Quel que soit l’avenir du projet d’application Stopcovid, il met en lumière notre dépendance technologique à l’égard des GAFAM, et notamment d’Apple et Google qui, pour l’occasion, se sont alliés autrement plus efficacement que les Etats européens. C’est ainsi qu’ils ont proposé, sinon un véritable protocole de suivi de contacts, du moins un ensemble de services dans leurs systèmes d’exploitation (iOS et Androïd) destinés à aider les applications de suivi.
Or, ils ont précisé qu’ils « ne fourniraient leurs API aux autorités sanitaires qu’à condition que leurs applications soient décentralisées, afin d’empêcher les gouvernements de pouvoir disposer de bases de données centralisées de personnes (potentiellement) contaminées » (Cité in S. Gavois, « Contact tracing » : on vous explique les différents protocoles et initiatives, NextInpact, 22 avril 2020). Par conséquent, si l’Etat français refuse d’utiliser leurs services, son projet d’application Stopcovid ne pourra pas, ou mal, fonctionner.
Autrement dit, ce sont Google et Apple (grâce à leur alliance qui, il faut le souligner, supprime toute concurrence ou diversité), qui sont en mesure d’imposer le choix d’une architecture décentralisée pour garantir la protection de nos données à caractère personnel, alors que la CNIL ne semble pas s’opposer à un système centralisé dès lors qu’il est accompagné de garanties suffisantes. Et l’invocation par eux de la protection des données à caractère personnel, si elle peut faire sourire, ne devrait en revanche pas masquer la dimension politique d’un tel choix.
Or, ce choix n’était pas, initialement, celui des Etats européens. En effet, le projet européen (PEPP-PT, Pan European Privacy Preserving Proximity Tracing), regroupant des scientifiques de 8 pays, vise à proposer une action commune sur les composantes numériques (technologies et standards) utilisées dans la lutte contre le coronavirus. Or, ce projet devait être ouvert aussi bien aux systèmes centralisés qu’aux systèmes décentralisés.
Mais la Commission européenne (Recommandation 2020/518 du 8 avril 2020) et le Parlement européen (Résolution 2020/2616 du 17 avril 2020) se sont très récemment prononcés en faveur d’un système décentralisé (J.-M. Manach, « Contact tracing » : les limites du Bluetooth, les risques sur la vie privée et l’anonymat, NextInpact, 23 avril 2020).
Par conséquent, le paradigme décentralisateur semble à nouveau l’emporter. Or, s’il est adapté à la culture individualiste et libertarienne d’Outre-Manche, on peut avoir des réserves européano-culturelles à son égard, notamment en ce qu’il constitue un moyen de déporter sur chaque individu la responsabilité de ses données (et de leur sécurité) et favorise un éparpillement des risques au détriment de la solidarité collective. Voilà pourquoi on ne peut que regretter qu’une telle décision soit imposée sous la pression économique des GAFAM, alors surtout qu’une approche pragmatique aurait pu être privilégiée (V. A. Quin, « Stopcovid » et choix entre système centralisé et système décentralisé : quid d’une approche pragmatique ?, Blog Altajuris International). Mais personne, en Europe, ne semble techniquement en mesure de l’imposer.
Par conséquent, c’est in fine le consommateur qui assumera la responsabilité de ses choix, puisque le recours à l’application Stopcovid est facultatif. Et la CNIL a pris soin de préciser que ce n’est pas parce que le traitement n’est pas fondé sur le consentement, mais sur la mission d’intérêt public de lutte contre l’épidémie de COVID-19 (art. 6 §1 e) du RGPD), que les exigences relatives à la liberté du consentement ne s’appliquent pas. Elle a ainsi précisé que le volontariat implique « qu’aucune conséquence négative [ne soit] attachée à l’absence de téléchargement ou d’utilisation de l’application », de sorte que son installation ne puisse conditionner « ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun. Les utilisateurs de l’application ne devraient pas davantage être contraints de sortir en possession de leurs équipements mobiles ». De façon générale, elle proscrit à toute personne, institution publique ou employeur, de « subordonner certains droits ou accès à l’utilisation de cette application », ce qui constituerait une discrimination (Délib. n° 2020-046 préc.). On voit ici poindre les craintes d’un « crédit social » sur le modèle chinois (A. Quin, Vers un système de « crédit social » en Chine : bienvenue à Gattaca !, Blog Altajuris International, 24 septembre 2018. V. égal les mises en garde du philosophe Byung-Chul Han, La révolution virale n’aura pas lieu, Libération, 5 avril 2020).
Finalement, c’est à chacun d’entre nous de décider de faire confiance, ou pas, à cette application. Et de demander, comme la CNIL, que des éléments suffisants soient apportés afin de démontrer « qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population » et peut ainsi justifier l’atteinte très forte qu’il porte à la liberté d’aller et de venir.