L’OFSP et le Conseil fédéral ont confirmé qu’une application suisse de traçage de proximité serait proposée dès le 11 mai 2020. Elle repose sur le système «Decentralized Privacy-Preserving Proximity Tracing» (DP-3T) développé notamment par l’EPFL et l’ETHZ. Ce système a été conçu dans le but de minimiser les atteintes et les risques aux droits des individus, respectant le principe de protection des données dès la conception (Privacy by Design) qui veut que la protection des données et le bon fonctionnement d’un système ne s’opposent pas, mais peuvent être atteints simultanément.
Les aspects techniques et médicaux
Le Comité européen de la protection des données, le Préposé fédéral à la protection des données et à la transparence, la Commission nationale d’éthique et l’Office fédéral de la justice ont exigés que l’application soit basée sur une démarche volontaire à tous les niveaux, une minimisation des moyens permettant d’identifier les personnes, des mesures techniques et organisationnelles de protection contre les abus, une limitation temporelle de l’utilisation à la durée de la crise et une limitation temporelle de l’enregistrement des données à la durée nécessaire (données de contact tant que la personne concernée pourrait être contaminée en regard des connaissances épidémiologiques et les autres données au maximum pendant la durée de la crise). L’application basée sur DP-3T respecte ces principes et est basée sur une architecture décentralisée et open-source.
Techniquement, l’application semble donc être plutôt favorable à la sphère privée. Reste à savoir si l’atteinte est proportionnée, autrement dit si le traitement des données de traçage est apte et nécessaire à atteindre le but visé. Le traitement est apte si les données obtenues permettent de prévenir et combattre le Covid-19. Le traitement est nécessaire s’il n’y a pas d’autres moyens moins intrusifs. Il s’agit-là d’une question médicale à laquelle je ne suis pas qualifié pour répondre.
Deux éléments m’interpellent néanmoins. Premièrement, la «Swiss National COVID-19 Science Task Force», mise en place par le Conseil fédéral, considère que pour qu’une telle application contribue efficacement à endiguer la propagation du virus, il est nécessaire qu’elle soit largement acceptée et répandue au sein de la population. Cela pourrait aller à l’encontre de la démarche volontaire exigée puisque si l’application n’est pas largement utilisée, le traitement des données ne serait pas apte. Le traitement serait donc illicite (violation du principe proportionnalité). Deuxièmement, on peut se demander quelle est la précision, la qualité et l’utilité des données collectées. Il y a en effet toujours le risque de vouloir apporter une solution technique à un problème qui ne l’est pas.
La base légale
L’art. 17 LPD exige que tout traitement de données par des organes fédéraux repose sur une base légale. Les art. 33s LEp prévoient déjà que les personnes malades, présumées malades, infectées, présumées infectées ou qui excrètent des agents pathogènes peuvent être identifiées et des informations leur être communiquées. Elles peuvent être placées sous surveillance médicale et sont tenues de renseigner le médecin compétent sur leur état de santé et sur leurs contacts avec des tiers. L’art. 60 LEp prévoit aussi que l’OFSP gère un système d’information, consultable en ligne par l’OFSP et certains services cantonaux. De nombreuses données peuvent être traitées.
L’application n’est pas assimilable au système d’information de l’OFSP et l’art. 30 LEp est une disposition assez générale, qui au surplus ne vise que certaines personnes et pas l’ensemble de la population. L’art. 30 LEp rappelle que les mesures visant des individus ne peuvent être ordonnées que si des mesures moins contraignantes ne sont pas de nature à prévenir la propagation du Covid-19 ou n’y suffisent pas (a), et si la mesure concernée permet de prévenir un risque sérieux pour la santé d’autrui (b). La mesure ordonnée doit être nécessaire et raisonnable.
On peut donc douter que cette base légale soit suffisante, même si l’essentiel du traitement est décentralisé. C’est en tous cas ce que considèrent les Commissions des institutions politiques du Conseil National et du Conseil des États Bien que traditionnellement pas très favorables à la protection des données, elles ont déposé deux motions les 22 avril 2020 (20.3144) et 30 avril 2020 (20.3168) pour charger le Conseil fédéral de soumettre la base juridique nécessaire à l’introduction de cette application au Parlement.
Le Conseil fédéral a proposé le 1er mai 2020 de rejeter les motions considérant que des bases légales nécessaires au traitement de données relatives à la santé existent déjà en faisant référence à la LEp, mais sans mentionner la moindre disposition légale…
Des risques non négligeables
Ces dernières semaines, l’OFSP n’a pas été très rassurant en matière de surveillance. La motivation de la décision du 23 mars 2020 concernant l’accès à la plateforme Mobility Insights de Swisscom (rendue publique le 6 avril seulement) n’est juridiquement pas très convaincante.
À situation extraordinaire, mesures extraordinaires. Si l’application est proposée et que le Gouvernement veut que les utilisateurs puissent avoir confiance, il est essentiel que des garanties légales soient données préalablement concernant les données générées par l’application, mais aussi tout le traitement qui l’entoure :
1) Quid de l’accès aux données ou d’une notification pour identifier si certaines personnes ont eu des contacts, par exemple dans le domaine de l’asile, du droit du travail, ou par la police ou les services de renseignement? Il faut donner des garanties légales qu’en aucun cas l’application ne pourra être utilisée dans un autre but que la lutte contre le Covid-19.
Ces risques ne sont pas théoriques, mais bien concrets. Dans le cadre d’une procédure pénale ou en matière d’asile, une autorité pourrait vouloir ordonner l’envoi d’une notification pour vérifier si deux personnes se sont côtoyées.
2) Quid si une personne n’utilise pas l’application, la désactive temporairement ou la désinstalle au moment où elle est testée positive pour éviter une notification? Il faut donner des garanties légales que l’utilisateur est en tout temps libre d’accepter ou non le téléchargement et l’installation de l’application, l’activation et la désactivation de la technologie Bluetooth (temporaire ou permanente), la saisie de la preuve d’un test positif et la notification à d’autres utilisateurs. Il faut même aller plus loin et garantir que l’utilisateur ne peut subir aucune discrimination ni condamnation en fonction de son choix
La tentation sera en effet grande pour un employeur ou un magasin de ne laisser entrer dans ses locaux que des personnes qui ont téléchargé et activé l’application, ou qui peuvent montrer ne pas avoir reçu de notification.
La LEp contient aussi une longue liste d’infractions pénales, notamment pour sanctionner celui qui intentionnellement se soustrait à une surveillance médicale qui lui a été imposée, se soustrait à des mesures de quarantaine ou d’isolement qui lui ont été imposées, se soustrait à des examens médicaux qui lui ont été imposés, ou contrevient à des mesures visant la population (art. 83 al. 1 let. g à j).
On peut pousser le raisonnement plus loin, et penser à l’infraction pénale de propagation d’une maladie de l’homme (231 CP) qui prévoit que celui qui, par bassesse de caractère, aura propagé une maladie de l’homme dangereuse et transmissible sera puni d’une peine privative de liberté d’un an au moins et de cinq ans au plus. Comment sera interprété une notification reçue par l’application, ou le refus de notifier d’autres utilisateurs ?
Si le Conseil fédéral veut qu’une application de traçage de proximité soit acceptée par la population, il ne peut pas se réfugier derrière une vague base légale, mais il doit laisser le Parlement fédéral adopter une loi en bonne et due forme et avec toutes les garanties nécessaires. La qualité technique de l’application n’y change rien.
Sinon la porte est ouverte à de nombreuses dérives, et même les utilisateurs les plus favorables ne bénéficieront pas de données de qualité en raison du faible taux d’adoption.
Article mis à jour le 5 mai 2020 à 11h15