité juridique aux entreprises^[9]. Mais le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) jugea que ce cadre ne protégeait pas suffisamment les données européennes et risquait donc d’entraîner des violations des droits des citoyens, conformément au règlement général sur la protection des données (RGPD). La CJUE estima que la législation américaine sur l’accès aux données personnelles transférées depuis l’UE et l’utilisation de celles-ci par les autorités publiques du pays « n’est pas limitée de manière à satisfaire des exigences essentiellement équivalentes à celles requises par le droit communautaire ».

L’arrêt de la CJUE est évidemment une mauvaise nouvelle pour les entreprises, qui préfèrent toujours disposer de mécanismes fiables et stables pour envoyer des données de l’Union Européenne vers les États-Unis. Il crée un obstacle au commerce électronique entre l’Union Européenne et les États-Unis, à un moment où les relations commerciales mondiales sont de plus en plus tendues. En revanche, il constitue une victoire pour les partisans de la protection de la vie privée qui avaient fait valoir à juste titre que le bouclier de protection ne couvrait pas suffisamment les données européennes.

L’éthique

L’éthique a surgi dans le débat public et sur l’agenda politique des autorités publiques à travers le monde lorsque l’Internet des Objets et l’intelligence artificielle se sont déployés dans quasiment tous les recoins de l’économie et de la société. L’éthique soulève une question plus large que celle de protection des données personnelles ou celle de respect de la vie privée, même si elle englobe ces dernières.

Valeurs et vie privée

Le mot n’est pas nouveau : le grec Aristote en a précisé les contours dans son « Éthique à Nicomaque »^[10] avant que de nombreux auteurs, de Spinoza à Wittgenstein, n’apportent leur pierre à l’édifice. Si l’on laisse de côté l’univers aristotélicien et ses « vertus » (par exemple, le courage, la tempérance, la générosité, la grandeur d’âme, l’orgueil, l’ambition saine, la douceur, la véracité, l’humour, la gentillesse, la justesse), la conception d’un système éthique à l’âge des machines devrait être fondée sur des valeurs positives. Mais il est difficile de s’entendre sur ce qu’est la valeur ! Des philosophes comme Épicure et Jeremy Bentham ne reconnaissent qu’une seule valeur : le bonheur humain. Mais la plupart des autres philosophes et psychologues pensent qu’il existe un grand nombre de « valeurs intrinsèques » telles que la connaissance, la beauté, la santé, la vérité, le pouvoir ou encore l’harmonie, auxquelles il faudrait ajouter des « valeurs extrinsèques », c’est-à-dire instrumentales, qui soutiennent l’atteinte des valeurs intrinsèques. La plus importante de ces valeurs extrinsèques est naturellement le respect de la vie privée.

Pour autant, comme l’ont montré Karl Popper, Martin Heidegger et d’autres philosophes et épistémologistes, la valeur n’existe pas « en soi » si l’homme n’agit pas sur elle. Ainsi, par exemple, pour les transhumanistes, les humains peuvent être perçus comme des systèmes biologiques sous-optimaux en comparaison des machines dotées d’intelligence artificielle ! Ils placent leur idéal dans des machines considérées comme supérieures par rapport aux humains, ce qui, n’en doutons pas, manipulé par certains esprits malins, pourrait avoir des conséquences mortifères pour les sociétés humaines.

En s’appuyant sur les travaux du psychologue Abraham Maslow, l’universitaire Sarah Spiekermann a regroupé les dix-huit valeurs intrinsèques du premier autour de sept seulement^[11] :

deux conditions préalables : le savoir (véritable opinion, compréhension), la liberté (indépendance, libre choix) ;
cinq besoins de base : les besoins physiologiques (santé et force, vie prospère, activité), les besoins de sûreté (paix, sûreté, sécurité), les besoins d’appartenance et d’amour (véritable amitié, coopération, amour), les besoins d’estime (pouvoir, accomplissement, respect de soi-même, réputation, honneur, reconnaissance sociale), le besoin de réalisation de soi.

Le respect de la vie privée est une valeur extrinsèque qui joue un rôle essentiel dans toutes ces valeurs intrinsèques. Le lien entre « valeurs » et « respect de la vie privée » est ainsi établi. C’est pourquoi il importe d’assurer la protection des valeurs mentionnées ci-avant dans les environnements informatiques actuels et futurs, notamment en ce qui concerne l’intelligence artificielle.

Daniel Solove, un professeur de droit américain à la George Washington University Law School, a proposé en 2006 une intéressante taxonomie du respect de la vie privée en montrant que la plupart des problèmes provenaient des informations générées sur les personnes.

La collecte d’informations soulève deux risques par rapport au respect de la vie privée :

la surveillance, qui consiste à épier, écouter ou enregistrer de façon clandestine les diverses activités d’une personne ;
l’interrogation, qui consiste à exercer des pressions sur une personne pleinement consciente afin de l’amener à divulguer des informations sur elle.

Le traitement des informations soulève d’autres risques :

l’agrégation de divers éléments d’information au sujet d’une personne ;
l’identification d’une personne à partir de diverses informations reliées à elle ;
l’insécurité, qui résulte de la négligence en ce qui concerne la protection d’informations stockées, ce qui peut conduire à de possibles fuites ou à des accès non autorisés ;
l’usage secondaire d’informations stockées qui, sans le consentement d’une personne, sont détournées de leur objet initial.

La figure de l’homme du 21ème siècle entre « la machine intelligente » et « l’homme augmenté »

En se référant plus ou moins explicitement à ces valeurs – intrinsèques et extrinsèques – les débats sur l’éthique sont aujourd’hui étroitement liés à deux grandes révolutions qui se déploient parallèlement à une allure de plus en plus vive.

Premièrement, la machine intelligente, c’est-à-dire essentiellement les robots et les systèmes autonomes, auxquels il convient d’ajouter les objets connectés (ou encore l’Internet des objets). Elle est portée par une double révolution, celle de l’intelligence artificielle qui permet à l’homme de créer une « intelligence non-biologique » supérieure à l’intelligence humaine et celle des nanotechnologies qui lui permet de manipuler la matière aux niveaux moléculaire et atomique. Les machines du futur seront ainsi dotées de capacités sans précédent : elles pourront réunir les ressources bien au-delà de ce dont l’homme est capable ; elles possèderont des mémoires superpuissantes ; et elles pourront fonctionner vingt-quatre heures sur vingt-quatre, de façon connectée à travers le monde, en combinant les meilleures compétences sans jamais quitter le niveau de performances maximum. Se pose ici la question centrale du rapport de l’humain à la machine. De quelle façon l’humain pourrait-il garder la maîtrise de ce que fera la machine ?

La réponse se trouve peut-être dans l’« humain augmenté », seconde grande révolution de notre époque. L’humain augmenté, c’est celui dont les différentes dimensions, notamment physiques et cognitives, se trouvent « améliorées » par les nouvelles technologies évoluant à la confluence des nanotechnologies, des biotechnologies, des technologies de l’information et des sciences cognitives (NBIC). L’idée n’est pas nouvelle, mais elle fut présentée de manière détaillée et cohérente en 2002 dans un rapport visionnaire de la National Science Foundation (NSF) et du département du Commerce (DOC) américains. L’homme augmenté serait le seul capable de concurrencer les capacités grandissantes des machines et d’une future intelligence artificielle générale. La convergence NBIC se trouve aujourd’hui enrichie par une autre révolution, celle de la génétique qui permet à l’homme de reprogrammer sa propre biologie. Ainsi, l’homme-machine, post-humain, ou encore trans-humain, est celui qui, en détenant les codes de sa propre fabrication, sera capable d’en modifier la structure, de la doter de superpouvoirs qui l’affranchissent des limites physiques, biologiques et cognitives auxquelles l’humanité demeure soumise jusqu’à présent. L’humain augmenté laisse entrevoir la réalisation du rêve d’une extrême longévité, d’une force, une résistance et une intelligence accrues, d’une liberté du corps retrouvée. L’esquisse d’une telle amélioration des performances a fait l’objet en France d’une forte reconnaissance dans les médias lorsqu’en 2019 un jeune tétraplégique réussit à contrôler son exosquelette grâce à des électrodes implantées dans son crâne^[12]. Cette révolution comporte des promesses indéniables, mais elle soulève également des questions fondamentales pour « l’avenir du futur » de l’humain^[13]. L’humain augmenté devra-t-il à un moment donné s’en remettre à d’autres acteurs afin que son « augmentation » soit activée, modifiée ou maintenue en état de fonctionnement ? Dans ce cas, ces acteurs pourront-ils prendre connaissance des données personnelles des individus, voire piloter ceux-ci à distance ? Quels risques y auraient-ils que les humains augmentés passent sous le contrôle de personnes malveillantes ? Quel pourrait être l’impact de cet humain augmenté sur la société elle-même, par exemple comment évolueront les relations humaines, en termes d’interactions affectives et de solidarités, et les relations sociales, en termes d’accès non discriminatoire au travail ?

Se pose également la question de savoir comment s’exercera la cohabitation entre, d’une part, l’humain augmenté, doté de capacités extraordinaires mais aussi incité par la réglementation ou par des « manipulations douces » (nudge) à régler ses comportements sur des normes et des codes, et, d’autre part, les machines intelligentes, vouées peut-être bientôt à posséder leur propre « conscience ». Nous pourrions avoir d’un côté des sujets transformés en quasi-objets en raison de leur obligation de se conformer à des comportements jugés « normaux » et, de l’autre, des objets transformés en quasi-sujets grâce à des intelligences artificielles autonomes et auto-apprenantes capables de prendre des décisions sans contrôle humain. Il serait très intéressant que les scientifiques et les philosophes se penchent sur ces questions, les premiers pour comprendre les transformations profondes que ces évolutions vont entraîner sur le cerveau et le comportement biologique de l’humain, les seconds pour réfléchir aux contours de ses nouvelles relations au monde qui l’entoure.

Les auteurs du vingtième siècle avaient entrepris de caractériser les figures humaines de l’Histoire, passant en revue le Saint, le Héros, le Chevalier, le Sage, et enfin l’honnête homme du dix-septième siècle. Paraphrasant Saint-Augustin, le philosophe français Emmanuel Mounier s’était demandé, non sans cynisme, si le vingtième siècle n’avait pas accouché du médiocre satisfait. Fi de tout cela. N’est-ce pas dorénavant l’homme hyperconnecté qui devient la nouvelle figure autour de laquelle la société est en train de se réorganiser ?

Les psychologues nous alertent cependant sur le fait que les sociabilités virtuelles n’ont qu’une portée relative : les « amis virtuels » sont bien éloignés du modèle de Montaigne et La Boétie, les échanges sur les forums n’effacent pas vraiment l’impression d’être étranger aux autres, le sentiment de solitude ou d’isolement ne disparaît pas, au contraire ! S’ensuit de nouvelles pathologies telles que la fatigue chronique, l’addiction digitale, la perte de concentration, le burnout. Par conséquent, la prolifération des interactions sociales constitue au mieux un palliatif au sentiment d’abandon et de perte de contrôle de leurs existences de la majorité des êtres humains. En outre, cet humain hyperconnecté n’est-il pas devenu avant tout un consommateur augmenté, profilé grâce aux traces qu’il laisse sur les sites web et sur les réseaux sociaux, lesquelles permettent de l’inciter à consommer plus ? Le risque est également qu’il perde le contrôle de son esprit critique, enfermé dans une bulle informationnelle qui le rend vulnérable à des formes de manipulation intellectuelle et politique. Jusqu’où doit-on accepter de laisser les technologies conçues et mises en œuvre par un nombre restreint de sociétés technologiques géantes (« big tech »), de plus en plus dominatrices, pour le moment basées aux États-Unis et en Chine, lire dans nos pensées, décrypter nos émotions, deviner nos besoins et nos désirs, décider de la façon dont le contenu de nos pensées sera protégé ?

Les principes éthiques en intelligence artificielle

En faisant un peu d’humour l’on pourrait dire que définir des principes éthiques pour l’intelligence artificielle est chose aisée : quasiment tous les pays et tous les types d’organisations ne l’ont-ils pas fait ? Plus que pour d’autres technologies numériques disruptives, comme l’internet des objets ou la 5G, les valeurs et les principes susceptibles de guider le développement et le déploiement de l’intelligence artificielle dans l’économie et la société mobilisent l’intérêt, l’engagement et la participation de tous les acteurs de tous les continents. Les livres, articles, rapports, « déclarations » et autres documents écrits ne manquent pas en la matière, et l’océan des contributions, outre qu’il souligne l’attractivité du sujet, et en filigrane les inquiétudes qu’il génère, n’a cessé de s’agrandir depuis l’année 2017.

Afin de resserrer le cadre d’analyse, nous avons choisi d’évoquer ici sept sources d’informations dont la dernière, celle de la Commission européenne, sera détaillée dans la section suivante :

Les 23 principes d’Asilomar pour un développement éthique de l’intelligence artificielle^[14]
La Déclaration de Montréal pour un développement responsable de l’intelligence artificielle^[15]
Les principes généraux définis dans l’initiative globale de l’IEEE^[16]
Les cinq principes composant le « code IA » de la Chambre des Lords britannique^[17]
Les travaux du Partenariat sur l’intelligence artificielle, un organisme multipartite comprenant des universitaires, des chercheurs, des organisations de la société civile et des entreprises qui contribuent au développement et à l’utilisation de l’intelligence artificielle^[18]
Le cadre éthique fourni par AI4People^[19], qui s’appuie sur les quatre principes fondamentaux de la bioéthique (bienfaisance, non-malfaisance, autonomie et respect de l’autonomie, justice) et en ajoute un nouveau : l’explicabilité, qui comprend l’intelligibilité et la responsabilité.

La bonne nouvelle est que si l’on passe au crible les différents principes fournis dans les documents précédents – une cinquantaine au total – l’on constate une forte cohérence entre eux et par conséquent il est possible de les regrouper en quelques grandes catégories. C’est ce que la Commission européenne a su faire faire, et c’est pourquoi nous nous appuierons largement sur les résultats de ses travaux.

Précisons déjà que les valeurs et principes éthiques concernant l’intelligence artificielle (nous aurions pu aussi évoquer l’internet des objets ou la 5G) offrent une base robuste pour examiner plus loin le cas particulier des applications mobiles pour la recherche de contacts dans le contexte de la pandémie de la Covid-19, tout en gardant à l’esprit que chaque cas particulier soulève des interrogations spécifiques qu’il faut savoir reconnaître et prendre en compte.

L’Europe en pointe des réflexions sur l’éthique

L’Union Européenne assume un rôle de leadership planétaire dans la réflexion sur une « intelligence artificielle digne de confiance »^[20]. En avril 2019, le groupe d’experts de haut niveau (AI HLEG) que la Commission européenne avait mis en place en juin de l’année précédente publia ses lignes directrices sur l’éthique en matière d’intelligence artificielle. Selon les experts européens, l’aboutissement à une intelligence artificielle digne de confiance requiert sept principes :

Le 17 juillet 2020, le AI HLEG a présenté la liste finale d’évaluation destinée à favoriser une intelligence artificielle digne de confiance (ALTAI)^[21]. Cette liste d’évaluation accessible et dynamique doit permettre aux développeurs et aux déployeurs dans les entreprises et autres organisations d’autoévaluer la fiabilité de leurs systèmes d’intelligence artificielle (IA) en cours de développement.

Les travaux du AI HLEG, qui s’inscrivent dans une stratégie globale sur l’intelligence artificielle^[22], seront bientôt complétés par de nouveaux projets de recherche et d’innovation (R&I), à savoir ceux qui seront développés dans le programme Horizon Europe 2021-2027^[23].

Il faut souligner l’engagement de l’Union Européenne, aiguillonnée par la Commission européenne, sur le thème de l’éthique, non seulement en ce qui concerne l’intelligence artificielle, mais également pour d’autres sujets, tels que la recherche biomédicale, les sciences de la nature et les humanités. La Charte des droits fondamentaux de l’Union Européenne et la Convention européenne sur les droits humains constituent les principaux repères de la Commission européenne. Il s’ensuit que les questions abordées le plus fréquemment sont les suivantes : l’implication des enfants, des patients et des personnes vulnérables ; l’utilisation des cellules souches embryonnaires humaines ; le respect de la vie privée et la protection des données à caractère personnel ; la mauvaise utilisation ou l’utilisation malveillante ; l’impact sur l’environnement.

En affirmant sa détermination sur l’éthique, l’Union Européenne poursuit la démarche qui avait abouti en 2016 au règlement général sur la protection des données (RGPD). A ce sujet, il convient de relever que le comité européen de la protection des données (CEPD) a publié le 19 mars 2020 une déclaration dans laquelle il affirme que « même dans ces temps exceptionnels, le responsable du traitement des données (« data controller ») et le sous-traitant des données (« data processor ») doivent assurer la protection des données personnelles de la personne concernée (« data subject »). »^[24]Cette protection constitue, en effet, une dimension fondamentale du respect de la vie privée des individus et, partant, d’une conduite éthique dans toute application numérique de recherche des contacts.

Ethique et algorithmes : peuvent-ils converger ?

Les « valeurs » qui définissent l’éthique et les sept « principes » qu’en a tirés la Commission européenne en ce qui concerne « une intelligence artificielle digne de confiance » peuvent se heurter aux algorithmes qui, quels qu’ils soient, sont neutres par rapport à eux. Il va falloir encore attendre quelques années avant de savoir si l’intelligence artificielle peut être développée d’une façon éthique. Pour le moment, il faut garder à l’esprit que les algorithmes d’intelligence artificielle sont amoraux, comme c’est le cas par exemple lorsqu’ils commettent des discriminations raciales. Par conséquent, le développement d’une intelligence artificielle éthique ne doit pas être l’affaire seulement des juristes et des régulateurs, mais aussi celle des scientifiques^[25]. Ces derniers savent bien que l’intelligence artificielle est une « boîte noire » : l’ordinateur est capable de distinguer un chat d’un chien, mais nul ne sait précisément comment il est parvenu à la bonne conclusion ! Pour obtenir une intelligence artificielle éthique, il est indispensable de comprendre pourquoi les algorithmes font des erreurs ; c’est ainsi que s’est constitué récemment un nouveau domaine de la recherche en intelligence artificielle, la « quantification de l’incertitude », dont le but est d’aider à développer une façon claire et exacte de communiquer la marge d’erreur d’un algorithme.

Cependant, tous les défis éthiques ne pourront pas être relevés avec des solutions seulement techniques. Comme nous l’avons vu lorsque nous avons évoqué plus haut le sujet des « valeurs », les dilemmes éthiques, par nature, sont subjectifs et, par conséquent, requièrent des individus qu’ils résolvent entre eux leurs priorités conflictuelles. L’exemple bien connu est celui de la voiture autonome qui, dans l’hypothèse d’un accident inévitable en ville, devrait « choisir » entre faire une embardée pour épargner la vie de ses trois passagers, parmi lesquels se trouve un enfant, ou causer la mort de quatre piétons âgés. Selon leurs cultures, les individus qui sont interrogés sur ce dilemme répondent différemment : en Chine et au Japon, pays où les cultures attachent un poids plus grand à la collectivité, la probabilité de sacrifier les piétons est moins forte qu’ailleurs où les cultures accordent plus d’importance à l’individu. Ce cas poussé à son extrémité soulève une question à laquelle les mathématiques et les avancées techniques ne peuvent pas répondre : si j’achète une voiture autonome qui a été programmée en France et que je la conduise en Asie, à quelle éthique devrait-elle se soumettre ?

La conclusion qu’il faut tirer de cette analyse est que le développement d’une intelligence artificielle digne de confiance requiert l’engagement et la participation de tous les acteurs : experts de toutes disciplines, spécialistes des sciences sociales, éthicistes. C’est pourquoi la Commission européenne devra veiller à ce qu’au cours des prochaines années le AI HLEG poursuive ses travaux de conserve avec les scientifiques, ingénieurs et autres participants dans les futurs projets de R&I Horizon Europe.

Le traçage des contacts dans le cas de la Covid-19 : les enjeux éthiques entre l’urgence sanitaire et une mosaïque de solutions

Une épidémie de pneumonies d’allure virale d’étiologie inconnue a émergé dans la ville de Wuhan (province de Hubei, Chine) en décembre 2019. Le 9 janvier 2020, la découverte d’un nouveau coronavirus (appelé 2019-nCoV, puis SARS-CoV-2) a été annoncée officiellement par les autorités sanitaires chinoises et l’Organisation mondiale de la santé (OMS). Ce coronavirus est l’agent responsable de la nouvelle maladie infectieuse respiratoire appelée Covid-19 (pour CoronaVIrus Disease). Le SARS-Cov-2 se transmet d’individu à individu par voie aérienne de façon à former une chaîne de contaminations : une personne infectée transmet le virus à un autre individu qui contamine à son tour un autre individu, etc. La lutte contre la diffusion du coronavirus concerne donc l’identification et la rupture des chaînes de contaminations.

Afin de soutenir cette rupture, des solutions numériques de recherche des personnes infectées et d’identification des individus avec lesquels elles ont été en contact rapproché et prolongé ont été développées dès les premières semaines de diffusion du nouveau coronavirus. D’abord utilisées en Asie, notamment à Singapour (Trace Together) et en Chine (Close Contact Detector), les solutions de recherche de contacts ont ensuite été développées dans les pays occidentaux où elles ont généré des débats souvent houleux concernant leur efficacité et le respect de la vie privée des individus (non-respect du secret médical ou de la vie privée des personnes, limitation des libertés individuelles).

A peu près tout le monde est d’accord pour dire que l’outil numérique doit être intégré à un système plus large. Pour que l’épidémie s’éteigne, il ne suffit pas que les individus utilisent une application sur leur téléphone portable ; il faut aussi faire intervenir des personnes sur le terrain afin de mener le travail d’investigation (contact tracers).

Les solutions numériques de recherche de contacts : une mise en place difficile

« Une nouvelle application de traçage Covid est lancée en Angleterre et au Pays de Galles » (source : Financial Times, 24/09/2020), « Comment Jean Castex a tué StopCovid en une phrase » (source : Le Figaro 25/07/2020). Neuf mois après la découverte du coronavirus, sept mois après le moment où il ne fit plus aucun doute que le nouveau virus entraînerait une pandémie, les deux titres de la presse précédents montrent à quel point les pouvoirs publics ont eu du mal à mettre en place des applications de traçage des contacts indépendantes. Le Royaume-Uni et la France furent les deux principaux pays à rejeter l’offre initiale d’assistance technique d’Apple et Google tandis que les deux sociétés « big tech » collaboraient au même moment avec les autorités médicales de plusieurs autres pays européens, notamment l’Allemagne et l’Italie, en vue d’introduire une technologie de traçage des contacts dans leurs réseaux mobiles.

La chronologie des événements au Royaume-Uni dévoile des leçons intéressantes :

31 janvier : confirmation des deux premiers cas de coronavirus ; le service national de santé (National Health Service ou NHS) annonce qu’il va traquer tous les contacts de ces patients ;
29 février : 23 cas sont confirmés et plus de 10.000 personnes ont été testées en un mois ;
12 mars : la phase d’« endiguement » de l’épidémie est remplacée par une phase de « retardement » : désormais, les efforts ne portent plus sur la recherche des contacts des patients connus mais se concentrent sur la réduction de la pointe des infections pour faire en sorte que les patients les plus malades puissent recevoir les soins dont ils ont besoin (stratégie dite de l’aplatissement de la courbe) ;
23 mars : le Premier Ministre ordonne aux Britanniques de rester chez eux et demande à la police d’imposer cette décision de confinement national ;
12 avril : le gouvernement annonce qu’il va développer une application de suivi des contacts ;
17 avril : le Royaume-Uni annonce qu’il va reconstruire des équipes de « chercheurs de contacts » dans le cadre d’une nouvelle stratégie de test et de traçage ;
5 mai : le NHS lance une application de recherche des contacts qui s’inscrit dans la stratégie « Tester, Suivre et Tracer » visant à traquer et isoler le virus afin de l’empêcher de se reproduire ; l’application utilise les signaux Bluetooth pour dresser une cartographie des contacts entre les utilisateurs et alerter ceux qui se sont trouvés proches d’une personne infectée ;
8 mai : en réponse aux critiques sévères qui ont suivi la première annonce, émanant notamment des défenseurs du respect de la vie privée, préoccupés du fait que les données anonymisées seront stockées dans une base de données centrale, le NHS annonce qu’il travaille déjà à l’élaboration d’une seconde version de l’application incorporant la technologie fournie par Google et Apple ;
28 mai : suite à la décision annoncée le 17 avril, la recherche manuelle des contacts reprend grâce au recrutement et à la formation de 25.000 personnes vouées à cette mission ;
18 juin : le Royaume-Uni fait volte-face en abandonnant la technologie développée par ses services sanitaires au profit de celle d’Apple et Google ; lors de la phase pilote menée sur l’Île de Wight, l’application centralisée n’avait reconnu que 4% des téléphones mobiles d’Apple et 75% des appareils Android de Google ;
13 août : des essais sont annoncés concernant une nouvelle application fondée sur un modèle décentralisé ;
24 septembre : le NHS lance la nouvelle application – appelée NHS Covid-19 – qui rencontre aussitôt un succès estimable (un million de téléchargements le premier jour).

En conclusion, il aura fallu cinq mois au Royaume-Uni pour combler l’écart entre la décision de rechercher les contacts à l’aide d’une technologie numérique (avril) et le lancement effectif de l’application (septembre). Dans un contexte tendu où les pouvoirs publics ont dû faire front à une menace sanitaire survenue brutalement, d’origine incertaine, au déroulement imprévisible, il fallut mettre en place un arsenal de mesures d’urgence parmi lesquelles, en l’absence de traitements et d’un vaccin, la recherche de contacts apparaissait comme indispensable. Cette recherche devait s’effectuer de façon classique avec des équipes formées de manière appropriée, mais aussi grâce au développement d’applications numériques basées sur les technologies performantes et omniprésentes dont l’humanité dispose à notre époque.

La France s’est trouvée dans une situation similaire à celle du Royaume-Uni, mais il semble que l’objectif d’indépendance technologique vis-à-vis des GAFA, en l’occurrence de Google et d’Apple, a pris au moins autant d’importance aux yeux des autorités que celui de respect de la vie privée. Le cas de ce pays et de son application TousAntiCovid sera examiné en détail plus loin. Retenons simplement qu’à la fin du mois de septembre 2020 l’application française, lancée quatre mois plus tôt, le 2 juin, n’avait été téléchargée qu’environ 3 millions de fois, tandis que l’application allemande, lancée le 16 juin, l’avait été 18 millions de fois et l’application britannique 12,4 millions de fois en seulement quatre jours ^[26]

Au-delà des péripéties techniques, réglementaires et sociétales de l’année 2020, nul doute que si la pandémie perdure la nécessité de recourir à la technologie pour rechercher les contacts de personnes contaminées ou qui ont été identifiées comme ayant croisé des personnes contaminées sera plus grande que jamais. Moins d’un an après le début de la pandémie, le développement des applications de recherche de contacts se poursuit à travers le monde mais toutefois de façon inégale. Dans la plupart des pays, notamment en Europe, les débats s’enflamment autour de l’équilibre à trouver entre le respect de la vie privée et l’efficacité. En conséquence, le déploiement des applications est freiné, voire dans certains pays comme le Royaume-Uni stoppé puis repris sous d’autres formes. De leur côté, les États-Unis ont adopté une approche décousue dans la mesure où les états sont autorisés à construire leurs propres applications. Quoi qu’il en soit de la stratégie suivie par les différents pays, ce qui est sûr est qu’il faudra atteindre des niveaux élevés d’adoption des applications numériques de recherche de contacts pour que l’effort en vaille la peine en termes d’efficacité.

Le respect de la vie privée constitue un défi majeur pour l’avenir des solutions numériques de suivi des contacts. Un système utilisé par des dizaines de millions d’individus qui manipulent des données aussi sensibles qu’un historique de contact, voire des données médicales, nécessite un très haut niveau de sécurité. En Allemagne, le Chaos Computer Club (CCC), association d’experts en informatique qui conseille depuis trente ans le gouvernement fédéral sur les questions de vie privée, a contribué utilement au débat sur l’éthique en fournissant une liste de dix critères restrictifs pour que ce type de solutions puissent tirer parti du potentiel épidémiologique du suivi de contacts sans pour autant constituer une menace en matière de vie privée^[27].

Il est intéressant en passant de comparer les critères éthiques des experts de la Commission européenne (AI HLEG) et ceux du CCC. Les premiers sont plus larges puisqu’ils s’appliquent à l’intelligence artificielle, d’où des notions comme « facteur humain » ou « bien-être sociétal », mais ils correspondent dans une large mesure, avec un langage un peu différent, à ceux du CCC, même si ces derniers placent le curseur sur des points spécifiques tels que le « but épidémiologique », la « géolocalisation » ou encore la « non-observabilité des communications ». Cela montre bien qu’au-delà des « valeurs », les principes éthiques doivent être modulés en fonction des exigences de chaque domaine particulier, en fonction de sa taille et de ses spécificités.

La recherche de contacts par voie numérique : approche centralisée ou approche décentralisée ?

Le développement de solutions numériques de recherche des contacts soulève un ensemble de questions fondamentales avant même de s’intéresser aux enjeux éthiques :

Qui a commandité l’application et qui l’a développée ?
Quelles sont ses fonctionnalités ?
Quand a-t-elle été lancée ?
Quelles technologies utilise-t-elle ?
Où est-elle disponible et sur quelles plates-formes ?
Quel niveau de pénétration a-t-elle réalisé au bout d’une journée/semaine ou d’un mois ?

Cet article ne développera pas ces différents points. Toutefois, il faut souligner l’importance du choix de la technologie de base destinée à rechercher et identifier les contacts :

Dans le monde, et notamment en Europe, la plupart des pays ont choisi les « poignées de main » Bluetooth à courte portée entre les appareils mobiles comme le meilleur moyen d’enregistrer un contact potentiel, même s’il ne fournit pas de données de localisation.

La technologie Bluetooth, invoquée dans toutes les applications de suivi de contacts, n’a pas été conçue pour mesurer une distance, mais seulement pour transmettre des données. Or, l’intensité du signal reçu d’un émetteur dépend de la distance. Les chercheurs doivent prendre en compte les différents modèles de téléphones, dont les capacités en matière de Bluetooth varient, mais aussi les innombrables situations de la vie quotidienne qui induisent une cascade de facteurs parasites et inconnus a priori, comme la puissance de transmission (que le consortium Apple-Google s’efforce de préciser) ainsi que l’atténuation du signal dans sa propagation dans le milieu (par exemple selon que l’appareil soit à l’air libre, dans un environnement densément peuplé ou non, dans un sac à dos, dans une poche de vêtement). Par conséquent, la capacité de la technologie Bluetooth à atteindre le niveau de précision nécessaire reste la grande inconnue de l’équation. Il n’est pas certain que les paramètres de proximité des applications de suivi des contacts qui sont déployées dans de nombreux pays correspondent toujours aux conditions de contamination telles qu’elles sont comprises aujourd’hui. Des études ont montré, en effet, que le virus pouvait être transmis par effet aérosol, donc par voie aérienne^[29]. La proximité doit certainement jouer un rôle majeur dans la transmission, mais également d’autres paramètres, tels que la nature de l’espace dans lequel on se trouve (intérieur ou extérieur), les conditions d’aération, la charge virale des aérosols.

Si la technologie Bluetooth est privilégiée par la grande majorité des pays, en revanche ces derniers ne sont pas d’accord sur l’opportunité de consigner les contacts sur des appareils individuels (approche dite « décentralisée ») ou sur un serveur central (approche dite « centralisée »). La question sensible est en effet de savoir où se prend la décision de déclencher l’envoi des notifications aux contacts d’une personne qui vient d’être diagnostiquée positive au Covid-19. Est-ce sur un serveur contrôlé par une autorité sanitaire de confiance ou bien sur le téléphone lui-même ?^[30]

L’approche centralisée est théoriquement plus efficace que sa concurrente ; elle permet en effet aux équipes de recherche de contacts existantes de travailler directement sur les téléphones et de retrouver facilement pour les avertir les individus qui peuvent être à risque. Dans le cadre de l’approche décentralisée, les utilisateurs peuvent donner leur consentement pour partager leur numéro de téléphone ou les détails de leurs symptômes, ce qui permet alors aux autorités sanitaires de prendre contact avec eux et de donner des conseils sur la meilleure marche à suivre en cas de risque avéré. Ce consentement est cependant donné dans l’application et ne fait pas partie de l’architecture centrale du système.

Les modèles centralisé et décentralisé de suivi des contacts
Source: BBC News, Coronavirus: The great contact-tracing apps mystery, 21/07/2020

L’Union Européenne a montré qu’elle était en pointe sur les enjeux éthiques des technologies numériques, notamment l’intelligence artificielle. Toutefois, la question de la sécurité de l’échange d’informations entre les applications nationales de traçage des contacts reposant sur une architecture décentralisée s’est posée avec acuité. Rappelons qu’au départ les États membres s’étaient lancés dans des initiatives purement nationales dont la plupart, après valse-hésitation, convergèrent vers l’approche décentralisée proposée par l’alliance Google/Apple. Dès lors se posa la question de l’interopérabilité entre les différentes applications nationales. Comme l’indiqua Thierry Breton, commissaire au marché intérieur, « De nombreux États membres ont mis en œuvre des applications nationales de traçage des contacts et d’alerte. Il est temps à présent de faire en sorte que ces applications puissent communiquer entre elles. Les déplacements et les échanges personnels sont au cœur du projet européen et du marché unique. » Dès le 14 septembre 2020, la Commission européenne put annoncer la mise en place d’un service-passerelle d’interopérabilité permettant de connecter les applications nationales à travers l’Union Européenne et, par conséquent, de contribuer à briser la chaîne des infections dues au coronavirus et à sauver des vies. Un mois plus tard, le 19 octobre, ce service-passerelle a commencé à fonctionner, permettant à trois premières applications nationales, celles de l’Allemagne, de l’Italie et de l’Irlande, d’être reliées au système^[31].

L’interopérabilité en Europe : comment ça fonctionne ?

L’entrée en service de la passerelle d’interopérabilité met en évidence un certain isolement de la France dans l’Union Européenne. Un pays – la Suède – a certes décidé de ne pas développer d’application de suivi des contacts, d’autres l’envisagent mais ne se sont pas encore lancés, mais le fait important est que la plupart des pays ont mis en place une application en optant, après parfois quelques atermoiements, pour une approche décentralisée soutenue par Google et Apple.

Comment prendre en compte les enjeux éthiques dans les applications de suivi des contacts ?

Dès le début de la pandémie furent développées des solutions de tracking des individus afin de contrôler le respect des confinements et des quarantaines décidés par les gouvernements. Il s’agissait d’une démarche logique, nécessaire, et assez simple à mettre en place à la condition que les équipes de « traceurs » existassent pour exécuter le travail. Puis assez rapidement l’idée germa parmi de nombreux gouvernements de compléter les solutions de tracking par des solutions de tracing des individus, cette fois pour identifier et rompre les chaînes de transmission de la Covid-19. C’est ainsi que des solutions et applications mobiles furent lancées à travers le monde, tout d’abord en Asie puis après quelques semaines en Europe et ailleurs.

Nous avons vu que les gouvernements pouvaient adopter des protocoles techniques différents (Google/Apple, DP3T etc.) ainsi que des technologies différentes pour la collecte des données (Bluetooth, géolocalisation).

Si le choix de la technologie s’est porté largement sur Bluetooth, c’est parce qu’en dépit des incertitudes concernant le niveau de précision des transmissions, les garanties en termes de respect de la vie privée sont les meilleures.

Dans la première partie, nous avons montré que l’éthique portait sur des valeurs et que ces valeurs pouvaient être respectées en suivant un certain nombre de principes, parmi lesquels ceux préconisés par le groupe d’experts de la Commission européenne (AI HLEG) font la quasi-unanimité. Ces principes doivent être ensuite transformés en des questions à la fois simples et claires afin qu’ils puissent être appliqués dans des cas particuliers, comme celui du suivi des contacts. Ces questions doivent au minimum être les suivantes :

Le téléchargement et l’utilisation de l’application sont-ils volontaires (opt-in) ou bien obligatoire ?
Existe-t-il des limites à l’utilisation des données ?
Les données sont-elles destinées à être détruites au bout d’un certain temps ?
La collecte de données est-elle minimisée ?
La stratégie sous-jacente est-elle transparente ?
Les enfants, les personnes âgées et les personnes handicapées peuvent-elles avoir accès à l’application ? Si oui, comment, et comment leurs données sont-elles traitées ?

Les deux points fondamentaux lorsqu’on s’intéresse au respect de la vie privée dans le cas des applications mobiles destinées à la recherche des contacts sont, d’une part, l’identité des utilisateurs (les connexions via Bluetooth permettent de mettre en œuvre une approche fondée sur l’anonymisation ou la pseudonymisation, tandis que celles par géolocalisation ne respectent pas la vie privée) et, d’autre part, la structure et le stockage des données (modèle centralisé ou décentralisé).

Il n’est pas surprenant que la façon de traiter le respect de la vie privée diffère grandement entre les pays. A Singapour, l’application « Trace Together » utilise la technologie Bluetooth pour repérer et identifier les personnes qui ont été en contact étroit et prolongé avec d’autres utilisateurs de smartphone testés positivement au Covid-19 ou à haut risque d’être porteurs du virus ; elle alerte alors ces personnes. En cas de suspicion d’une interaction entre un cas confirmé et un individu, le téléchargement de ces données vers un serveur devient obligatoire.

En Chine, où la place accordée à l’individu dans la société est soumise à l’intérêt de la collectivité, la recherche des contacts se fait via la plate-forme « Close Contact Detector » qui a été développée par China Electronics Technology Group Corporation (CETC), propriété de l’État chinois. Cette plate-forme dont l’objet est de signaler aux personnes qu’elles ont été en contact étroite avec des individus infectés a été intégrée à des applications populaires préexistantes, comme Alipay, Wechat et QQ. Elle peut être utilisée par les autorités, les entreprises, les écoles, des employés d’espaces publics ou des représentants de quartiers résidentiels. Les utilisateurs de la plate-forme peuvent y accéder en scannant un code QR et s’inscrire avec un numéro de téléphone en fournissant leur nom et leur numéro d’identification national. Chaque compte associé à un numéro de téléphone peut demander des renseignements sur trois personnes au maximum.

En Allemagne, l’application « Corona-Warn-App » commandée par le gouvernement à SAP et T-Systems, développée par Google et Apple, et inspirée par les travaux du consortium européen DP3T, analyse les signaux Bluetooth émis par les téléphones mobiles afin de détecter les utilisateurs ayant été en contact rapprochés les uns avec les autres. Les individus qui ont été en contact avec une personne infectée sont alors prévenus. Les identités des utilisateurs ne sont pas divulguées, les données sont cryptées et supprimées au bout de quatorze jours.

Au Royaume-Uni, où comme nous l’avons vu la mise en œuvre de l’application NHS Covid-19 a suscité de vifs débats, certains n’hésitent pas aujourd’hui à proclamer que le point d’équilibre entre respect de la vie privée et efficacité privilégie de façon excessive le premier aux dépens de la seconde : l’application permet en effet d’obtenir des détails sur le nombre de tests positifs qui ont été enregistrés et sur le nombre d’alertes qui ont été envoyées aux utilisateurs afin qu’ils s’isolent, mais en revanche elle n’apprend rien sur l’identité de ceux qui ont été testés positivement ni de ceux qui ont été à la source de leur contamination^[32]. En d’autres termes, les choix effectués par le gouvernement se sont révélés être plus conservateurs que ceux concernant l’API Apple-Google. Par exemple, les utilisateurs auraient pu se voir demander lorsqu’ils téléchargent l’application s’ils consentaient à fournir un numéro de téléphone afin qu’ils puissent être contactés au moment de leur isolement. Au lieu de cela, ils reçoivent seulement une alerte dont ils peuvent suivre les instructions ou pas.

On le voit, le débat n’est pas clos, ni au Royaume-Uni ni ailleurs dans le monde occidental où les comparaisons que certains tentent de faire parfois avec des pays asiatiques comme le Viêt-Nam ou Taïwan ne sont pas forcément pertinentes.

La question du « contrôle » est évidemment essentielle. Certains gouvernements, comme en France, ont voulu garder le contrôle des données et, par conséquent, ont adopté un modèle centralisé. Mais la plupart, après des débuts erratiques, comme en Allemagne ou au Royaume-Uni, se sont résignés à s’en remettre à Google et Apple. Il est assez curieux de noter que les deux firmes américaines de l’Internet sont en fin de compte perçues comme offrant une solution plus fiable et garantissant davantage la sécurité et le respect de la vie privée grâce à l’anonymisation et à une architecture décentralisée. L’intérêt de Google et d’Apple est évident : plutôt que de se trouver en concurrence avec des gouvernements, ces sociétés préfèrent intelligemment offrir à chaque pays la possibilité d’accéder à leurs interfaces de programmation d’application (API), quitte ensuite pour les pays intéressés de configurer ces interfaces à leur guise, notamment en ce qui concerne les questions de respect de la vie privée. C’est ainsi que le 10 avril 2020 les deux firmes américaines annoncèrent qu’elles travaillaient ensemble au développement d’une application mobile en utilisant les signaux Bluetooth d’un smartphone ; aucune donnée de localisation par GPS ni d’informations personnelles ne seraient enregistrées. « Le respect de la vie privée, la transparence et le consentement sont pour nous de la plus haute importance et nous nous engageons à construire cette fonctionnalité en consultation avec les parties prenantes intéressées », firent savoir Google et Apple dans une déclaration commune.

Les applications mobiles de recherche de contact sont censées établir un compromis, propre à chaque pays en fonction de son histoire, de sa culture et de ses préférences du moment, entre le niveau d’efficacité à attendre pour contrôler la propagation de l’épidémie et le risque potentiel de remise en cause du respect de la vie privée. Des défenseurs des droits fondamentaux craignent que l’outil serve certes dans un premier temps à traquer les contacts des patients nouvellement infectés mais qu’il évolue ensuite vers une situation où il se transformerait en un véritable « passeport d’immunité » devant être présenté systématiquement pour pouvoir utiliser un transport public ou assister à un match de football. En France surtout, le débat demeure intense entre les partisans d’une approche « moderne » pour endiguer l’épidémie de la Covid-19 et les opposants à une telle démarche, qui refusent de souscrire à une approche purement « techniciste » pouvant remettre en cause les droits fondamentaux des individus^[33] : « Si les nouvelles technologies sont désormais indispensables à toute politique publique, placer au centre d’une stratégie d’État une application dont l’efficacité est plus que douteuse, et surtout inversement proportionnelle aux risques éthiques, politiques et sanitaires qu’elle comporte, serait catastrophique pour l’évolution de notre société. Les moments d’exception que nous vivons ne doivent pas pousser à composer avec une réponse techniciste, aussi trompeuse que dangereuse, ni nous faire renier nos exigences démocratiques. Ils doivent, au contraire, nous inciter à réaffirmer la part de solidarité et de confiance dont une société a besoin pour continuer de s’inventer sans cesse, en stimulant l’imaginaire social qui la nourrit. »

La solution française : « TousAntiCovid »

La France a développé une application pour aider à la lutte contre le virus Covid-19. Cette application qui s’appelait jusqu’au 22 octobre 2020 StopCovid France, s’appelle désormais TousAntiCovid. La France a fait le choix de ne pas recourir à la géolocalisation, c’est-à-dire au « tracking » qui s’apparente à un suivi des déplacements via les GPS des smartphones et les antennes-relais. TousAntiCovid utilise le « tracing ». Il s’agit de garder en mémoire les contacts entre les personnes via la technologie Bluetooth. Cette technologie est considérée comme efficace et moins intrusive que la géolocalisation. C’est la position du Comité européen à la protection des données selon lequel « l’utilisation des applications de recherche des contacts ne devrait pas reposer sur la recherche de mouvements individuels mais plutôt sur des informations de proximité concernant les utilisateurs. Les applications de recherche de contacts ne nécessitent pas de suivre la localisation des utilisateurs individuels. Les données de proximité devraient plutôt être utilisées » (voir les lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de Covid-19)^[34]. C’est également la position de la Commission européenne qui privilégie les mesures les moins intrusives mais efficaces, notamment l’utilisation de données de proximité, et le fait d’éviter de traiter des données sur la localisation ou les mouvements des personnes (voir la Recommandation (UE) 2020/518 de la Commission du 8 avril 2020 concernant une boîte à outils commune de l’Union en vue de l’utilisation des technologies et des données pour lutter contre la crise de la Covid -19 et sortir de cette crise, notamment en ce qui concerne les applications mobiles et l’utilisation de données de mobilité anonymisées^[35]).

Pour procéder à l’analyse éthique de l’application française, nous nous appuierons sur les principes éthiques des experts de la Commission européenne (HLEG)^[36] rappelés plus haut. Ces principes sont partagés par la France qui a contribué à leur élaboration et qui nous semblent être à ce jour les plus pertinents pour vérifier si l’application TousAntiCovid est respectueuse des libertés fondamentales et des droits humains dans l’État démocratique qu’est la France.

Comment l’application TousAntiCovid fonctionne-t-elle ?

Comme pour toutes les applications de suivi des contacts, l’application permet aux personnes qui la téléchargent d’être prévenues si elles ont été à proximité, dans un passé proche, de personnes diagnostiquées positives au Covid-19 et disposant de la même application, cette proximité induisant un risque de transmission du virus.

En pratique, une fois installée et les fonctionnalités activées, l’application émet des messages Bluetooth spécifiques et en reçoit qui proviennent d’autres smartphones sur lesquels l’application TousAntiCovid a été installée et activée.

Le dispositif se décompose en une application mobile mise à la disposition sur des équipements mobiles (téléphone mobiles et tablettes) et un serveur central qui assure le stockage et la transmission d’un certain nombre de données. Si un utilisateur a été déclaré positif au Covid-19, il va pouvoir déclarer cet état directement dans l’application non avec son nom mais grâce à un code, le QR code fourni par le laboratoire ou le médecin. L’utilisation de ce code par l’utilisateur lui permet d’envoyer son historique de contacts au serveur central qui traite alors chacun des contacts présents dans l’historique, afin d’en estimer le risque de contamination au virus SARS-CoV-2.

L’application contacte une fois par jour le serveur afin de vérifier le statut d’exposition de l’utilisateur. Les utilisateurs ayant été en contact (à moins d’un mètre pendant au moins 15 minutes) avec la personne diagnostiquée ou dépistée positive sont prévenus par le serveur qu’ils ont été exposés à un risque de contamination au virus SARS-CoV-2 au cours des quinze derniers jours.

Respect de la vie privée et gouvernance des données

Quelle est la finalité du traitement ? Existe-t-il des limites à l’utilisation des données ?

Le but de l’application a été initialement de faciliter la sortie du confinement et de ralentir la propagation du virus. D’après l’article 1 du décret, n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid France » nouvellement dénommé TousAntiCovid »^[37], le traitement a pour finalité : a) l’information d’une personne utilisatrice de l’application du fait qu’elle s’est trouvée à proximité avec un utilisateur de la même application ultérieurement diagnostiquée positif à la Covid-19, de sorte qu’il existe un risque qu’elle soit contaminée à son tour ; b) la sensibilisation sur les symptômes de la maladie, les gestes barrière, l’orientation des contacts à risque vers des acteurs de santé compétents, l’utilisation de données statistiques anonymes au niveau national. La CNIL a préconisé dans son avis du 25 mai que la prise de contact entre l’utilisateur et le professionnel de santé soit recommandée mais laissée à la discrétion de l’utilisateur^[38] pour préserver sa liberté individuelle, ce qui a été suivi.

Les opérations suivantes sont expressément exclues des finalités : le recensement des personnes infectées, l’identification des zones dans lesquelles ces personnes se sont déplacées, les prises de contact avec la personne alertée ou encore la surveillance du respect des mesures de confinement ou de toute autre recommandation sanitaire. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes.

Ces restrictions dans les finalités écartent en principe le risque que l’application TousAntiCovid ne soit utilisée comme un outil de surveillance de la population ou de coercition, et ce sauf détournement de finalité ou piratage.

Ceci est conforme à la règlementation applicable rappelée dans la recommandation de la Commission européenne selon laquelle : « En ce qui concerne le principe de limitation de la finalité, les finalités doivent être suffisamment précises pour exclure tout traitement ultérieur à des fins non liées à la gestion de la crise sanitaire Covid-19 (par exemple, à des fins commerciales ou répressives) ».

Quelles sont les données traitées et utilisées ? La collecte de données est-elle minimisée ?

Le décret précité liste les catégories de données traitées : la clef d’authentification partagée entre l’application et le serveur central, un identifiant unique associé à chaque application téléchargée généré de façon aléatoire par le serveur central et qui n’est connu que de ce serveur où il est stocké, les codes-pays, les pseudonymes aléatoires et temporaires générés par le serveur, l’historique de proximité, les périodes d’exposition des utilisateurs à des personnes diagnostiquées ou dépistées positives stockées sur le serveur, l’historique de proximité des contacts à risque, le statut « contacts à risque de contamination », la date des dernières interrogations du serveur.

Il n’y a pas de collecte de noms, de numéros de téléphone, ou d’adresses électroniques.

Les données transmises ne le sont que si l’utilisateur de l’application le décide, et ce même s’il est contaminé par le virus de la Covid-19. Il n’a donc aucune obligation de transmission de données et cette transmission n’a aucun caractère automatique.

S’il le décide, l’utilisateur pourra donc transmettre l’historique de proximité des contacts à risque de contamination par le virus de la Covid-19, la date de début des symptômes, et le code QR. Dans un premier temps, l’intégralité de l’historique des contacts de l’utilisateur était envoyée au serveur, si celui-ci décidait d’envoyer ses contacts à risque. Suite à une mise en demeure de la CNIL en date du 20 juillet 2020^[39], le système a été modifié et désormais il existe un pré-filtrage de l’historique des contacts de l’utilisateur au niveau du téléphone. Il est donc impossible que l’intégralité de l’historique des contacts de l’utilisateur remonte vers le serveur central, sans pré-filtrage au niveau du téléphone. Seuls les contacts les plus susceptibles d’avoir été exposés au virus sont transmis au serveur central. Le principe de minimisation de la collecte des données est donc respecté.

Cette minimisation de la collecte et de l’utilisation des données est conforme au principe de minimisation du RGPD^[40] et rappelé dans les lignes directrices du Comité européen à la protection des données précitées selon lesquelles « dans le contexte d’une application de recherche de contacts, il convient d’accorder une attention particulière au principe de minimisation des données ainsi qu’aux principes de protection des données dès la conception et de protection des données par défaut : i) les applications de recherche de contacts ne nécessitent pas le traçage de la localisation des différents utilisateurs. Il convient plutôt d’utiliser des données de proximité́ ; ii) les applications de recherche de contacts pouvant fonctionner sans identification directe des personnes, il convient de mettre en place des mesures appropriées pour empêcher la ré-identification ; iii) les informations collectées devraient être stockées dans l’équipement terminal de l’utilisateur et seules les informations utiles devraient être collectées en cas d’absolue nécessité. »^[41]

Les données sont-elles anonymisées ?

Les données transmises via TousAntiCovid sont très sensibles puisqu’il s’agit de données de santé et qu’elles permettent de créer des historiques des contacts à moins d’un mètre des personnes « croisées » plus de 15 minutes. En l’absence de mesures robustes rendant très difficile la ré-identification des utilisateurs, l’application permettrait de savoir si tel individu a eu le virus, notamment aux personnes avec lesquelles il a été en contact et qui ont téléchargé l’application, et de connaître l’identité de ces personnes, ce qui serait une forte entrave à la vie privée et aux libertés individuelles.

C’est la raison pour laquelle la Commission européenne, dans sa recommandation précitée, indique qu’il convient de respecter l’utilisation de données anonymisées, de mettre en place des garanties afin d’empêcher la désanonymisation et d’éviter la ré-identification des personnes, notamment par le chiffrement. Elle évoque « la mise en place de garanties quant à un niveau suffisant de sécurité des données de l’infrastructure informatique, et une évaluation des risques de ré-identification en cas de mise en corrélation des données anonymisées avec d’autres données ».

Le Comité européen à la protection des données apporte des précisions utiles sur la distinction entre l’anonymisation et la pseudo-anonymisation : pour que l’anonymisation totale soit réelle, il faut qu’elle remplisse trois critères : il ne faut pas que l’on puisse identifier un individu à partir d’un groupe ; il ne faut pas pouvoir relier deux fichiers concernant le même individu ; il ne faut pas pouvoir déduire avec une probabilité significative des informations non connues d’un individu. Le Comité ajoute que seuls des groupes de données (data sets) peuvent être anonymisés, et non une donnée isolée, et par conséquent le fait de crypter une donnée seule ne permet pas son anonymisation mais seulement sa pseudo-anonymisation.

Cette distinction entre l’anonymisation et la pseudo-anonymisation a été rappelée par la CNIL dans un article de synthèse publié sur son site le 19 mai 2020^[42], selon lequel « l’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible » alors que « la pseudo-anonymisation consiste à remplacer les données directement identifiantes d’un jeu de données (nom, prénom, etc.) par des données indirectement identifiantes ( alias, numéro séquentiel etc.). La pseudo-anonymisation permet donc de remonter à l’identité de la personne concernée, c’est la raison pour laquelle l’utilisation de données pseudo-anonymisées doit respecter la règlementation sur les données personnelles alors que le recours à des données anonymisées est totalement libre.

L’application TousAntiCovid ne garantit pas l’anonymisation des données mais seulement leur pseudo-anonymisation. C’est la raison pour laquelle TousAntiCovid doit respecter le RGPD et la loi informatique et libertés modifiée. Ceci a été rappelé par la CNIL dans son avis du 24 avril 2020^[43] selon lequel « il demeure un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée ». Le fait que l’application soit téléchargée sur un téléphone mobile doté d’un IMEI (international Mobile Equipment Identity)^[44] donne la possibilité de remonter à l’identité de l’utilisateur.

Dans ses lignes directrices, le Comité européen à la protection des données recommande certaines mesures pour les applications de suivi de contacts : des identifiants pseudonymes doivent être échangés entre les mobiles des utilisateurs d’équipement (ordinateurs, tablettes, montres connectées, etc.) ; les identificateurs doivent être générés à l’aide de procédés cryptographiques de pointe ; les identificateurs doivent être renouvelés régulièrement afin de réduire le risque de suivi physique et les attaques de liens ; l’application ne doit pas transmettre aux utilisateurs des informations qui leur permettraient de déduire l’identité ou le diagnostic des autres ; le serveur central ne doit ni identifier les utilisateurs ni déduire des informations à leur sujet.

Qu’en est-il de la pseudo-anonymisation des données personnelles dans TousAntiCovid ? Ces mesures sont-elles respectées ?

Comme il a déjà été mentionné, le téléchargement de l’application ne requiert pas la fourniture de données directement identifiantes telles que le nom, le numéro de téléphone, l’adresse électronique. Le décret précité indique que « les données permettant l’identification du téléphone mobile, de son détenteur ou de son utilisateur ne peuvent être collectées ni enregistrées dans le cadre du traitement ». Le téléchargement sur le téléphone mobile n’enregistre pas le nom mais un pseudonyme permanent. Le décret mentionne effectivement qu’un identifiant unique associé à chaque application téléchargée par un utilisateur, est généré de façon aléatoire par le serveur central et n’est connu que de ce serveur où il est stocké.

Le décret indique qu’il existe une clé d’authentification partagée entre l’application et le serveur central, générée par ce serveur lors du téléchargement de l’application, qui sert à authentifier les messages de l’application.

L’application fait état de ce que les données échangées entre deux téléphones via Bluetooth sont des pseudo-identifiants renouvelés automatiquement toutes les 15 minutes. Ils sont donc temporaires. C’est par exemple une suite de numéros, de lettres ou de signes, qui ne permet pas par elle-même d’identifier une personne. Si l’on croise une personne qui a TousAntiCovid, les téléphones échangent entre eux les deux pseudonymes. Chacun enregistre l’autre dans son historique de personnes croisées de façon cryptée. Les personnes croisées ne connaissent pas en principe l’identité de la personne infectée qui a fait l’alerte.

Cependant nous pouvons relever la prudence de la rédaction dans l’application. Le « par elle-même » qui indique en creux qu’il y a bien une possibilité d’identifier la personne avec un croisement d’autres données.

Si l’utilisateur de l’application a été diagnostiqué positif au virus, il n’enverra pas au serveur son nom mais le code QR qui est aléatoire et qui ne permet donc pas d’identifier la personne concernée^[45].

En conclusion, il semble que de nombreuses précautions aient été prises pour éviter la ré-identification des personnes et que les recommandations du Comité européen à la protection des données aient été entendues sur ce point. Des contrôles devraient être régulièrement effectués pour s’en assurer.

A qui sont transmises ces données ?

Les données stockées sur le téléphone portable ne sont partagées par l’application avec le serveur géré par le Ministère des Solidarités et de la Santé et son sous-traitant INRIA que si l’utilisateur a été diagnostiqué comme un cas Covid-19 et avec son accord. La transmission n’est donc pas automatique : l’utilisateur n’est pas obligé de déclarer qu’il est positif au nouveau coronavirus et il ne transmettra au serveur l’historique limité de ses contacts que s’il le souhaite.

Lorsque les données sont partagées avec le serveur, l’application spécifie que cela permet aux applications des autres utilisateurs d’interroger celui-ci afin de savoir si elles ont été à proximité de l’application concernée. Si c’est le cas, les utilisateurs seront alertés qu’ils ont été exposés à un risque de contamination.

Le fait que des données aussi sensibles soient centralisées sur un serveur d’État a fait l’objet de nombreux commentaires, certains craignant un détournement d’usage, comme la mise en place d’une surveillance de la population ou un piratage.

Les données sont-elles destinées à être détruites au bout d’un certain temps ?

L’application mentionne que les données, donc notamment tous les pseudonymes et les échanges de pseudonymes, sont conservées pendant quatorze jours et automatiquement effacées sur le téléphone et le serveur. Cette durée de conservation des données correspond aux recommandations sanitaires et permet de ne conserver les données que pendant une durée limitée.

En outre, l’utilisateur peut à tout moment demander la suppression de ses données de son smartphone et de la base centrale du serveur avant la désinstallation de l’application.

Robustesse et sécurité

Selon les travaux du HLEG précités, la robustesse d’un système s’apprécie à l’aune de quatre critères : la sécurité (lutte contre la criminalité), la sûreté (lutte contre les accidents), la précision ainsi que la fiabilité.

Quelle est la technologie utilisée ? Est-elle précise et fiable ?

La technologie utilisée est le Bluetooth et non la géolocalisation. Le Bluetooth n’étant efficace que sur de très faibles distances, ne sont enregistrés que les contacts de très grande proximité (un mètre). Dans la FAQ du site de l’application, il est indiqué que « le développement d’une telle application est techniquement compliqué » et que « les travaux des équipes pilotées par INRIA ont levé la plupart des barrières technologiques. En particulier, la question du calibrage du Bluetooth et de sa capacité à permettre l’estimation des distances entre deux téléphones a été largement levée, en coopération avec l’Allemagne qui a fait des tests sur le sujet ». Cette question de la fiabilité et de la précision du système est essentielle pour s’assurer qu’il n’y aura pas d’erreur dans les alertes effectuées, au risque de voir des alertes erronées engendrer un préjudice physique (absence d’alerte d’un contact avec une personne déclarée positive au virus) ou un préjudice psychologique (alerte effectuée alors qu’aucune personne croisée n’est contaminée par le virus). Des contrôles sur ces points doivent être régulièrement effectués.

Après avis de la CNIL, il n’est plus envisagé d’introduire intentionnellement de faux positifs dans les notifications transmises aux personnes, afin de limiter les risques de ré-identification dans certains types d’attaques.

La CNIL avait soulevé dans son avis du 25 mai précité que l’absence de prise en compte du contexte des contacts (médecins, personnes protégées par des parois séparatrices etc.) était susceptible de générer des faux positifs et qu’il faudrait à l’avenir prévoir un bouton qui permette de désactiver momentanément l’application ; ceci a été fait. En outre, la deuxième version de l’application prévoit que celle-ci n’est plus activée une bonne fois pour toute ; l’utilisateur doit l’activer quand il se trouve dans un lieu très fréquenté, dans un centre commercial, dans son entreprise, dans un restaurant etc.

Les système est-il sûr ? Des mesures efficaces ont-elle été prises pour prévenir et lutter contre les cyber-attaques (sécurité) et les accidents ou incidents (sûreté) ?

Le gouvernement a fait le choix de recourir à l’architecture centralisée, c’est-à-dire que seuls les historiques de proximité sont échangés entre l’utilisateur et le serveur au motif que « l’architecture centralisée offre davantage de garanties et de sécurité. Elle permet d’éviter qu’un serveur ne collecte la liste des personnes testées positives au coronavirus (même de façon anonyme) et que cette liste ne circule ou ne soit stockée sur un serveur ou sur des téléphones ». Il n’y a donc pas de création de fichier des personnes contaminées mais simplement une liste de contacts, pour lesquels toutes les données sont pseudo-anonymisées.

La CNIL a insisté dans son avis du 24 avril sur la nécessité de prendre des mesures de sécurité de très haut niveau pour pallier le risque de détournement de finalités des données qui sont sur le serveur central. Elle a indiqué que l’algorithme de cryptographie 3 DES ne devrait plus être utilisé, ce qui a été suivi.

Là encore, elle est en alignement avec les recommandations de la Commission européenne précitées selon lesquelles « des techniques cryptographiques de pointe doivent être mises en œuvre pour sécuriser les données stockées dans les serveurs et les applications, les échanges entre les applications et le serveur distant ».

Concernant la fiabilité et la sécurité attachée à l’informatique de l’application, le contenu de l’application TousAntiCovid indique que la publication du code source permet de confronter l’application à la communauté scientifique pour identifier les possibles failles.

Le fait que l’agence nationale de la sécurité des systèmes d’information (l’ANSSI) soit membre de l’équipe TousAntiCovid est un gage de prise au sérieux de ces problématiques.

L’application mentionne que « les données de géolocalisation ne sont ni enregistrées ni échangées ». La formulation ici encore semble prudente. Est-ce à dire qu’il serait finalement possible de reconstituer les déplacements ?

La méthode d’authentification par captcha (qui permet de vérifier lors de l’activation initiale de l’application que cette dernière est utilisée par un être humain) qui reposait sur la technologie reCaptcha de la société Google, utilisée au début, est désormais remplacée par la technologie captcha développée par la société Orange. Il n’est donc plus fait appel au web service reCaptcha de Google depuis l’application TousAntiCovid.

Cela constitue une avancée puisque l’utilisation de la technologie d’Orange est limitée à des fins de sécurité, ce qui n’était pas le cas de la technologie reCaptcha qui reposait « sur la collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications), ces données étant transmises à Google pour analyse »^[46]. Il en résultait que les informations fournies par la société Google aux développeurs n’avait pas pour seule finalité la sécurisation de l’application mais permettaient également des opérations d’analyse de la part de cette société. La CNIL avait indiqué que le recours à ce service de Google était susceptible d’entraîner la collecte de données personnelles non prévues dans le décret, et également des transferts de données hors de l’Union Européenne. Ces deux risques sont en principe maintenant écartés.

Quel sera le contrôle des algorithmes, des données et de l’application en général, notamment en termes de fiabilité, de sécurité et de sûreté ?

Dans les lignes directrices précitées le Comité européen à la protection indique que « afin de garantir leur équité, leur responsabilité et, plus largement, leur respect de la loi, les algorithmes doivent être vérifiables et doivent être régulièrement examinés par des experts indépendants ». Le contrôle régulier des algorithmes et des systèmes de sécurité de l’application est un point déterminant pour vérifier qu’ils fonctionnent bien selon les finalités souhaitées et que le système n’est pas en train d’être biaisé ou piraté. Ceci doit être fait par des experts indépendants.

De même il faudra vérifier que les données n’ont pas été altérées ou piratées.

Des audits de sécurité sont prévus par l’ANSSI tout au long du développement de l’application et réalisés par des tiers. Ces audits devraient se poursuivre ensuite tout au long de l’utilisation de l’application.

La CNIL est favorable à une évaluation de l’application après expérimentation. Un comité spécialisé de liaison et de contrôle évaluera donc l’application afin de vérifier si l’État fait ce qu’il dit.

Le décret précité prévoit que le responsable de traitement rende un rapport public sur le fonctionnement de TousAntiCovid dans les trente jours suivant le terme de la mise en œuvre de l’application, et au plus tard le 30 janvier 2021.

Facteur humain et contrôle humain

Le téléchargement et l’utilisation de l’application sont-ils volontaires (opt-in) ou bien obligatoires ?

Le Comité européen à la protection a déjà pris position sur le fait que l’utilisation des demandes de recherche de contacts devrait être volontaire (lignes directrices précitées).

Le système TousAntiCovid est fondé sur le volontariat des utilisateurs. L’application est installée librement et gratuitement par les utilisateurs, qui ont en outre la faculté d’activer ou non la fonctionnalité de l’application permettant de constituer l’historique de proximité. Il est également possible de ne pas communiquer sur le fait que l’on a eu le virus et de ne pas transmettre au serveur l’historique de proximité. L’application peut être désinstallée à tout moment. La liberté individuelle est respectée à chaque étape du processus. L’utilisateur qui télécharge l’application ne se trouve pas engagé dans un processus obligatoire dont il perdrait le contrôle. Il reste totalement maître de sa démarche de déclarer ou non sa maladie.

De plus, la CNIL, dans son avis du 24 avril 2020, a souligné que le volontariat ne doit pas uniquement se traduire par le choix de l’utilisateur de télécharger puis de mettre en œuvre l’application mais que cela signifiait que l’accès aux tests, aux soins, à la sortie du confinement, à l’utilisation des transports, au retour au travail ne devait pas être conditionné par le téléchargement et l’utilisation de l’application. Aucun accès à un quelconque lieu ou service ne doit y être conditionné. Cela constituerait pour la CNIL une discrimination. Ainsi, l’installation de l’application ne donne accès à aucun droit ou aucun avantage spécifique. Cette information est fournie dans le contenu de l’application.

La CNIL se conforme en cela à la position du Comité européen à la protection des données selon laquelle « les personnes qui décident de ne pas pouvoir utiliser ces applications ne devraient subir aucun désavantage. » (lignes directrices précitées). Il n’y a à ce jour aucune raison de penser que l’application devrait devenir obligatoire directement ou indirectement par une restriction des services qu’engendrerait l’absence de téléchargement. Ceci serait contraire à l’avis de la CNIL. A ce jour, les avis de la CNIL concernant TousAntiCovid ont toujours été suivis, (ce qui a d’ailleurs permis à la CNIL de lever sa mise en demeure, le 3 septembre 2020) et il est certain qu’elle veillera à ce que ce point soit respecté. Le site TousAntiCovid indique à ce sujet qu’il s’agit d’un « enjeu de liberté publique ».

Transparence

Selon les lignes directrices du HLEG précitées, la transparence se décompose en trois éléments : la traçabilité^[47], l’explicabilité^[48] et la communication sur les limites du système.

Quelle est la transparence attachée à TousAntiCovid ?

Le code source mis en œuvre dans le cadre de TousAntiCovid est rendu public et est accessible à partir des sites internet du Gouvernement (https://www.gouvernement.fr/info-coronavirus/tousanticovid), du Ministère des Solidarités et de la Santé (https://solidarites-sante.gouv.fr/soins-et-maladies/maladies/maladies-infectieuses/coronavirus/tousanticovid), du Ministère de l’Économie, des Finances et de la Relance (https://www.economie.gouv.fr/tousanticovid), et de l’application elle-même. La CNIL a salué le libre accès aux protocoles utilisés ainsi qu’au code source. Nous n’avons pas trouvé sur le site de l’application d’information pour les non avertis sur le fait de savoir si les algorithmes utilisés étaient supervisés ou non supervisés. Il serait utile de savoir qui est l’humain aux manettes et à quel moment il y a intervention humaine ou avec quels outils^[49]. Il serait également intéressant pour les utilisateurs de comprendre, grâce à des explications simples, comment fonctionnent les algorithmes de l’application.

Une autre piste d’amélioration serait d’expliquer clairement à l’utilisateur non averti que l’application ne permet pas l’anonymisation des données mais seulement une pseudo-anonymisation, et qu’il est donc possible de remonter à l’identité de l’utilisateur, même si de nombreuses précautions sont prises pour minimiser le risque de ré-identification.

Suite aux recommandations de la CNIL en date du 25 mai, les droits à l’effacement et d’opposition des utilisateurs prévus par le RGPD ont été instaurés pour être en conformité avec l’obligation légale.

Les personnes concernées sont informées des principales caractéristiques du traitement et de leurs droits, conformément aux dispositions des articles 13 et 14 du règlement (UE) du 27 avril 2016 précité, au moment de l’installation de l’application TousAntiCovid. Elles sont en outre prévenues qu’en cas de partage de leur historique de proximité sur le serveur central, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu’elles auront été à proximité d’au moins un autre utilisateur diagnostiqué ou dépisté positif au virus de la Covid-19 au cours des quinze derniers jours ainsi que de la possibilité limitée d’identification indirecte susceptible d’en résulter lorsque ces personnes ont eu un très faible nombre de contacts pendant cette période.

L’application fournit un lien vers le site du Ministère de l’Économie, des Finances et de la Relance où se trouve un portail TousAntiCovid sur lequel il est possible de trouver une abondante documentation, notamment un guide pratique, très simple et pédagogique, sur l’application, un mode d’emploi détaillé, un guide pour accompagner les aidants, les débats parlementaires ainsi que les différents avis des commissions d’experts. Il est possible de poser directement des questions sur l’application et une liste de réponses sont alors transmises par le biais d’une FAQ avant toute réponse personnalisée. Un lien est créé vers un test en ligne gratuit pour savoir s’il est probable que l’on soit infecté par le virus ou non et s’il faut se faire dépister, avec bien entendu les réserves d’usage sur la fiabilité du test. Depuis la nouvelle version de l’application sortie le 22 octobre, il est également possible d’obtenir des données sur la situation épidémiologique, d’avoir accès à une carte de centres de dépistage, des conseils sur la Covid-19, et un accès facilité à l’attestation dérogatoire de déplacement pour les zones concernées par le couvre-feu. Cet effort de transparence et d’information très substantiel est à saluer.

De nombreuses mesures ont été adoptées pour assurer la traçabilité des données et rendre l’application intelligible mais il existe peu de communication sur les limites de l’application et ses risques d’erreurs. Des efforts pédagogiques pourraient être faits sur ce dernier point.

Bien-être sociétal et environnemental

Protection de la santé publique et de l’intérêt général

L’application contribue à la lutte contre la pandémie de la Covid-19 et sert donc ainsi l’intérêt général de santé publique.

Conformément à l’avis de la CNIL, le gouvernement français a décidé de fonder le traitement TousAntiCovid sur la base légale de la mission d’intérêt public de lutte contre l’épidémie de Covid-19, et non pas sur la base légale du consentement. C’est la raison pour laquelle le gouvernement a pris le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » conformément à l’article 9-2-1 du règlement général sur la protection des données (RGPD).

Souveraineté nationale

Comme il est indiqué sur l’application, TousAntiCovid a été créée sous la supervision du Ministère des Solidarités et de la Santé et du Secrétariat d’État chargé du Numérique. L’équipe qui a développé TousAntiCovid est composée de INRIA, ANSSI, Capgemini, Dassault systèmes, Inserm, Lunabee Studio, Ministère des Solidarités et de la Santé, Orange, Santé publique France (i.e. l’agence nationale de santé publique) et Withings.

Le système français se veut délibérément indépendant des entreprises les plus puissantes de l’Internet (GAFA). Ceci permet de limiter grandement les risques de transfert et de croisement de données qui, comme expliqué plus haut, permettent la ré-identification des individus. C’est donc un choix de protection renforcée des données personnelles. Le contenu de l’application TousAntiCovid fait état du fait que « les solutions proposées par Apple et Google reposent sur la transmission dans tous les smartphones de pseudonymes pour les personnes diagnostiquées positives. Cela revient à dire qu’un diagnostic médical, même sous une forme encryptée circule dans toutes les applications. Les risques de faille sont importants et des modèles d’attaques informatiques sont déjà disponibles sur le web ».

C’est également un moyen d’asseoir la souveraineté nationale et de développer l’excellence nationale. C’est bien ainsi que le présente le gouvernement sur son site : « la protection de la santé des Français est une mission qui relève exclusivement de l’État et non d’acteurs privés internationaux… C’est une question de souveraineté sanitaire et technologique ».

Cependant cette souveraineté nationale ne doit pas être un frein à l’interopérabilité des solutions adoptées au sein de l’Union Européenne. Il est indispensable et requis par la recommandation 2020/518 de la Commission européenne précitée que cette application s’inscrive dans une approche européenne et qu’elle soit coordonnée au niveau de l’Union Européenne. Dans son avis du 25 mai 2020, la CNIL a pris acte que « des évolutions de l’application et du protocole de suivi des contacts, notamment afin de permettre une interopérabilité à l’échelle de l’Union Européenne, sont susceptibles d’être développées à moyen terme ». Malheureusement, étant basée sur la même infrastructure que StopCovid, l’application TousAntiCovid présente toujours l’inconvénient de ne pas être interopérable avec les autres applications disponibles dans les pays voisins.

Processus démocratique

De nombreux organismes ont été consultés pour la mise en place de TousAntiCovid :

la CNIL a rendu deux avis, une mise en demeure et une décision ;
le Conseil national du numérique (CNNum), le Conseil scientifique, l’Académie Nationale de Médecine, le Centre européen de prévention et de contrôle des maladies, le Comité National Pilote d’Ethique du Numérique, le Conseil National de l’Ordre des Médecins, la Commission nationale consultative des droits de l’homme, la Commission Supérieure du Numérique et des Postes ont émis des avis et des recommandations.

Des débats démocratiques ont eu lieu au sein de l’Assemblée Nationale le 28 mai 2020 et au sein du Sénat le 27 mai, qui ont voté en faveur de l’application. Un décret a ensuite été pris pour autoriser la création de l’application.

Diversité, non discrimination et équité

Le téléchargement de l’application est gratuit

La gratuité et la simplicité de l’application la rend accessible à toute personne munie d’un téléphone mobile ou d’une tablette.

Les enfants, les personnes âgées et les personnes handicapées peuvent-elles avoir accès à l’application ?

L’application est accessible aux mineurs. Dans son avis du 25 mai 2020, la CNIL a invité le ministère à intégrer des développements spécifiques à la fois pour les mineurs eux-mêmes mais aussi pour leurs parents. L’application invite les mineurs de moins de 15 ans à discuter avec leurs parents ou leurs responsables légaux de l’opportunité d’installer l’application.

Concernant les personnes âgées, celles-ci sont plus éloignées du monde numérique et il a été impératif de mettre en place à leur attention des systèmes parallèles et efficaces pour qu’elles soient efficacement alertées sur le fait d’avoir été en contact avec une personne infectée, de sorte à ce que l’existence même de l’application n’engendre pas une discrimination à leur encontre en termes de prise en charge et de soins. Nous avons déjà souligné qu’il est possible de télécharger de l’application un guide complet, pédagogique et simple, pour accompagner les aidants à la prise en main de l’application.

Par ailleurs l’application est très simple d’usage et en principe accessible aux personnes handicapées.

Responsabilisation

Qui est le responsable du traitement ?

Le responsable du traitement est le ministère en charge de la politique sanitaire qui en donne la sous-traitance à INRIA.

La CNIL a salué le fait que le fournisseur de service informatique en nuage hébergeant l’infrastructure de l’application en qualité de sous-traitant possède des centres de données en France et que les données personnelles ne sont pas transférées en dehors de l’Union Européenne.

Quels sont les recours ?

L’application prévoit la possibilité de saisir la CNIL si l’on juge que le traitement de ses données ne respecte pas la règlementation en vigueur sur les données personnelles.

Elle prévoit également la possibilité de poser des questions.

Mais nous n’avons pas identifié de mécanisme permettant aux utilisateurs de signaler des problèmes liés aux biais, à la discrimination ou aux mauvaises performances de l’application.

La CNIL gardienne du respect de la règlementation sur les données personnelles

Le dispositif doit donc remplir les conditions prévues par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, la Charte des droits fondamentaux de l’union européenne et les garanties spécifiques du RGPD. Il doit ainsi être nécessaire, proportionné à l’objectif poursuivi et ne pas faire disparaître le respect de la vie privée et des données personnelles.

Ceci explique que la CNIL se réserve la possibilité d’évaluer régulièrement l’efficacité du dispositif qui permettra de dire s’il reste nécessaire dans le temps. Des doutes sur cette efficacité ont largement été émis dans la presse en raison de son faible téléchargement par rapport à la population globale. Ce que répond le site TousAntiCovid sur ce point, c’est que l’application est utile dès les premiers téléchargements car elle permet de gagner du temps et de précieuses heures en alertant les personnes ayant été en contact avec une personne malade, ce qui accélère la prise de mesures sanitaires. Une autre limite soulevée réside dans le fait que les personnes âgées, qui sont très à risque, ont probablement peu le réflexe de télécharger l’application. Le contrôle d’efficacité de la CNIL sera donc précieux pour voir s’il est utile de maintenir l’application dans le temps.

A la fin du mois d’octobre, TousAntiCovid affichait plus de 6 millions de téléchargements, soit mieux en sept jours que StopCovid en quatre mois d’existence. Ce chiffre comprend néanmoins environ 1,2 million de personnes qui avaient déjà adopté StopCovid.

La CNIL insiste sur le fait que pour être utile et nécessaire, l’application doit s’intégrer à un plan d’ensemble de lutte contre l’épidémie, qui inclut « la mobilisation du personnel de santé et d’enquêteurs sanitaires, la disponibilité de masques de tests, l’organisation de dépistages, les mesures de soutien, les informations et le service délivrés aux personnes ayant reçu l’alerte, la capacité à les isoler dans des lieux adéquats etc. » (Avis du 24 avril précité). En d’autres termes, l’application devrait être présentée comme un outil supplémentaire pour faire face à la Covid-19, en aucun cas comme un dispositif qui remplacerait le masque, les gestes barrière et la distanciation sociale qui sont des moyens à la portée de chacun, low tech et très efficaces pour limiter les contaminations.

Pour respecter le principe de proportionnalité, il est prévu que TousAntiCovid disparaisse six mois après la fin de l’état d’urgence sanitaire.

La CNIL a validé dans son avis du 25 mai 2020 que l’application ne prévoit ni droit d’accès aux données, ni droit de rectification et de limitation, car les données sont pseudo-anonymisées et que l’exercice de ces droits nécessiterait une identification de la personne concernée, ce qui affaiblirait la sécurité de l’ensemble de l’application. Par contre, elle a considéré que le droit à opposition matérialisé par la possibilité pour l’utilisateur de cesser à tout moment d’utiliser l’application et le droit à effacement étaient applicables au dispositif, ce qui a été finalement intégré.

La CNIL a bien entendu rappeler la nécessité de procéder à une analyse d’impact, ce qui a été fait.

Pour conclure sur l’application française, son bilan éthique apparaît positif car la plupart des critères posés par les experts de la Commission européenne (HLEG) ou du Chaos Computer Club précités sont bien remplis. Cette application représente une alternative véritablement éthique au recours à des technologies beaucoup plus intrusives telles que la reconnaissance faciale ou la géolocalisation qui portent atteinte aux libertés individuelles et à la vie privée.

Les critères les plus difficiles à évaluer par les éthiciens, et pourtant déterminants, sont la robustesse de l’application et sa sécurité ainsi que son efficacité. Il faudra encore attendre l’avis de la CNIL et l’évaluation des experts techniques de l’informatique et de la santé publique pour savoir ce qu’il en est réellement.

Une piste d’amélioration identifiable aujourd’hui est, comme nous avons déjà eu l’occasion de l’évoquer, l’interopérabilité de l’application TousAntiCovid avec les autres applications européennes pour faciliter les échanges intra-européens et la libre circulation des personnes et des services, piliers de l’Union Européenne.

CONCLUSION

Nous avons exposé les différences et les interrelations entre les concepts de « respect de la vie privée », « protection des données personnelles » et « éthique » en montrant que dans la littérature ces concepts étaient souvent mélangés avec pour résultat une certaine confusion. Il importe de rétablir la nature, la portée et les enjeux de ces trois concepts qui, bien que complémentaires, renvoient à des histoires et des objectifs de politique publique différents.

Nous avons ensuite choisi d’appliquer ces concepts, et notamment celui de l’éthique qui s’est positionné récemment au cœur des enjeux humains de l’intelligence artificielle, au cas particulier, mais très important, du suivi des contacts dans le contexte de la pandémie relative au nouveau coronavirus. Nous avons souligné que les technologies numériques jouaient un rôle essentiel aujourd’hui dans la capacité que peuvent avoir les nations à limiter les risques de transmission de la Covid-19 et donc de contamination. Si les pays asiatiques ont été des leaders incontestables dans la conception et la mise en place d’applications de suivi des contacts, avec des succès qu’il faut reconnaître, liés notamment à la discipline plus grande des populations par rapport à celles du monde occidental, mais aussi et surtout à la bonne intégration de ces applications dans l’arsenal général des stratégies publiques de réponse à la pandémie (tester, tracer, isoler), il faut convenir que les pays européens, plus que les États-Unis, ont su sans tarder trouver des réponses pertinentes malgré, ici et là, des hésitations et des changements de stratégie. Nous avons montré que les principales difficultés consistaient, d’une part, à positionner le curseur entre « efficacité » et « respect de la vie privée » (choix surtout politique) et, d’autre part, à choisir entre approche centralisée et approche décentralisée (choix surtout technique).

Si l’Union Européenne a semblé tarder à prendre toute la mesure de la gravité de la pandémie à son début, elle s’est en revanche montré efficace en ce qui concerne la conception et le déploiement d’une application commune : une infrastructure permettant de connecter entre elles plusieurs applications européennes de traçage contre la propagation de la Covid-19 a été déployée dès octobre 2020.

La France, quant à elle, a fait preuve de stabilité dans sa démarche, maintenant au cours de la période son choix initial d’une approche centralisée basée sur la technologie Bluetooth. Mais ce choix ne lui a pas permis de rejoindre le groupe de pays européens capables de rendre leurs systèmes interopérables. C’est pourquoi nous avons poursuivi notre recherche en nous intéressant au cas singulier de la France.

Le bilan éthique de l’application française apparaît positif. Cette application représente une alternative éthique au recours à des technologies beaucoup plus intrusives telles que la reconnaissance faciale ou la géolocalisation qui portent atteinte aux libertés individuelles et à la vie privée.

ANNEXE : QUELQUES EXEMPLES D’APPLICATIONS MOBILES

Pays	Nom de l’application (Développeur)	Date de lancement	Protocole / Mode de collecte des données	Site web
Allemagne	Corona-Warn-App(SAP, Deutsche Telekom)	16/06/2020	Google / AppleBluetooth	https://www.coronawarn.app/en/
Autriche	Stopp Corona(Croix-Rouge, Accenture)	25/03/2020	Google / AppleBluetooth	https://www.stopp-corona.at
Belgique	Coronalert(Autorités belges)	30/09/2020	Bluetooth	https://coronalert.be/fr/
Danemark	smittestop	18/06/2020	Google / AppleBluetooth	https://smittestop.dk
Espagne	Radar Covid(Secrétaire d’État à la numérisation et à l’intelligence artificielle)	15/09/2020	Google / AppleBluetooth	https://www.abc.es/tecnologia/moviles/aplicaciones/abci-radar-covid-todo-tienes-saber-sobre-aplicacion-rastreo-coronavirus-gomera-202006301129_noticia.html
France	StopCovid(Inria)	02/06/2020	RoBERTBluetooth	https://www.economie.gouv.fr/stopcovid
Hongrie	VirusRadar(Nextsense)	13/05/2020	Google / AppleBluetooth	https://virusradar.hu
Italie	Immuni	01/06/2020	Google / AppleBluetooth	https://www.immuni.italia.it/faq.html
Norvège	Smittestopp(Conception locale)	16/04/2020 (application suspendue le 15/06)	GPS, Bluetooth	https://www.helsenorge.no/coronavirus/smittestopp
Pays-Bas	CoronaMelder Application	18/08/2020	Google / AppleBluetooth	https://github.com/minvws/nl-covid19-notification-app-android
Pologne	ProteGO Safe	20/04/2020, revised 09/06/2020	Google / AppleBluetooth	https://www.gov.pl/web/protegosafe
Portugal	STAYAWAY COVID	01/09/2020	Google / AppleBluetooth	https://stayawaycovid.pt/landing-page/
Royaume-Uni	NHS Covid-19 App	24/09/2020	Google / AppleBluetooth, code QR	https://www.covid19.nhs.uk
Suède	La Suède ne prévoit pas pour le moment d’introduire une application.
Suisse	Swiss Covid(Écoles polytechniques fédérales de Lausanne et Zurich)	25/06/2020	Google / AppleBluetooth	https://www.bag.admin.ch/bag/en/home/krankheiten/ausbrueche-epidemien-pandemien/aktuelle-ausbrueche-epidemien/novel-cov/swisscovid-app-und-contact-tracing.html
Afrique du Sud	Covid Alert SA App	01/09/2020	Google / AppleBluetooth	https://sacoronavirus.co.za/covidalert/
Australie	COVIDSafe App	13/05/2020	Bluetooth	https://www.health.gov.au/resources/apps-and-tools/covidsafe-app
Nouvelle-Zélande	NZ COVID Tracer App(Rush Digital)	20/05/2020	Bluetooth	https://www.health.govt.nz/our-work/diseases-and-conditions/covid-19-novel-coronavirus/covid-19-resources-and-tools/nz-covid-tracer-app
Arabie Saoudite	Tabaud(Saudi Data and Artificial Intelligence Authority (SDAIA))	14/06/2020	Google / AppleBluetooth	https://tabaud.sdaia.gov.sa/IndexEn
Israël	HaMagenHamagen 2.0	29/03/202027/07/2020	GPSGPS, Bluetooth	https://govextra.gov.il/ministry-of-health/hamagen-app/download-en/
Chine	Close Contact Detector(National Health Commission, CETC)	10/02/2020	Code QR, apps mobiles (Alipay, WeChat)	http://en.nhc.gov.cn/2020-02/10/c_76416.htm
Japon	COCOA(Microsoft Corp.)	19/06/2020	Google / AppleBluetooth	https://play.google.com/store/apps/details?id=jp.go.mhlw.covid19radar
Malaisie	MyTrace	03/07/2020	Google / AppleBluetooth	https://www.mosti.gov.my/web/en/mytrace/
Singapour	TraceTogetherMinistère de la Santé (MOH), GovTech	20/03/2020	BlueTraceBluetooth	https://www.tracetogether.gov.sg
Canada	COVID Alert	31/07/2020	Google / AppleBluetooth	https://www.canada.ca/en/public-health/services/diseases/coronavirus-disease-covid-19/covid-alert.html
États-Unis	De nombreux états, mais pas tous, ont lancé ou développent actuellement une application utilisant le protocole Google/Apple et collectant les données via Bluetooth.

REFERENCES

^[1] Datenschutzgesetz [Data Protection Act], Oct. 7, 1970, HESSISCHES GESETZ-UND VERORDNUNGSBLATT I.

^[2] Gesetz zum Missbrauch personenbezogener Daten bei der Datenverarbeitung [Act Concerning the Abuse of Data in Data Processing], Jan. 27, 1977, BGBL I at 201.

^[3] WARREN (Samuel D.) et BRANDEIS (Louis D.), « The Right to Privacy », Harvard Law Review, Vol. IV, December 15, 1890 No. 5.

^[4] STERLING, Bruce, Shaping Things, The MIT Press, octobre 2005.

^[5] Groupe de travail « Article 29 » sur la protection des données, Avis 4/2007 sur le concept de données à caractère personnel, 20 juin 2007.

^[6] On peut faire remonter la notion de droit au respect de la vie privée jusqu’au quatorzième siècle, notamment en Angleterre. Cf. BANISAR, David, and DAVIES, Simon, « Privacy and Human Rights : An International Survey of Privacy Laws and Practice”, The John Marshall journal of computer & information law, 1999, https://www.gilc.nl/privacy/survey/

^[7] https://www.ohchr.org/FR/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx

^[8] WRIGHT, David, and DE HERT, Paul (Eds.), Privacy Impact Assessments, Springer, Dordrecht, 2012.

^[9] Le « bouclier vie privée UE-États-Unis » (EU-US Privacy Shield) tient compte des exigences énoncées par la Cour de justice de l’Union Européenne dans son arrêt du 6 octobre 2015, qui a déclaré invalide l’ancien régime de la sphère de sécurité (Safe Harbour, 2000)
https://ec.europa.eu/commission/presscorner/detail/fr/IP_16_216

^[10] « La vertu est une disposition acquise de la volonté, consistant dans un juste milieu relatif à nous, lequel est déterminé par la droite règle et tel que le déterminerait un homme prudent. »

^[11] SPIEKERMANN, Sarah, Ethical IT Innovation: A Value-Based System Design Approach, CRC Press, Taylor & Francis Group, 2016, chapitre 4, pp.39-45.

^[12] « Un patient tétraplégique a réussi à marcher grâce à un exosquelette connecté à son cerveau », Le Monde, 4 June 2019

^[13] Geneviève Fieux-Castagnet and Kamel Bentchikou, Les exosquelettes connectés et leurs enjeux éthiques, PromEthosIA, 12 December 2019, https://promethosia.com/intelligence-artificielle-un-defi-de-civilisation-un-devoir-de-generation/

^[14] Future of Life Institute, “Asilomar AI principles”, Conference Asilomar, January 2017, https://futureoflife.org/ai-principles/

^[15] Montreal University, “The Montreal Declaration for a Responsible Development of Artificial Intelligence”, November 3, 2017, https://recherche.umontreal.ca/english/strategic-initiatives/montreal-declaration-for-a-responsible-ai/

^[16] The IEEE Global Initiative on Ethics of Autonomous and Intelligent Systems, “Ethically Aligned Design: Prioritizing Human Wellbeing with Autonomous and Intelligent Systems”, 28 January 2020, https://standards.ieee.org/content/dam/ieee-standards/standards/web/governance/iccom/IC16-002-Global_Initiative_for_Ethical_Considerations_in_the_Design_of_Autonomous_Systems.pdf

^[17] House of Lords, Select Committee on Artificial Intelligence, « AI in the UK : ready, willing and able ? », 16 avril 2018, https://publications.parliament.uk/pa/ld201719/ldselect/ldai/100/100.pdf

^[18] Partnership on AI, 2018, https://www.partnershiponai.org

^[19] AI4People, « An Ethical Framework for a Good AI Society : Opportunities, Risks, Principles, and Recommendations », octobre 2018, https://link.springer.com/article/10.1007/s11023-018-9482-5

^[20] Ethics guidelines for trustworthy AI, 8 April 2019, https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai

^[21] https://ec.europa.eu/digital-single-market/en/news/assessment-list-trustworthy-artificial-intelligence-altai-self-assessment

^[22] https://ec.europa.eu/digital-single-market/en/artificial-intelligence

^[23] https://ec.europa.eu/info/horizon-europe-next-research-and-innovation-framework-programme_en

^[24] https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

^[25] « Physicists Must Engage with AI Ethics, Now », Physics, 09/07/2020, https://physics.aps.org/articles/v13/107: « Chaque jour qui passe, l’IA façonne notre monde, nos vies, nos droits et notre avenir. En tant que scientifiques et citoyens, nous devons nous engager activement afin que Le SARS-Cov-2 l’IA se développe et soit utilisée d’une manière éthique et équitable. »

^[26] The Guardian, « French ministers in spotlight over poor take-up of centralised Covid app », 29 septembre 2020, https://www.theguardian.com/world/2020/sep/29/france-struggles-to-push-covid-app-as-neighbours-race-ahead

^[27] https://www.ccc.de/en/updates/2020/contact-tracing-requirements

^[28] Apple et Google ont développé une API qui permet aux téléphones iOS et Android de communiquer les uns avec les autres via Bluetooth. DP-3T est un protocole open-source pour le suivi des contacts, basé sur Bluetooth ; le registre des contacts du téléphone d’une personne est stocké localement afin qu’aucune entité centrale ne puisse savoir qui a été exposé.

^[29] Cf. Risk of airborne coronavirus spread being underplayed, say researchers, New Scientist, 7 juillet 2020.

^[30] Dans l’approche centralisée, qui a été promue par le consortium européen PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) lancé le 1^er avril 2020, le serveur central génère les crypto-identifiants attribués aux utilisateurs puis se charge de recueillir les crypto-identifiants des personnes ayant été en contact avec une personne infectée, de réaliser un calcul sur la probabilité d’infection et de prévenir les utilisateurs, le cas échéant, d’une probable infection. De son côté, l’approche décentralisée est organisée autour d’un certain nombre de protocoles parmi lesquels on peut citer DP3T, PACT (Private Automated Contact Tracing) ou la coalition TCN. Au cours du printemps, ces différents consortiums se sont livrés une bataille féroce ponctuée de trahisons et de défections ! Avec l’approche décentralisée, les opérations de recherche des contacts sont réalisées sur l’appareil de l’utilisateur et les informations transmises au serveur central sont limitées au maximum. Ainsi, par exemple, dans le cas d’un protocole décentralisé comme DP3T les utilisateurs génèrent eux même les crypto-identifiants sur les téléphones et les échangent via Bluetooth lors d’une interaction prolongée. Lorsqu’un utilisateur est infecté, il déclare auprès du serveur central la liste des identifiants rencontrés récemment. Les autres utilisateurs vont périodiquement télécharger depuis le serveur central cette liste d’identifiants ayant rencontré une personne infectée et comparer avec la liste stockée sur leur appareil afin d’indiquer à l’utilisateur si oui ou non il a pu être exposé.

^[31] https://ec.europa.eu/commission/presscorner/detail/en/ip_20_1904

^[32] Source : Is the UK’s NHS Covid-19 app too private?, BBC News, 30/10/2020.

^[33] Tribune d’un collectif d’universitaires, « StopCovid : une application inefficace et menaçante pour la démocratie », Libération, 27/04/2020.

^[34] Comité européen à la protection des données : les lignes directrices 04/2020 sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID 19 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_fr.pdf

^[35] Recommandation (UE) 2020/518 de la Commission du 8 avril 2020 concernant une boîte à outils commune de l’Union en vue de l’utilisation des technologies et des données pour lutter contre la crise de la COVID -19 et sortir de cette crise, notamment en ce qui concerne les applications mobiles et l’utilisation de données de mobilité anonymisées https://op.europa.eu/fr/publication-detail/-/publication/1e8b1520-7e0c-11ea-aea8-01aa75ed71a1/language-fr

^[36] Ethics guidelines for trustworthy AI https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai

^[37] Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid France »https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000041936881/

^[38] Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid » (demande d’avis n° 20008032).

^[39] https://www.cnil.fr/fr/application-stopcovid-cloture-de-la-mise-en-demeure-lencontre-du-ministere-solidarites-sante

^[40] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

^[41] Lignes directrices 4/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19, adoptées le 21 avril 2020, point 3.1.27 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_fr.pdf

^[42] https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles

^[43] Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » (demande d’avis n° 20006919)
https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

^[44] Le code IMEI permet d’identifier de manière unique chacun des terminaux de téléphone mobile.

^[45] Un code QR ne comporte aucune information permettant d’identifier la personne concernée ; il est généré aléatoirement, apposé sur le résultat d’un examen de dépistage au virus de la Covi-19, puis envoyé à la personne ayant effectué le test de dépistage, en cas de résultat positif.

^[46] https://www.google.com/recaptcha/admin/create?pli=1

^[47] Capacité à suivre le parcours d’une donnée saisie à travers toutes les étapes de l’échantillonnage, de l’étiquetage, du traitement et de la prise de décision.

^[48] Caractéristique d’un système d’IA intelligible pour les non-experts. Un système d’IA est intelligible si sa fonctionnalité et son fonctionnement peuvent être expliqués de manière non technique à une personne non spécialisée dans le domaine.

^[49] L’humain est dans la boucle : le système peut exécuter une tâche puis s’arrêter pour attendre les commandes humaines avant de continuer ; l’humain est sur la boucle : il fonctionne de façon totalement autonome, mais un humain peut avoir un rôle de supervision si le système tombe en panne ; l’humain est aux commandes : il supervise l’activité globale du système et peut décider de ne pas l’utiliser

PromEthosIA

PromEthosIA, c’est le regard attentif d’une équipe de spécialistes venant de diverses disciplines sur les promesses (« Prom ») de l’IA en tenant compte des enjeux éthiques (« Ethos »).

Les enjeux éthiques à l’ère du numérique : le cas des applications mobiles de suivi des contacts