Le député Philippe Latombe, Député de la Vendée, Membre de la Commission des Lois, vice-président du groupe d’amitié France-Israël à l’Assemblée Nationale, auteur d’une tribune sur l’appli StopCovid que nous publions aujourd’hui, sera l’invité du Live Opinion Internationale lundi 15 juin 2020 à 19h sur Zoom avec des chefs d’entreprise, sur le thème : « Innovations France ». Vous pouvez déjà vous inscrire au prochain Live de lundi 1er juin 2020 à 19h sur le plan de relance économique de la France.
La fin justifie-t-elle tous les moyens ? Mais de quelle fin s’agit-il ? Avec à peine 5 % de la population infectée par le coronavirus, selon l’Institut Pasteur, le bilan macabre dépasse allégrement 30.000 morts, les chiffres communiqués quotidiennement par le ministère de la Santé n’incluant pas les décès à domicile. Et pour que les morts ne se comptent pas par centaines de milliers, il a fallu procéder à un confinement massif avec pour conséquences une récession économique sans précédent et des chômeurs par millions (un premier million est déjà comptabilisé). Si la fin, si l’enjeu, est d’éviter ce double désastre, et que le traçage de la population, même avec des moyens comme l’application StopCovid, y contribuent significativement, y renoncer au nom de l’éthique et des libertés individuelles serait une folie, peut-être une folie criminelle. Quelle éthique peut légitimer la mort et la misère ?
Les pays qui ont opté pour le traçage en début d’épidémie l’ont inscrit dans une politique globale. C’est ce que la France n’a pas fait à temps ! Tracer pour tester et isoler, mais aussi pour s’assurer que les personnes infectées respectent leur mise en quarantaine. Une véritable assignation à résidence avec bracelet électronique, en somme. Nous n’en étions pas si loin durant le confinement.
En France, le traçage, tout comme le dépistage, arrive en fin de bataille. Peut-être pour préparer la suivante, ou pour mettre en place un système appelé à se généraliser et à se pérenniser au sein d’un dispositif plus large incluant la vidéosurveillance par caméras fixes et drones dotés de reconnaissance faciale (le système Alicem, le projet d’identification par reconnaissance faciale de l’État français, avance dans l’indifférence générale). Santé ou sécurité : tout est bon et se confond pour justifier la surveillance de la population, bien sûr sur la base de l’anonymat et du volontariat. C’est promis et juré, la France n’est pas la Chine, tout de même ! Et nous avons le RGPD, le fameux règlement européen sur la protection de données, si contraignant et coûteux pour les PME et TPE, si facile à contourner pour les GAFAM et quelques autres, si inopposable à l’État lorsqu’il agit au nom de l’intérêt public.
StopCovid est un système centralisé basé sur le volontariat : les données pseudonymisées, collectées via une connexion Bluetooth, sont transmises à un serveur central, qui calcule le risque d’infection et, le cas échéant, avertit les « personnes contact ». Les données sont stockées sur ce serveur. Il serait utile qu’elles soient ensuite conservées afin d’alimenter le « Big data » et les algorithmes d’intelligence artificielle, au plus grand bénéfice de la recherche et donc de notre santé. Ceux qui poussent des cris d’orfraie à l’évocation de StopCovid se trompent. Le risque pour notre vie privée existe, mais il est ailleurs comme nous allons le voir.
Notons que StopCovid n’est pas compatible avec le système choisi par la plupart de nos voisins, comme l’Allemagne, la Suisse, l’Autriche ou l’Italie, ce qui ne va pas faciliter la coopération transfrontalière. Eux ont opté pour un protocole permettant d’évaluer le risque d’infection « localement », directement sur le smartphone de l’utilisateur. Néanmoins, les données pseudonymisées sont ensuite transmises entre smartphones équipés de l’application dédiée, via un serveur contrôlé par les autorités sanitaires. Nos amis européens ont moins confiance en leur État qu’en… Google et Apple. Car leur système, développé par le consortium DP-3T, fait directement appel au savoir-faire des géants américains dont les systèmes d’exploitation Android et IOS équipent la quasi-totalité des smartphones. Eux non plus, promis juré, n’exploiteront pas ces précieuses données !
Et voici le Health Data Hub et Microsoft
En France, l’application StopCovid ne pourra pas totalement se passer de Google et d’Apple, puisqu’elle ne fonctionne qu’avec un smartphone. Mais ceci est un détail, au regard du projet Alicem évoqué plus haut, et, s’agissant plus spécialement des données de santé, du Health Data Hub (l’Académie française appréciera) dont le gouvernement accélère le déploiement à la faveur de la crise du Covid-19. Il s’agit d’une base appelée à centraliser l’ensemble de nos données de santé, version élargie de l’actuel Système national des données de santé (SNDS), lequel regroupe les principales bases de données de santé publique. Le Health Data Hub (HDH) doit même permettre à des acteurs privés d’accéder aux données pour un « motif d’intérêt public ».
Le député Philippe Latombe, Député de la Vendée, Membre de la Commission des Lois, a interrogé par écrit le ministre des Solidarités sur les dangers de cette initiative, lui rappelant que dans son avis du 23 avril dernier, la CNIL s’alarmait du contrat qui lie le HDH à Microsoft, sans appel d’offres.
En effet, « les autorités américaines [peuvent] contraindre leurs entreprises nationales à leur fournir les données qu’elles hébergent, en vertu du Foreign Intelligence Surveillance Act de 1978 et du Cloud Act de 2018. La [CNIL] pointe ainsi un nombre certain de défaillances du dispositif : le chiffrement des données qui ne serait pas garanti, le manque d’encadrement des procédures d’accès des administrateurs de la plate-forme ou encore l’effectivité du blocage de toute possibilité d’exportation des données… » Et Philippe Latombe de demander « comment le gouvernement justifie le choix de Microsoft pour l’hébergement des données du HDH et comment il est envisagé d’assurer la protection des données de santé de nos concitoyens. »
Microsoft ou la French Tech, faites vos jeux !
La vraie raison est simple : Microsoft est la seule entreprise capable de répondre à la demande de l’État (ce qui justifierait qu’il n’y ait pas d’appel d’offres). Il est vrai qu’elle gère déjà les données de… la Défense nationale ! Et si appel d’offres il y avait eu, les seuls concurrents possibles à l’inventeur de Windows auraient été les GAFAM ou leurs homologues chinois. Aucune entreprise française ni même européenne n’est en mesure de fournir un service de cloud capable de gérer l’administration, l’accès et le partage sécurisés d’une telle masse de données, en croissance rapide et continue.
Mais aussi, le gouvernement a choisi la solution de facilité, fournie clés en main par Microsoft, faisant fi d’une différence originelle et fondamentale entre les approches européenne et américaine en matière de données à caractères personnelles, notamment de santé. En Europe, elles appartiennent à la personne. Là-bas (et donc « ici » au nom de l’extraterritorialité de la loi américaine), elles appartiennent à celui qui les collecte. Le député Latombe suggère qu’en attendant que l’Europe se dote d’un cloud comparable à celui des géants américains, les données sensibles, notamment celles de santé, soient hébergées en Europe, sur des data centers gérés par des entreprises européennes, quitte à soutenir fortement le développement des opérateurs privés comme OVH. Il préconise également de miser sur la technologie de la blockchain.
À l’heure où se développe l’intelligence artificielle, ce serait une faute majeure de perdre irrémédiablement la maîtrise sur nos données, car elles sont ce qu’il y a de plus stratégique au 21ème siècle. Développer le numérique, c’est aussi se donner les moyens de services publics performants.
Autant d’enjeux stratégiques qui mériteraient la création d’un ministère du numérique et des innovations de plein exercice, et non d’un simple secrétariat d’État, comme c’est actuellement le cas.
Dans un passé récent, les pouvoirs publics avaient subventionné un moteur de recherche dont l’ambition était de devenir le Google français. Vu ses performances très en retrait par rapport au modèle américain et le désintérêt du public qui en résulta, on préférerait que les fonds publics soient mieux employés. OVH, à l’inverse, ne fait pas dans la fanfaronnade, et a fait ses preuves en matière de serveur, hébergeant notamment d’innombrables sites internet. Il est dommage que le gouvernement ne l’ait pas sollicité, non pas comme concurrent de Microsoft sur l’ensemble du projet HDH, mais pour bâtir une alternative à la reddition en rase campagne américaine.
Le problème est déjà immense, s’agissant de nos données de santé qui peuvent se retrouver entre les mains d’entreprises privées américaines, mais aussi de l’administration de l’oncle Sam, au nom ses lois extraterritoriales : s’en remettre à la loi du plus riche et du plus fort est dangereux. Ce sont toutes nos données personnelles et professionnelles qui sont concernées.
L’Europe n’a-t-elle vraiment le choix qu’entre se livrer aux Etats-Unis ou à la Chine ? Dépourvue d’entreprises capables de gérer les énormes quantités de données générées par notre civilisation numérique, à l’âge de la 5G et d’entreprises aussi puissantes que des Etats, l’Europe est encore, à certains égards, à l’âge (mental) du Minitel et de la fonction publique des années 1970.
L’Europe (la France est bien trop petite pour jouer les David face aux Goliath sino-américains) doit investir massivement. Le nouveau commissaire européen, Thierry Breton, est volontariste en la matière et doit être relayé par les politiques français !
Il y va de notre indépendance économique, sanitaire, culturelle.
Michel Taube