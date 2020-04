En France, l'Assemblée nationale s'apprête à débattre - et à voter - ce mardi 28 avril, sur le projet d'application de traçage "StopCovid", dont la mise en place à grande échelle est censée faciliter l'identification des chaînes de transmission du nouveau coronavirus. Grâce à la technologie Bluetooth, autorisant une communication à courte distance entre smartphones, cette application doit permettre de mieux organiser le déconfinement de la population, tout en préservant les libertés publiques et les données personnelles. Mais les questions posées par ce type de technologie en matière de traçage des populations, relevant du rapport entre politique et numérique, restent très nombreuses.

Alors que le gouvernement belge vient de renoncer à la mise en place d'une telle application, qu'Israël a infléchi sa politique en la matière et que la Suisse envisage d'installer un système plus décentralisé, en France, la CNIL (Commission Nationale Informatique et Libertés) a demandé hier au gouvernement un certain nombre de garanties supplémentaires en matière de protection de la vie privée.

Entretien avec Stéphane Grumbach, professeur à Sciences-Po et directeur de recherches à l'INRIA, l'Institut national de recherche en sciences et technologies du numérique.

L’INRIA a développé le protocole "Robert", qui devrait servir de base technique à l’application “StopCovid” française. Un projet qui suscite beaucoup de controverses, à la fois techniques et éthiques.

En ce qui concerne la protection des libertés individuelles, ce protocole offre des garanties éthiques remarquables, pour une application essentielle : protéger les personnes vulnérables, et permettre à la société de fonctionner malgré l’épidémie. Il est parfaitement respectueux des données personnelles et de la vie privée. Son idée est simplement d’informer les utilisateurs qu'ils ont pu se trouver à proximité de quelqu’un qui s'est déclaré comme infecté, mais sans que l'utilisateur ne puisse avoir aucune idée de l’identité de cette personne, et sans même que le système puisse savoir qui est infecté et qui ne l’est pas.

Mais rien n'est jamais simple dans ce domaine. Un protocole de ce type peut avoir toutes les qualités et être compromis par l'environnement dans lequel il tourne. Dans le cas de "Robert", conçu pour tourner sur des smartphones, le problème est d'accéder à la fonctionnalité Bluetooth de manière extensive, ce que les systèmes d'exploitation limitent, précisément pour des raisons de protection de la vie privée. Le gouvernement français demande donc à Apple de modifier son système iOS, mais il sera doublement dans l'intérêt d'Apple de refuser : pour montrer qu'il n'est pas question de céder aux injonctions des administrations publiques, quelles qu'elles soient, et pour défendre sa propre solution, préparée en partenariat avec Google.

Mais le problème est à mon sens plus politique et géopolitique que technologique. Je fais sans doute partie d’une petite minorité, mais je ne suis personnellement pas très favorable aux solutions qui seraient basées sur le volontariat. Pour deux raisons : la première, c’est que souvent le volontariat n’est qu’illusoire au sens où certains vont être contraints d’utiliser l’application, parce que leur entreprise, par exemple, l'exigera. De surcroît, en terme de santé publique, une telle application est bien sûr beaucoup plus efficace si elle est utilisée par la majorité des personnes dès qu'elles sortent de chez elles. Un positionnement basé sur le consentement est tout à fait contraire aux principes généraux des politiques de santé publique face aux épidémies, qui repose sur la coercition. Le confinement en est la preuve. C'est également contraire à l'idée que l’État définit des normes de sécurité de fonctionnement qui s'appliquent à tous pour la sécurité de chacun, comme c'est le cas avec la sécurité alimentaire par exemple. C'est un idéal politique majeur. Personne n'a à consentir à une solution à risque faute d'avoir le choix.

Pourquoi devrait-il en être autrement pour le numérique ? Il est important d’avoir un degré d’exigence éthique élevé sur ce genre d’application de traçage, mais nous sommes dans une situation paradoxale du point de vue de la protection des données personnelles. En effet, les grandes plateformes et de nombreux acteurs du numérique font un usage des données fort peu éthique, qui est condamné à répétition dans de nombreux scandales, et pas des moindres. Le résultat, c'est qu'on ne sait plus trop bien aujourd’hui si on peut organiser une élection dans un pays démocratique. La dernière élection présidentielle américaine illustre cette situation. Il n’est plus certain qu’on puisse voter sereinement dans un tel contexte !

À ÉCOUTER AUSSI Réécouter Un vote avec application écouter (4 min) 4 min Le Billet politique Un vote avec application

Justement, tout cela illustre les dangers d’une mauvaise utilisation du numérique…

Précisément. Mais il y a une grande ambivalence dans les pays européens face au numérique. On note la prudence des autorités publiques dans le fait de ne pas se précipiter à développer une application qui pourrait être utilisée dans d'autres domaines que la lutte contre l'épidémie, mais dans le même temps, il faut aussi imaginer que cette épidémie puisse durer, en raison notamment des mauvaises nouvelles qui nous arrivent sur la question de l’immunité. Il faut également tirer les leçons de cette crise et pouvoir envisager dans le futur l'arrivée d’autres épidémies, peut-être plus virulentes que celle-ci. Or je crois qu'il est nécessaire aujourd'hui de penser le plus long terme : comment allons-nous nous organiser aujourd'hui pour mettre en œuvre les moyens dont nous pourrons disposer immédiatement en cas d'épidémie plus virulente, ou en cas de retour de ce virus ?

On voit bien là à quel point cette crise change complètement la donne. Il faut repenser la question du numérique d'une manière bien plus politique, c'est une question de souveraineté.

C'est aussi une question de confiance ?

Absolument. Quand la vaccination s’est développée, dans une époque assez différente de la nôtre, on a mis en place des moyens coercitifs représentant des contraintes assez fortes, certains diraient brutales : l’injection obligatoire de produits dans les corps. Le système de santé que nous connaissons s’est développé dans un esprit de bien commun, et nous en bénéficions toujours puisque la vaccination est encore obligatoire, même si elle est de plus en plus contestée. Pourquoi aurions-nous une autre attitude par rapport au numérique ? On voit que ce n’est peut-être pas en soi le numérique qui pose question, mais la capacité à penser le bien commun. Imaginons qu’on invente la vaccination aujourd’hui. Je crains que notre société soit suffisamment individualiste pour que nous ne la développions que sur la base du consentement.

Dans un autre domaine, repensons aux controverses que suscite le déploiement du compteur Linky. Ce terminal fait remonter des données potentiellement assez fines sur l'activité des gens à l'intérieur même de leur domicile : des données qui touchent la sphère privée par définition. Rien ne justifie véritablement la récolte de ces données, car il n'y a pas à ce stade d'application géniale qui permette de changer la facture énergétique de la France ou de servir les individus. Néanmoins, ce mécanisme de récolte de données a été imposé de manière coercitive. On le paye aujourd’hui parce que la population, évidemment, a réagi en disant : "Je n'ai aucune confiance, je ne souhaite pas que mes données soient prélevées de manière obligatoire".

Donc j'insiste : il nous faudra penser la question numérique non seulement en lien avec la souveraineté, mais aussi en lien avec le bien commun. Là où les données peuvent servir à développer des services essentiels pour la société, qui servent véritablement la population, on devra le faire.

En matière de numérique, on est toujours dans une zone grise entre gouvernance et surveillance. Et dans le contexte actuel, il est compréhensible que les données de santé soient jugées très sensibles…

Depuis que les États ont commencé à faire du recensement, ou à prélever l'impôt par la fiscalité, ils ont utilisé des données, puis à partir du dix-neuvième siècle, la statistique de manière de plus en plus fine. De manière générale, l’État a accumulé de plus en plus de données, de plus en plus personnelles et relevant de la sphère privée. Il est clair que le numérique est une rupture radicale, parce qu’il permet quantitativement de récupérer beaucoup plus de données, de manière continue, et d’agir en temps réel. Mais ce changement quantitatif dans le traitement des données, il induit un changement qualitatif dans les formes de gouvernance, qui deviennent continues et personnalisées. Ce changement a lieu, il faut donc le penser collectivement, pour en faire quelque chose qui soit une solution au service de la population, et non pas quelque chose de cauchemardesque, à la 1984. Je pense personnellement qu'on n’échappera pas au numérique, et que ce ne serait nullement souhaitable : il nous appartient donc de faire du numérique quelque chose de politiquement intelligent. Pour ça, il faut une vision stratégique.

D’autant que la santé elle-même va petit à petit basculer sur des plateformes numériques. Il y a là un bénéfice potentiel pour l'intérêt individuel comme pour le bien public absolument extraordinaire. Mais il y a également un risque de privatisation, et d'organisation focalisée sur le profit. Tout le monde a entendu le message récent du Président de la République : la santé doit échapper à la loi du marché. Il est impératif d'affronter ces questions, et de ne pas s'installer dans la dépendance de plateformes étrangères dans ce secteur si important. A défaut, la loi sera dite par les plateformes, de plus en plus au détriment du régulateur sur les territoires. Celui qui gouverne, c’est celui qui a les données.

C’est tout le problème du retard que prend l’Europe sur le numérique.

Dans le cas de l’épidémie actuelle, le gouvernement français, comme d’autres gouvernement européens, va devoir faire appel aux services de Palentir, cette société qui gère surtout les données des services de renseignement. De surcroît, la plupart des pays utiliseront sans doute la solution proposée par Apple et Google. C’est une vraie bizarrerie de voir l’Europe, un continent aussi riche, et scientifiquement encore aussi puissant, être aussi démuni dans le secteur numérique et faire l’impasse sur la révolution qui est en train de changer les modes de gouvernance. En n’ayant pas d’industrie numérique, l’Europe se condamne à une gouvernance hors-frontières. De nouvelles normes sont imposées par les plateformes, dans de nombreux domaines : la santé, mais aussi l’accès au savoir - la crise actuelle va renforcer cette tendance, car l’éducation va se faire de plus en plus sur des plateformes. Le droit du travail évolue également en raison des nouveaux rapports entre employeurs et employés que les plateformes mettent en place. Le rapport propriétaire locataire change également...

Je crois qu'en la matière, il faut bien mesurer le retard européen, qui est abyssal et continue à croître. Là où les États-Unis et la Chine ont des entreprises dont la capitalisation se compte en centaines de milliards de dollars (dont le peloton de tête se situe entre 500 et plus de 1 000 milliards), nous nous avons tout au plus quelques entreprises qui atteignent quelques milliards de capitalisation : on est loin derrière ! Et nous aurons de plus en plus de mal à rattraper ce retard, car les entreprises du numérique ne sont pas si simple à créer que certains pourraient le penser. Les acteurs du numérique sont toutes des sociétés nouvelles - Apple et Microsoft étant deux grandes exceptions. Essentiellement, ce sont des entreprises qui sont nées dans le numérique et pour le numérique, sans infrastructures physiques à part celles qui soutiennent le numérique, et dans une interaction purement numérique avec le monde extérieur. Ces entreprises ne sont pas des acteurs d'un secteur d'activité particulier qui mettraient en œuvre les nouveaux services numériques, c’est tout l’inverse : ce sont des acteurs qui réinventent un secteur en partant seulement des données et de l'interaction avec les utilisateurs. L'Europe, elle, a tendance à s'appuyer sur des industries existantes, plutôt qu'a soutenir ses pépites émergentes.

L’application développée en Chine pour le traçage des personnes infectées par le Covid-19 n’est-elle pas inquiétante à vos yeux ?

Cette application, en fonction de la couleur d’un QR code, permet de sortir de chez soi ou impose au contraire le confinement. Elle paraît très ambitieuse et invasive par rapport à ce qui se fait ici, mais elle s'inscrit dans un programme beaucoup plus global de score personnel, qui permet d’évaluer les individus en tant que personne, mais aussi les structures - entreprises et départements de l'administration - dans la manière dont ils remplissent soit leur rôle de citoyen, soit leur fonction.

Cette évaluation est perçue en Occident comme un système de surveillance très invasif, ce qu'il est. Mais c’est bien plus qu’un système de surveillance au sens policier du terme. C'est aussi un système de mesure des interactions qu’on peut avoir avec l'environnement, et à mon sens il faut regarder son évolution de très près, puisqu'il se développe dans un monde où l'organisation sociale va devenir plus compliquée, parce que les ressources vont être plus limitées. Le système chinois pourrait être adopté relativement universellement dans son principe. La surveillance en ligne et la censure des contenus existent de manière universelle, à des degrés divers. Et l'évaluation individuelle est déjà largement utilisée en Occident par la publicité, la banque et l'assurance, sans oublier la lutte contre le terrorisme. La Chine déploie ce système plus largement dans une pensée politique du numérique, ce qui permet aussi la mise en œuvre de services accessibles à l'ensemble de la population. C'est également le cas dans les autres pays d'Asie orientale, comme le Japon ou la Corée, où l'état s'est véritablement saisi de la potentialité d'une forme de gouvernance numérique.

Mais cette capacité que se donne la Chine, de surveiller et de peser sur la vie des citoyens, pose des problèmes très graves...

C’est vrai, il y a de possibles atteintes aux libertés individuelles. Mais la manière dont nous percevons cette question aujourd’hui en Europe est liée moins à la culture européenne en soi qu’à un état contemporain de la culture, qui est extrêmement individualiste, voire égoïste, tournée vers l'individu plus que vers le collectif. Prenons l’exemple du masque, largement porté depuis très longtemps en Asie. Le masque est avant tout utile pour protéger l’autre : en Asie, dès qu’on a un rhume, on porte un masque, ce qui est plutôt désagréable. Mais c’est pour protéger les autres. La réaction des Européens et des Occidentaux de manière générale contre le masque au début de cette crise du Covid-19, le masque ne faisant pas partie de notre culture, a été perçue en Asie pour ce qu'elle est : un signe de l'individualisme de nos sociétés et une faible capacité à apprendre de ceux qui s'étaient préparés à une pandémie.

Je crois que le regard que nous portons sur le système asiatique et chinois est un regard préoccupé par notre histoire, par les effroyables mauvais usages politiques de données personnelles faits sur notre continent au milieu du vingtième siècle, et également angoissé par notre présent et par l’incertitude politique dans laquelle se trouve l’Europe.

J’ai vécu en Chine pendant longtemps, et en particulier au moment où les grandes plateformes chinoises ont été construites, avec un décalage d’un à deux ans après les grandes plateformes américaines. Je me souviens de la manière dont en Europe, l’ensemble des gouvernements, le monde académique, la presse, regardaient le développement de la capacité numérique chinoise. On disait que les Chinois construisaient leur propre système plutôt que d’utiliser les systèmes universellement adoptés par le monde libre, parce qu'ils voulaient mettre en place une censure politique, et un contrôle policier. C’est quelque chose qui m’a toujours fasciné, parce que ça ne disait rien sur la Chine, mais ça disait tout sur l’Europe. Car pour la Chine, l’intérêt de développer ses propres plateformes est lié à un fort souci de souveraineté, c'est évident, mais il va bien au-delà du contrôle policier ou de la censure politique.

Sur les différentes solutions imaginées aux États-Unis, où en est on ?

Le contexte américain est très différent du contexte asiatique et du contexte européen. Les États-Unis ont les plus grandes plateformes mondiales, un très fort dynamisme, un contrôle du territoire, et une très forte présence à l’étranger puisque l’essentiel des utilisateurs des plateformes américaines sont hors-frontières. Il est clair que les plateformes américaines ont un immense pouvoir. Apple et Google vont par exemple proposer une API permettant aux différents pays intéressés de développer leurs applications de traçage avec différentes contraintes, variables, de protection des données personnelles, de centralisation, ou de remontée des données.

Mais en ce qui concerne les États-Unis, il y a beaucoup moins de coopérations entre les plateformes et l’État pour développer des services publics essentiels, hormis pour la surveillance et la lutte contre le terrorisme. En réalité, il n’y a pas de politique publique comme il peut y avoir dans certains pays d’Asie, pour aider à réfléchir aux nouveaux services essentiels qu’on peut offrir aux citoyens. C’est un champ qui est largement laissé aux plateformes. L'administration de la santé et les politiques de santé par exemple sont très différents de celles des pays d'Europe, beaucoup plus morcelées, notamment en ce qui concerne la couverture sociale, qui varie beaucoup suivant les catégories de population. La capacité de remonter les données est aussi plus faible, à cause de cette diversité.