Démocratie numérique : les leçons d’une crise sanitaire
Alter Numeris, ce sont des chercheurs et des penseurs qui réfléchissent les enjeux de la société numérique.
22734
page-template-default,page,page-id-22734,stockholm-core-1.0.8,select-child-theme-ver-1.1,select-theme-ver-5.1.4,ajax_fade,page_not_loaded,vertical_menu_enabled, vertical_menu_transparency vertical_menu_transparency_on,menu-animation-underline,side_area_slide_with_content,wpb-js-composer js-comp-ver-6.0.1,vc_responsive

Démocratie numérique: les leçons d’une crise sanitaire

Résumé

La crise sanitaire causée par le Covid-19 a généré de nombreux tremblements dans différents pans de la société belge, ainsi qu’autour du globe. Dans le domaine des technologies, elle a fait couler de l’encre autour du recours aux outils numériques pour contrer l’expansion du virus. Ce dossier fait état des enjeux liés à l’usage de ces technologies dans l’actualité du débat belge. Il tire trois enseignements de cette crise qu’il envisage comme symptomatique des politiques actuelles du numérique : (1) Le temps du numérique ne peut pas être celui de l’urgence, (2) des principes fondamentaux doivent encadrer la conception et l’utilisation des nouvelles technologies numériques, (3) une interface solide entre technologie et société est indispensable.

Crise sanitaire et outils numériques
De quoi parle-t-on?

Depuis mi-mars en Belgique, et plus tôt encore dans d’autre pays, l’épidémie causée par le Covid19 s’est installée, amenant avec elle des conséquences sans précédents sur nos vies personnelles, professionnelles, notre économie, et notre société dans l’ensemble. Nombre d’entre nous sommes soumis à des mesures de confinement qui auraient semblé inimaginables quelques mois auparavant, alors que le pays tout entier, attend que le nombre de cas de contamination diminue.

Au fil des semaines, le rôle des technologies numériques a émergé subitement dans la gestion de la crise en tant qu’instrument de mesure et de limitation de la propagation du virus. Il s’agit notamment de s’appuyer sur des systèmes qui identifient les personnes à tester suite à leur contact rapproché avec des personnes infectées, ou permettent aux personnes susceptibles d’être infectées de continuer à communiquer ou d’être suivies médicalement tout en étant isolées. Ces systèmes peuvent être automatiques (application sur nos téléphones ‘intelligents’) ou semi-automatiques (centres d’appels), et une collecte massive de données sont nécessaires pour les alimenter. Plus largement, au-delà de ce niveau individuel, il est attendu des données collectées par le recours à ces outils d’analyser les tendances et les évolutions de la pandémie à un niveau plus large.

Durant toute cette période, l’Autorité de Protection des Données a parfaitement joué son rôle en publiant une série d’avis portant sur les propositions de textes visant à encadrer les dispositifs de traçage. Ses travaux, parfois durs à l’égard des textes déposés, rappellent son importance dans le processus législatif pour œuvrer au respect des principes fondamentaux qui sous-tendent le recours à la collecte de données en général et l’utilisation de l’instrument numérique en particulier.

 

Si cet épisode démontre l’enchevêtrement complexe des différents de niveaux de pouvoir pour traiter de la matière en question, on retiendra surtout les hésitations relatives à la mise en place d’une application de traçage. D’abord annoncée, puis remplacée par des centres de collecte, elle est finalement annoncée de nouveau à la fin du mois de mai.

Comment fonctionnent les applications de traçage ?

Les métadonnées téléphoniques contiennent de l’information sur notre position (imprécise) dans le temps. En clair, il s’agit d’informations récoltées par les opérateurs téléphoniques lorsqu’un utilisateur reçoit/envoie un SMS ou un appel. Typiquement, elles consistent du numéro des deux utilisateurs, l’heure, et l’endroit où se situe chacun d’eux. Ces données sont hautement identifiables: connaître quelques points (endroit + heure) est souvent suffisant pour identifier uniquement quelqu’un.

Ce sont des données très sensibles, car elles peuvent révéler beaucoup d’informations sur notre vie privée. On les utilise de façon agrégée pour essayer de mesurer les mouvements de population et évaluer l’efficacité des mesures de confinement. Par exemple, Google a publié des rapports agrégés mesurant la diminution de mobilité causée par les mesures gouvernementales à travers le monde, dans le but d’aider à la décision. Les opérateurs téléphoniques ont également accepté de partager leurs données agrégées anonymes avec l’État, avec (potentiellement) un plus grand niveau de détail. Cela permet par exemple de détecter quels lieux publics (rue commerçante, parc, …) sont trop fréquentés et doivent être fermés.

Le traçage de proximité: quand une personne est diagnostiquée positive, toutes les personnes qu’elle a rencontrées (et potentiellement infectées) durant les deux dernières semaines sont averties et mises en quarantaine. Le traçage de proximité est une technique standard pour limiter la propagation, et a par exemple été employée dans la lutte contre Ebola. Dès lors que ce traçage est fait efficacement au travers d’une application que beaucoup de gens installent, on peut rouvrir le pays sans risque de voir exploser le nombre d’infectés. Ce « traçage des contacts » peut s’effectuer soit par l’intervention directe de personnes habilitées (au travers d’un centre d’appel), soit en utilisant des applications numériques permettant notamment de détecter et de mémoriser automatiquement la proximité de deux smartphones que l’on suppose être portés par deux personnes, ou encore en combinant les deux approches.

Les enjeux et axes de tension

L’introduction de ce type de système n’est pas sans créer des tensions au sein des sociétés, des frictions dont il nous appartient d’être attentif non seulement pour prévenir les éventuelles dérives de l’introduction des technologies numériques, mais également pour s’assurer de leur appropriation citoyenne et de leur véritable efficacité à long terme. L’analyse des débats récents en fait émerger de différents types.

Du point de vue de la protection de la vie privée

Le Règlement Général de Protection des Données empêche-t-il l’Europe de protéger ses citoyens en entravant l’emploi des données pour mesurer et contrôler l’impact du virus? Non. Le RGPD permet une exception en cas de pandémie, sous la condition que l’utilisation des données soit faite dans l’intérêt du public. Il importe dès lors que cette notion puisse être suffisamment balisée pour pouvoir, dans les cas d’urgence tel que prévus par le RGPD, mettre à disposition des acteurs impliqués une définition claire et opérationnelle de ce qui est acceptable.

Conformément à cette exigence, l’European Data Privacy Board (EDPB) a expliqué dans une publication qu’une telle exception n’est justifiée que si elle est « nécessaire, appropriée et proportionnée dans une société démocratique ». Par exemple, le partage des métadonnées téléphoniques avec l’État pour évaluer la mobilité des gens doit se faire de façon anonyme ou avec le consentement explicite de la population. En Belgique, l’Agence de Protection des Données (ADP) a récemment publié un rapport soulignant l’importance de démontrer la nécessité et la proportionnalité des applications de traçage.

Du point de vue technique

Un débat technique a lieu autour de comment concevoir une application de traçage: les solutions centralisées (à la Française), où une autorité centrale s’occupe de contacter les personnes, et les solutions décentralisées (telles que DP3T soutenues par Google et Apple), où chaque téléphone apprend au travers d’informations chiffrées si il a été en contact avec une personne infectée. Les deux comportent des risques et compromis différents, et le choix entre l’une et l’autre doit se faire de façon transparente et démocratique. Cela s’applique aussi au traçage manuel: quelles données jugeons-nous acceptables de partager avec des institutions et compagnies (sachant que bien souvent, elles ne sont pas anonymes).

A ce stade, personne ne sait réellement si une application de traçage est efficace pour endiguer l’épidémie. Selon une étude de l’université d’Oxford, une adoption de l’application par au moins 60% de la population permettrait d’éliminer la transmission du virus, sous hypothèses de tests nombreux et de quarantaine stricte. Les résultats de l’étude montrent que même une installation moins répandue de l’application permettrait d’endiguer la propagation du virus, mais ce n’est pas encore clair à quel point ces résultats s’appliquent à la réalité. De même, les faux positifs et faux négatifs peuvent avoir des conséquences graves. D’une part, l’application peut conférer un sens de confiance excessive, et des personnes infectées mais non détectées pourraient répandre plus facilement le virus. D’autre part, les personnes marquées comme potentiellement à risque risquent d’être obligées de restreindre leur mobilité et contacts sociaux sans réelle raison, ce qui peut représenter un coût réel.

Même si la collecte de données (par une application ou un centre d’appel) est bien conçue du point de vue protection de la vie privée, elle pose un problème important, celui de la fuite des données. Que ce soient des hackers organisés, ou une erreur humaine, les données collectées par une application peuvent fuiter. L’expérience montre que ce risque n’est pas à négliger (pensons aux fuites de données massives en Allemagne et au Qatar).

Du point de vue éthique

Le consentement des gens à l’emploi de leurs données personnelles est un enjeu important. Les applications de traçage de contact sont un bon exemple: l’installation d’une telle application doit être laissée à la volonté de tout un chacun. Le consentement à l’utilisation doit être garanti, contre toute forme d’obligation à l’installation ou de discrimination envers les gens qui choisissent de ne pas l’installer.

Les données collectées sont de nature sensible et pourraient être utilisées à des fins discriminatoires. Par exemple, un demandeur d’emploi ayant souffert du coronavirus pourrait avoir plus de difficultés à trouver un emploi (par des employeurs “blâmant la victime”). Ces dérives potentielles doivent pouvoir être évitées pour s’assurer que le traitement des données ne génère aucune mesure discriminatoire dans ses différents aspects. L’Organisation Mondiale de la Santé (OMS) met notamment en garde contre la stigmatisation qui pourrait être manifestée à l’égard des personnes atteintes par le virus.

Du point de vue politique

Les modalités d’utilisation des données, le contenu des applications et l’étendue des technologies employées doivent être clairement communiquées de façon transparente, afin d’être soumis au regard scrutateur du grand public et des experts. De même, au vu des nombreuses incertitudes sur l’efficacité des technologies et de l’importance de garantir les principes qui les encadrent, il importe qu’elles soient suivies de près par des instances pluridisciplinaires à même d’évaluer leurs impacts à différents niveaux.

Les mesures exceptionnelles d’emploi des données par le gouvernement (ou une compagnie privée) présentent un risque de banalisation des mesures de surveillance. La Pologne a par exemple imposé l’emploi d’une application intrusive aux personnes en quarantaine (GPS activé en permanence, et besoin d’envoyer une selfie de temps à autre sous peine de visite policière). Cela s’est déjà produit aux Etats-Unis, et en Europe, en réponse aux attentats. Sans prise de conscience, l’acceptation des technologies de surveillance par le public, comme une application de traçage de contact ou l’emploi de drones, peut avoir un impact négatif sur notre liberté d’opinion et d’expression.

Le point de vue d’AlterNumeris

La crise du Coronavirus est marquée du sceau de l’urgence : urgence sanitaire, économique, sociale et politique. Cette urgence incite les autorités à adopter des mesures fortes, qui risquent de survivre au-delà de la crise elle-même (élaboration d’une base de données des personnes infectées et de leurs contacts ou autre application de traçage des populations et des individus, drones de surveillance, reconnaissance faciale, etc.). Il importe de reconnaître la prudence des autorités ainsi que la participation massive des experts et académiques au débat public concernant ces questions complexes et sensibles. Sur le thème du traçage des individus, plusieurs collectifs d’experts ont publié une série de recommandations techniques pour baliser la conception et l’usage de tels systèmes (consentement, limitation dans le temps, architecture de bases de données, etc.).

Si nous soutenons ces propositions et nous rallions aux garde-fous sur lesquelles elles reposent, nous pensons essentiel de se hisser au niveau des politiques du numérique pour envisager la manière avec laquelle le recours aux outils numériques est susceptible d’influencer l’organisation de la vie sociale. La crise sanitaire agit comme une énorme caisse de résonance de notre rapport au numérique. Les réactions face au Coronavirus sont symptomatiques de la manière dont le numérique se glisse dans tous les domaines de nos existences individuelles et collectives; pris par l’urgence, nous ne sommes pas toujours en mesure de saisir ses impacts sur nos vies et de nos sociétés.  En l’absence d’une véritable politique consciente des impacts profonds du numérique, la crise nous plaque contre l’immédiat et nous contraint à agir en étant au pied du mur. Le risque est de perdre de vue la dimension politique des choix posés, de se voir confisquer le temps de la délibération, de se laisser capter par les intérêts de quelques groupes industriels ou d’abandonner le politique à un solutionnisme techniciste justifié par l’urgence.

Nous considérons que trois enseignements majeurs doivent être tirés de cette crise pour éviter de verser dans ces travers. Ces trois leçons sont de nature à fonder de véritables politiques du numérique qui doivent non seulement nous préparer à mieux affronter les crises futures mais aussi à renforcer la légitimité démocratique des choix posés en la matière.

1. Le temps du numérique ne peut pas être celui de l’urgence

En temps de crise sanitaire, l’argument justifiant tous les déploiements technologiques est celui de la sécurité. Nul doute que cette priorité doit peser dans les orientations prises par nos décideurs. Mais l’argument ne peut justifier de couper court à toute réflexion sur les enjeux liés à l’introduction d’une technologie et les alternatives disponibles. Nombre de commentateurs et de citoyens craignent que, comme ce fut le cas pour les attentats terroristes, les autorités prennent prétexte de l’urgence pour installer des mesures qui durent bien au-delà de la situation d’urgence. Cette prévalence de l’urgence, en matière de numérique, est également scandée dans les périodes de stabilité ; c’est alors l’urgence économique et les exigences de la compétition internationale qui sont invoquées (le fameux « train du numérique » qu’il ne faut surtout pas rater…).

Dans la crise du Coronavirus, la question des différentes temporalités en jeu nous semble essentielle. Différents régimes temporels sont en effet impliqués, qu’il convient de soigneusement démêler. Déplier les différents niveaux de temporalité permet ainsi de poser à chaque fois la question : quelles sont les mesures qui sont temporellement appropriées à la situation ?

On distinguera ainsi, d’une manière générale :

La temporalité du COURT TERME lorsqu’il s’agit de prendre des mesures d’application instantanée (confinement, fermetures des commerces, des restaurants, écoles ; commande de matériel, de tests, mesures économiques compensatoires, etc.) ;

La temporalité du MOYEN TERME lorsqu’il s’agit de prévoir et organiser le déconfinement, avec toutes ses mesures d’accompagnement à la fois sanitaires, sociales et économiques ;

La temporalité du LONG TERME lorsqu’il s’agit de prendre des mesures structurelles contre le retour cyclique du virus, et plus généralement contre de futures pandémies (réforme des systèmes de santé, réorganisation logistique, relocalisation de la production, etc.).

La temporalité du TRÈS LONG TERME, lorsqu’il s’agit, au-delà des questions spécifiquement sanitaires, d’envisager les impacts sociétaux, voire anthropologiques de dispositifs mis en place à l’occasion de la pandémie (reconnaissance faciale, centralisation des données, etc.).

En matière de numérique, toute décision devrait se prendre à l’aide de lunettes à double focale: une pour la résolution immédiate des problèmes qui surgissent, une autre pour l’impact à long terme des solutions envisagées. Aucune des deux ne peut ni ne doit être envisagée séparément, d’autant plus que l’on connaît l’effet d’engrenage des solutions techniques qui, une fois appliquées, s’avèrent, de fait, irréversibles. La focale du long terme nécessite un passage à la limite: Que se passerait-il si telle solution était généralisée ou si tel dispositif d’exception devenait la norme? Cette perspective du long terme oblige à réintégrer la technique dans une interrogation politique fondamentale, celle qui donne son sens à toutes les autres: dans quelle société numérique voulons-nous vivre? À cette question, la technique ne peut répondre à notre place; les techniciens des technologies ne peuvent, seuls, orienter le futur de nos sociétés.

2. Il est essentiel de se doter de principes encadrant la conception et l’utilisation d’une technologie… et de s’y tenir !

L’emploi du numérique dans cette crise ne doit pas être binaire. Il ne s’agit pas de dire non au numérique, cela serait absolument absurde. Il importe par contre de pouvoir se donner des principes pour orienter leur conception et leur utilisation. Des principes qui, en période de crise comme en période de stabilité, peuvent être mis à mal de multiples manières.

PRINCIPE 1: LA NÉCESSITÉ

La nécessité implique que la technique ne doit être la réponse automatique à tous les problèmes posés. En effet, d’une manière plus générale, les technologies numériques comblent toujours davantage la passion moderne des puissances publiques et privées pour le contrôle, le calcul, la prévisibilité. D’où un goût apparemment insatiable pour toutes les technologies de prélèvement en continu de données à force de capteurs, de senseurs, de traceurs, et de données personnelles complaisamment offertes au ventre mou des Big Data. C’est ainsi que décisions après décisions, crise après crise, la technologie s’impose comme le cadre par défaut de tous les comportements attendus et des seules solutions envisageables. Cette attitude apparemment neutre est en réalité très idéologique, car elle ne voit de salut que dans la technique, au détriment d’autres possibilités qui ne sont pas même envisagées.

Posons-nous systématiquement la question de la nécessité de l’introduction d’une technologie en pesant les gains et les pertes qu’elles amènent dans le court et dans le long terme. La tentation de se tourner automatiquement vers un outil numérique pour résoudre tous nos problèmes, à fortiori en périodes d’instabilité, doit être contenue et soumise à la réflexion.

PRINCIPE 2: L’ÉVALUATION PRÉALABLE ET CONTINUE DU SYSTÈME UTILISÉ

Il nous semble essentiel de prévoir les conditions de l’expérimentation avant de généraliser un usage à toute une population. De même, il importe de pouvoir garantir le contrôle de son utilisation et de réaliser l’évaluation de ses effets à long terme.

Exemple 1 : Nécessité et évaluation d’une application de traçage de la population.

Le traçage de la population via une application installée sur nos téléphones ‘intelligents’ a été déployé dans plusieurs pays, offrant à la Belgique suffisamment de recul pour évaluer préalablement les effets de ce système. Dans les faits, le faible taux d’adoption de l’application par les populations, les risques élevés de faux-positifs ainsi que la faible valeur ajoutée de l’application peut légitimement remettre en cause la nécessité d’un tel système. Celui-ci s’avérerait même contre-productif s’il donnait un faux sentiment de sécurité à la population. Si ce système était toutefois déployé, son évaluation continue serait indispensable.

PRINCIPE 3: LA PROPORTIONNALITÉ

La proportionnalité, à savoir l’adéquation entre les mesures prises et la finalité poursuivie, minimise le volume des données collectées et garantit l’anonymat. Les autorités belges et françaises en matière de vie privée précisent également – dans le cas particulier du traçage – qu’il faut démontrer que la solution utilisée (technologique ou pas) est le moyen le moins intrusif pour atteindre l’objectif poursuivi.

Il y de quoi s’alarmer lorsque des entreprises surenchérissent sur les mesures de surveillance en installant à leurs portes des dispositifs de bracelets électroniques ou de reconnaissance faciale sous prétexte de sécurité sanitaire. A la côte belge, un réseau de 250 caméras intelligentes est prévu pour gérer l’afflux de touristes. L’urgence déborde ici la temporalité du droit. Tout ce déploiement numérique est-il approprié, proportionné ? Le gain immédiat apparent n’est-il pas surclassé par les effets au long cours ?

Exemple 2 : Régulation du flux de clients dans les magasins via reconnaissance faciale

En Belgique, une start-up propose d’installer des caméra à l’entrée des magasins afin de pouvoir compter les personnes et donc s’assurer que les règles de sécurité sanitaires soient bien respectées (nombre de personnes par m²), mais aussi de filtrer les clients à l’entrée en mesurant leur température. Premièrement, on peut questionner la nécessité de la mesure de température. L’Autorité de Protection des Données mentionne clairement que ces pratiques ne sont pour le moment pas autorisées et rappelle également l’inefficacité partielle d’un tel système dans la lutte contre la propagation du COVID-19. Ensuite, on peut questionner la proportionnalité du système de caméra ici mis en oeuvre pour compter les clients, sachant que d’autres systèmes simples (vigile à l’entrée, compteur laser,..) peuvent remplir le même objectif de façon nettement moins intrusive. Dans la presse, cette startup annonce que son système de surveillance va évoluer dans le temps et s’enrichir d’autres options (profil et comportements des clients,  etc.), ce qui questionne également sur la temporalité et la  finalité réelle d’un tel système.

Exemple 3 : Banque de données pour lutter contre la propagation du COVID-19

Fin mai, une proposition de Loi sur la création d’une banque de donnée gérée par Sciensano est déposée. A deux reprises, l’Autorité de Protection des Données a jugé la proposition illégale au regard du RGPD – le texte ne démontrant pas le caractère nécessaire et proportionnel de la collecte et de l’enregistrement de toutes les données, ce qui est pourtant requis. Un autre grief majeur émis dans cet avis est la violation du secret médical.

PRINCIPE 4: LA TRANSPARENCE TECHNIQUE

La transparence technique concerne la conception et le code de l’application, y compris leurs auteurs, la finalité de l’application ainsi que l’exploitation des données qu’elle collecte, afin que chacun puisse être assuré qu’elle ne fait que ce qu’elle est censée faire.

Exemple 4 : Transparence technique et code source

En informatique, le code source est un texte qui présente les instructions composant un programme sous une forme lisible, telles qu’elles ont été écrites dans un langage de programmation. Ainsi, la publication du code source des applications de traçage est une condition élémentaire de transparence. Certains pays comme la France, Grande-Bretagne et l’Inde ont déjà embrayé dans ce sens. Si cette pratique semble être sur la bonne voie, on notera que c’est loin d’être le cas pour d’autres applications de type reconnaissance faciale – où le code source est la plupart du temps la propriété des entreprises qui les développent.

PRINCIPE 5: LA TRANSPARENCE POLITIQUE

La transparence politique a trait aux conditions dans lesquelles les décisions sont prises en matière de politique numérique.

Exemple 5 : Transparence politique de la Taskforce “Data Against Corona”

C’est suite à une carte blanche d’entrepreneurs tech dans la presse francophone qu’un groupe de travail “Data & Technology Against Corona” a été créé par le ministère de la santé et celui en charge du numérique, afin d’aider le gouvernement à prendre de bonnes décisions en matière d’utilisation des données et des technologies. Le fonctionnement de ce groupe de travail reste opaque, la liste de ses membres ainsi que les rapports des travaux réalisés n’étant officiellement publiés nulle part.

3. Une politique du numérique doit connecter technologie et société

Afin d’éviter une mécanique du fait accompli, nous défendons la nécessité d’une réflexion commune et transparente sur les usages, implications et potentialités des outils numériques. Seule une telle réflexion permettra d’affronter cette crise et celles qui suivront dans une forme de maturité démocratique, qui semble faire défaut aujourd’hui. Une politique du numérique forte doit pouvoir s’appuyer sur toutes les voix qui comptent dans le débat public ainsi que sur les mécanismes démocratiques existants.

Ce n’est qu’en se réappropriant démocratiquement et structurellement les outils numériques et le système qui les sous-tend que nous pourrons nous approprier en confiance le sens du progrès technologique. Permettre cette réappropriation, c’est nous permettre de devenir des sujets politiques du numérique, pour l’habiter autrement que sur le mode du fait accompli, en temps de crise comme en tout autre temps. Nous appelons à faire advenir une politique du numérique en développant l’interface entre technologie et société.