Madame la présidente, monsieur le secrétaire général adjoint, nous avons souhaité vous auditionner sur le projet d'application « Stop Covid », qui permettrait à chaque Français, au moment du déconfinement, d'être informé sur les personnes contaminées par le virus du Covid-19 avec lesquelles il aurait pu être en contact. Dans le débat public autour de cette question, la Commission nationale de l'informatique et des libertés (CNIL) est aux premières loges : vous devez en effet vous assurer non seulement de l'efficacité d'un tel dispositif, mais aussi du respect des dispositions législatives ainsi que du règlement général sur la protection des données (RGPD) dont nous avons transposé une partie voilà dix-huit mois.

Ce dispositif ne peut être envisagé que s'il est efficace ; il ne pourra être efficace que s'il est massivement utilisé, ce qui pose la question des mesures d'incitation ou de pédagogie et du respect du volontariat reposant sur le consentement libre et éclairé. En effet, celui-ci ne serait qu'apparent si, par exemple, le déconfinement et la reprise du travail se trouvaient conditionnés à l'utilisation d'une telle application par les salariés.

Notre rôle, nous l'avons montré lors de l'examen du projet de loi d'urgence pour faire face à l'épidémie de Covid-19, est de donner aux pouvoirs publics les moyens de lutter efficacement contre cette épidémie. Toutefois, ceux-ci doivent être nécessaires, proportionnés, éventuellement assortis de restrictions aux libertés des Français dûment justifiées et contrôlées.

Dans ce vaste chantier, l'autorité administrative indépendante que vous présidez a un grand rôle à jouer depuis sa création en 1978 pour défendre les libertés. MM. Dany Wattebled, sénateur du Nord, et Loïc Hervé, élu de Haute-Savoie et membre de la CNIL, sont à mes côtés, ils ont été désignés rapporteurs pour suivre spécifiquement les questions relatives à la protection de la vie privée dans le cadre du comité de suivi de la loi d'urgence que la commission des lois a mis en place. D'autres membres de la commission des lois assistent à notre échange en visioconférence et vous interrogeront par la suite.

Monsieur le président, mesdames, messieurs les sénateurs, je vous remercie d'auditionner la CNIL dans le cadre de vos travaux de suivi de la crise sanitaire sans précédent que nous traversons. Je suis accompagnée de Gwendal Le Grand, secrétaire général adjoint de la CNIL, tandis que Louis Dutheillet de Lamothe, notre nouveau secrétaire général, est avec nous en visioconférence.

J'ai tout d'abord une pensée pour tous ceux qui souffrent et tous ceux qui accompagnent quotidiennement les victimes et la population.

Les enjeux généraux de la protection des données face au traçage et au suivi numérique doivent être appréhendés à l'aune de ce contexte particulier, dans lequel la continuité d'activité repose sur des outils numériques consommateurs en données personnelles et qui sont massivement utilisés, qu'il s'agisse, entre autres, de la télémédecine, du télétravail ou des cours à distance. La CNIL joue tout son rôle d'accompagnement à l'égard des particuliers, des entreprises et des pouvoirs publics et donne des conseils pratiques et pédagogiques relatifs à la cybersécurité ou à la visioconférence.

Notre implication est également très forte concernant les recherches médicales qui utilisent des données personnelles, dont celles qui visent à tester des traitements et à analyser les formes graves de l'infection. La CNIL a mis en place une procédure accélérée d'instruction et a déjà délivré depuis le début de la crise une vingtaine d'autorisations à l'Assistance Publique - Hôpitaux de Paris (AP-HP), à l'Institut national de la santé et de la recherche médicale (Inserm), à l'Institut Pasteur et à plusieurs centres hospitaliers universitaires (CHU). Toutefois, la majorité des projets peuvent être mis en oeuvre sur simple déclaration à la CNIL.

Par ailleurs, la CNIL a rapidement pris contact avec Régions de France, l'Assemblée des départements de France et l'Association des maires de France, afin d'aider les collectivités territoriales à gérer la crise sanitaire. Les demandes proviennent essentiellement des communes et concernent les conditions de l'utilisation des registres communaux d'alerte et d'information, qui ont été créés par la loi de juin 2004, après la canicule de 2003, et recensent les personnes les plus vulnérables.

Conformément au souhait du législateur, la CNIL a veillé à ce que ces registres soient constitués sur la base du volontariat et ne deviennent pas des « fichiers de population ». Et lorsque des élus locaux nous saisissent pour utiliser d'autres fichiers, la CNIL s'efforce toujours de trouver des solutions dans un esprit constructif, tout en rappelant le cadre légal.

Sur la question qui est au coeur du débat public, à savoir le suivi numérique individualisé en vue de déterminer si une personne a été exposée au Covid-19, la CNIL a deux convictions en la matière.

La première est que les textes qui protègent les données personnelles ne s'opposent pas à un dispositif de suivi numérique, individualisé ou non, pour la protection de la santé publique, à condition de prévoir des garanties adaptées et d'autant plus fortes que les technologies sont intrusives. La mise en place de ce cadre respectueux de la vie privée est nécessaire pour asseoir la confiance, créer les conditions d'une acceptabilité sociale d'une technique potentiellement intrusive et garantir la sécurité de son utilisation. J'y insiste, le débat ne doit pas porter sur la meilleure manière de s'affranchir du cadre juridique national ou européen, puisqu'il comporte déjà actuellement lui-même les solutions permettant bien de répondre à la situation.

Notre seconde conviction provient du recours aux technologies numériques. Il faut se garder de tout « solutionnisme technologique », qui consisterait à penser qu'une application résoudra tout. Certes, les nouvelles technologies peuvent contribuer à une sortie sécurisée du confinement, mais de façon complémentaire, dans le cadre d'une stratégie sanitaire plus globale, car le risque est grand de baisser la garde par rapport à la nécessité des gestes barrières, du port du masque et des tests. En outre, cela ne prend pas en compte les cas asymptomatiques, qui représentent jusqu'à 30 % des personnes contaminées. Enfin, il est aujourd'hui difficile d'évaluer les bénéfices effectifs de ces solutions, d'autant que les usages peuvent varier, tant au niveau des données collectées que des finalités poursuivies.

C'est dans cette optique que la CNIL a décidé de s'entourer d'une double expertise : d'une part, la connaissance de l'ensemble des dispositifs techniques utilisés, des projets envisagés et des solutions imaginées dans le monde pour lutter contre la pandémie - c'est l'objet de la veille continue que réalisent nos experts scientifiques et juridiques depuis la mi-mars - ; d'autre part, la compréhension de l'intérêt des différentes solutions avancées en termes de santé publique, et ce pour être capable d'en mesurer la nécessité, la proportionnalité et la pertinence. C'est ainsi que le collège de la CNIL a auditionné voilà quinze jours le président du Conseil scientifique, Jean-François Delfraissy.

Je ne citerai devant vous que quelques exemples étrangers, et seulement pour dégager quelques grandes tendances en matière d'utilisation technologique des données, car ces comparaisons font souvent abstraction des particularismes locaux et de la multiplicité des techniques utilisées, qu'il s'agisse des caméras thermiques, de la reconnaissance faciale ou de l'utilisation de drones.

Les différents États à travers le monde ont recours aux données de localisation pour trois séries de finalités: premièrement, cartographier la propagation du virus, prédire les zones à risque et aider les autorités à planifier les besoins sanitaires, ce qui comprend une modélisation, une anticipation et une observation à partir de données suffisamment agrégées pour être anonymisées et cesser d'être personnelles ; deuxièmement, faire respecter les mesures prises par les gouvernements, distanciation sociale ou confinement ; troisièmement, retrouver les personnes potentiellement exposées pour les avertir et, si besoin, les inviter à se faire dépister. Cela peut se faire à partir de données retraçant le parcours d'une personne - géolocalisation par GPS - ou simplement ses contacts, et cela peut éventuellement, comme le font certains pays, aller jusqu'à recouper ces données de localisation avec d'autres informations, bancaires, douanières, pénitentiaires ou autres.

Pour atteindre ces trois objectifs, on peut distinguer schématiquement deux séries de techniques : la localisation « individuelle » et la localisation « collective ».

La localisation individuelle est beaucoup utilisée en Asie, au Moyen-Orient et un peu en Europe, mais selon des modalités variables. La Corée du Sud utilise à la fois l'information et le contrôle, puisque le Gouvernement peut ordonner d'installer une application pour vérifier le respect du confinement ; Singapour privilégie le volontariat. Pour ce faire, la technologie Bluetooth permet d'identifier les personnes potentiellement exposées.

La localisation collective a été mise en oeuvre par plusieurs pays européens dont l'Italie, l'Autriche et l'Allemagne. En France, des partenariats entre Orange et l'Inserm, et entre SFR et l'Institut national de recherche en informatique et en automatique (Inria), puis l'AP-HP, ont permis l'utilisation de données anonymisées afin de cartographier la propagation de l'épidémie.

Quelles premières analyses peut-on tirer de ces solutions proposées concernant l'informatique et les libertés ?

Le cadre juridique français, comme européen, vise à garantir la maîtrise maximale des personnes sur leurs données.

La directive dite « e-privacy » de 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques pose, aux termes de ses articles 5 et 9, un cadre très strict : sauf anonymisation, le traitement des données de localisation est soumis au consentement de l'utilisateur. Les dérogations législatives possibles au consentement sont énumérées à l'article 15 de la directive, parmi lesquelles figure la sécurité publique, et s'articulent avec l'article 34 de la Constitution, qui réserve à la loi le soin de fixer les règles concernant les garanties fondamentales accordées aux citoyens. Faute d'accord de l'utilisateur, il faudrait donc vraisemblablement une loi pour mobiliser ces exceptions.

Le RGPD, qui a été introduit dans notre droit en mai 2018, offre lui aussi un cadre juridique strict, avec trois exigences : d'abord, tout traitement de données doit reposer sur une base légale, qui peut être en l'occurrence le consentement de l'utilisateur, comme prévu à l'article 6 dudit règlement, ou encore une mission d'intérêt public ou la sauvegarde des intérêts vitaux des personnes. Concrètement, le traitement des données pourra être fondé soit sur le volontariat, soit en ayant recours à la loi. Ensuite, la deuxième exigence du RGPD concerne plus spécifiquement le traitement des données de santé susceptibles d'être collectées dans de nombreux dispositifs mis en oeuvre pour gérer la crise sanitaire. Le traitement de telles données est en principe interdit, sauf certaines exceptions. Parmi ces exceptions figurent le consentement de la personne ; les nécessités de sa prise en charge sanitaire ; l'intérêt public dans le domaine de la santé publique ; pour les seules personnes dans l'incapacité d'exprimer leur consentement, la sauvegarde de leurs intérêts vitaux ; la recherche peut également constituer une autre exception au principe du consentement ; enfin, les États doivent respecter une série de principes et de garanties, même lorsqu'ils ont des raisons légitimes de limiter certains droits ou d'instaurer certaines obligations, tels que la proportionnalité des données traitées et la sécurité de leur conservation. L'objectif de ces règles est de maximiser la maîtrise des personnes sur leurs données.

Au regard de ce double cadre juridique, e-Privacy et RGPD, la CNIL peut, à ce stade, émettre un faisceau de recommandations, non sur un projet en particulier, mais sur des principes à respecter au-delà de la nécessité de disposer d'un fondement juridique adéquat pour traiter les données.

Tout d'abord, il faut préciser les finalités du traitement à mettre en oeuvre, poser des limites dans le temps et expliquer pourquoi le recours aux données de contact est adéquat - réellement utile pour juguler la crise sanitaire - , nécessaire - faute d'alternative, démontrer qu'il ne s'agit pas d'une solution de confort -, et proportionné. Sur ce dernier point, le Comité européen de la protection des données (CEPD), qui réunit les CNIL européennes, a indiqué que les solutions les moins intrusives doivent toujours être privilégiées.

En outre, cette proportionnalité pourra aussi être évaluée au regard du caractère temporaire, uniquement lié à la gestion de crise, du dispositif envisagé., j'y insiste. Il faut aussi s'assurer, après l'utilisation des données, de leur suppression, en prévoyant une sorte d'obsolescence programmée, même si l'on peut imaginer que certaines informations anonymisées soient conservées pour la recherche.

Il convient également de respecter le principe de « minimisation » des données traitées, en utilisant le moins d'informations nominatives possible ou en les associant à un identifiant unique créé lors de l'installation de l'application, afin d'assurer aux personnes visées la maîtrise sur leurs données.

Pour que le consentement soit valable, il faut que ce soit un consentement éclairé, c'est-à-dire pleinement informé, et qu'il y ait bien absence, en cas de refus, de conséquences négatives - comme cela se produit parfois à l'étranger avec la réduction de la faculté de déplacement ou d'autres libertés civiles. Concrètement, si un refus d'utiliser l'application réduit les libertés de déplacement ou expose à un régime de contrôle, le consentement ne peut servir de base juridique au sens du RGPD.

Enfin, pour garantir les libertés individuelles, il faut privilégier le stockage des données en local sur le terminal de l'utilisateur. C'est ce que semble envisager la France, en s'appuyant sur le Bluetooth et non sur un suivi continu et géolocalisé par GPS. De ce point de vue, la CNIL, qui est un acteur à part entière de la cybersécurité et de la défense de la souveraineté européenne, travaille en étroite collaboration avec l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Le niveau européen est le plus pertinent en matière de protection des données. C'est pourquoi le Comité européen de la protection des données, qui rassemble les autorités nationales, a donné une première grille d'analyse dès le 19 mars dernier. Nos réunions sont désormais hebdomadaires, et elles ont déjà permis de dégager trois priorités : l'utilisation des données de localisation et l'anonymisation de celles-ci - réflexion pilotée par la CNIL -, l'utilisation des données de santé, et le télétravail.

Concernant le premier de ces sujets, nous avons déjà transmis des éléments de réflexion à la Commission européenne, qui devrait publier incessamment une sorte de « boîte à outils ». Le CEPD, quant à lui, publiera au plus tard dans une dizaine de jours ses recommandations.

Il est délicat, pour conclure, d'apporter des réponses précises sur un dispositif dont les contours ne sont pas encore définis, mais le collège de la CNIL est conscient qu'il est urgent de conjuguer efficacité sanitaire et protection des données, afin de donner confiance à nos concitoyens et de susciter une adhésion massive de leur part. Les deux sont indissociables. L'organisation d'un débat parlementaire favorisera la transparence et contribuera à bâtir ce cadre de confiance. La CNIL assurera toutes ses missions d'accompagnement et de contrôle.

La nécessité de bâtir un cadre de confiance est tout l'enjeu de cette discussion. Or nous nous interrogeons sur l'exigence que le dispositif proposé soit « adéquat », pour reprendre vos termes. Quelles conditions cette application doit-elle remplir pour être réellement utile ? Il y va de la sécurité sanitaire et de l'efficacité des actions mises en oeuvre. Pourriez-vous nous apporter des précisions à ce sujet ?

Quant au volontariat, c'est-à-dire au consentement libre et éclairé, il ne faudrait pas que le refus de consentir expose son auteur à des conséquences négatives - comme une réduction de sa liberté d'aller et venir -, sachant qu'il y a la liberté formelle... et la liberté réelle. Quelle serait, par exemple, la liberté d'un salarié espérant pouvoir reprendre le travail face à un employeur qui exigerait de lui, pour d'excellents motifs de prévention sanitaire, qu'il utilise la nouvelle application de traçage de contacts ?

Concernant l'évaluation du caractère adéquat du dispositif numérique envisagé, puisque nous ne sommes pas des spécialistes de la santé publique, nous avons recours à des expertises. En tout état de cause, il faut apprécier l'utilité du dispositif par rapport à un contexte sanitaire évolutif, indépendamment de la question du pourcentage de la population qui serait couvert. Or, ne l'oublions pas, 25 % des Français ne disposent pas d'un ordiphone permettant de télécharger une application, et seulement 44 % des personnes de plus de 70 ans ont un smartphone, contre 98 % des 18-25 ans... D'ailleurs, l'équipement ne résout pas tout, car nombreux sont ceux qui connaissent des difficultés pour télécharger ou paramétrer une application. Il faut aussi tenir compte des zones blanches, et je sais, en tant qu'ancienne membre de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), que le Sénat y est très soucieux.

Selon l'étude de l'université d'Oxford, qui est la seule à ce jour sur le sujet, une telle application devrait couvrir 60 % de la population pour être efficace. Mais la prudence s'impose, car les paramètres sont nombreux et ces conclusions ne prennent pas en compte, alors que c'est absolument indispensable, les réponses sanitaires des gestes barrières, des tests, des masques, pas plus que la situation des personnes qui ont été contaminées ou la proportion, dans les tests sérologiques, des faux positifs et des faux négatifs, et des personnes asymptomatiques.

Par ailleurs, l'efficacité du dispositif dépend du paramétrage de l'application, qui peut varier, notamment pour la distance et la durée de contact à retenir. À Singapour, qui semble être l'exemple le plus proche de la France, avec du Bluetooth et du volontariat, la distance est de moins de 2 mètres pour une exposition de 30 minutes. Le National Health Service (NHS), le service de santé britannique, retient la même distance, mais pour une durée de contact de 15 minutes. Est-ce la même chose de passer au supermarché devant la caissière qui porte un masque et travaille derrière une vitre que de se trouver dans une rame de métro bondée ?

Pour que le consentement soit libre et éclairé, il faut s'assurer d'une information réelle et préalable. L'information générale des médias ou des politiques publiques doit être accompagnée de précisions sur le contenu des données, leur origine et leurs destinataires, leur finalité et la durée de leur utilisation. Tout est question de détail - nous sommes opposés aux cases pré-cochées - car le consentement doit demeurer la manifestation d'un acte clair et positif.

Vous avez fort opportunément souligné la pression sociale qui peut s'exercer sur des salariés qui n'auraient pas téléchargé l'application. Il faut absolument lutter contre ce phénomène, car, je le redis, cette application ne résout pas à elle seule la crise sanitaire que nous traversons : elle pourra seulement y contribuer dans le cadre d'une réponse sanitaire plus globale. En tout état de cause, si des plaintes devaient être déposées, la CNIL les instruirait au plus vite afin de sanctionner les éventuels abus d'employeurs.

Madame la présidente, je vous remercie de votre exposé. Vous avez apporté des éclaircissements sur le caractère volontaire du recours à l'application et la notion de consentement libre et éclairé, mais est-il dès lors possible ou non de prévoir des contreparties, qui ne s'apparenteraient évidemment pas à des contraintes, pour inciter nos concitoyens à télécharger l'application ?

Le recours au traçage des contacts est destiné à briser plus efficacement les chaînes de contamination, en isolant les personnes à risque et en les faisant tester. Pour ce faire, nous devons donc mettre en place une infrastructure sanitaire adaptée. Ce type d'applications numériques sera inopérant sans ces tests systématiques, contrairement à ce que laissent penser les tenants du « solutionnisme technologique ». En termes d'efficacité, les écueils sont nombreux : un nombre réduit de personnes matériellement capables d'installer l'application, l'absence de contrainte, le manque de moyens pour tester la population en fonction des besoins révélés par cette application.

Effectivement, à quoi servirait d'être informé par l'application que l'on a été en contact avec un porteur du virus si l'accès à un test de dépistage est impossible ? En outre, le test devra peut-être être renouvelé pour être efficace, compte tenu des faux négatifs.

Vous avez expliqué les cas où il faudrait selon vous recourir à un texte législatif ad hoc, pour déployer l'application envisagée. Toutefois, en tout état de cause, l'intervention du Parlement ne peut pas se limiter à ce débat. Les travaux que nous engageons aujourd'hui sont essentiels, à l'instar de ceux que mène la CNIL ; nous préparons le cadre de confiance et les garanties qui devront être apportées à mesure que l'application deviendra opérationnelle.

Nous parlons beaucoup des principes : c'est notre rôle. Mais des grappes de questions vont surgir à mesure que nous progresserons dans la pratique. L'exemple des tests de température organisés par certaines entreprises le démontre : tout en invoquant le bon sens, l'inventivité humaine peut aboutir à des initiatives tout à fait préoccupantes.

Au titre des questions techniques, le recours à la technologie Bluetooth semble moins intrusif que la géolocalisation. Mais est-il suffisamment efficace pour effectuer un tracing des contacts ? En Corée du Sud, derrière l'application téléchargée sur un terminal mobile, se trouve une infrastructure humaine considérable chargée d'interpréter les données et de procéder à des appels téléphoniques individualisés. La CNIL s'est-elle penchée sur ces infrastructures en back office, afin de sécuriser le dispositif ?

En outre, comment les personnes disposant de l'application seront-elles prévenues ? Recevront-elles une notification par SMS : « Vous avez été en contact avec un porteur du virus tel jour à telle heure » ? Ou bien allons-nous déployer une « armée » - c'est le terme employé en Corée - de personnes chargées de ce travail ? Dans mon département, ces suivis ont été mis en oeuvre, sans application, dans l'un des premiers clusters, à La Balme-de-Sillingy. Des médecins ou des personnels relevant de l'agence régionale de santé (ARS) ont appelé systématiquement les habitants pour savoir avec qui ils avaient été en contact. Mais un tel dispositif suppose des moyens humains considérables !

Enfin, vous le savez, le Sénat est très attentif aux questions de souveraineté. On déplore souvent l'existence de « licornes » en matière de numérique. Apple et Google risquent de nous proposer des applications clef en main - le Guardian parle également de Palantir. Ne faut-il pas privilégier des entreprises françaises ou européennes, situées de ce côté de l'Atlantique, agissant dans le cadre du RGPD et ayant notre culture de la protection des données ? Il s'agit d'une question très sensible et très politique, mais il faut l'anticiper : avec de tels interlocuteurs, il sera beaucoup plus facile de disposer d'une application respectueuse des libertés. À l'inverse, des groupes très puissants ne seraient peut-être pas sans arrière-pensée.

Monsieur Wattebled, aujourd'hui, les personnes testées positives sont contactées manuellement. On leur demande avec qui elles ont été en contact ; mais un délai de deux ou trois jours peut être nécessaire, et l'on n'est pas à l'abri des imprécisions de la mémoire. Ce travail peut effectivement être mené de manière automatisée, et donc plus rapide. Cette démarche s'inscrit dans une stratégie plus globale, avec des tests réalisés de manière massive. Mais, étant donné les garanties et la confiance qu'il apporte, le facteur incitatif peut être tout à fait important.

Monsieur Hervé, les autorités de santé doivent continuer à jouer tout leur rôle, y compris dans le cadre d'une application comme celle-ci. Le Bluetooth est une technologie de proximité. Il permet de connecter des équipements proches - les oreillettes avec le téléphone, la souris avec l'ordinateur. Au titre de la protection des données, il présente un aspect positif : les données sont chiffrées. L'application crée un identifiant de manière aléatoire, chiffré et - autre garantie de sécurité - stocké sur le téléphone. C'est seulement quand une personne a été testée positive et entre sur l'application que l'autorité de santé lui demande de lui adresser l'historique de ses contacts. En tout cas, c'est ainsi qu'a procédé le ministère de la santé à Singapour.

En France, l'autorité de santé désignée ferait le lien entre l'identifiant, qui n'est pas nominatif, et le numéro de téléphone, qui n'est pas associé à une personne. Ensuite, quel serait son rôle ? Apprécierait-elle la réalité de l'interaction entre les individus, ce qui supposerait bel et bien une infrastructure extrêmement importante, ou se contenterait-elle d'émettre une information ? Je ne suis pas en mesure de répondre à cette question.

M. Le Grand reviendra plus précisément sur les mérites comparés du Bluetooth et de la géolocalisation. Cette dernière technique permet de retracer beaucoup plus précisément le parcours des uns et des autres. Dans certains pays, les titulaires de l'application peuvent être informés que, dans tel immeuble ou dans tel centre commercial, se trouve une personne infectée. Mais ce n'est pas ce qu'envisage la France.

Je sais combien le Sénat est attaché à la souveraineté. J'ai d'ailleurs été auditionnée il y a quelque temps par la commission d'enquête sénatoriale consacrée à la souveraineté numérique. La CNIL est très engagée en matière de cybersécurité ; le RGPD lui donne, à ce titre, des compétences qui ne sont pas suffisamment connues. La CNIL reçoit les notifications de violation des données par les entreprises. Elle joue un rôle d'accompagnement et de contrôle fort, impliquant des analyses d'impact.

Pour ce qui concerne l'hébergement des données, différentes solutions peuvent être envisagées. Le RGPD prévoit le cas de transfert de données ; nous avons les moyens de nous assurer nous-mêmes de ce qui se passe concrètement, tant que c'est en France ou en Europe. Nous pouvons également contrôler physiquement la suppression des données sur un serveur central, soit en France, soit en Europe, avec l'aide de nos homologues. Ce qui compte, c'est que l'on maîtrise l'architecture technique d'un tel dispositif.

Vous avez évoqué les annonces récentes de Google et d'Apple. On peut y voir un point très positif : ces deux entreprises, disposant d'un quasi-monopole des ordiphones - iphones et smartphones sous Android -, se parlent et cherchent à faire dialoguer leurs téléphones respectifs dans l'hypothèse d'un suivi des personnes. Mais les pouvoirs publics doivent suivre ces questions de très près, en plaçant d'emblée la protection des données au premier rang des préoccupations. À ce stade, je me garderai bien de dire si ce qui est envisagé est conforme ou non au RGPD. Quelles seront les données collectées ? Quelles seront celles qui remonteront vers un serveur central, même pseudonymisées ?

Une des vertus annoncées de l'application, c'est de faciliter, voire d'automatiser la recherche des contacts, par opposition à un travail reposant sur la seule mémoire.

De surcroît, le Bluetooth a l'avantage de détecter la proximité avec d'autres utilisateurs sans avoir recours à un pistage GPS des individus en les géolocalisant. On peut tout à fait concevoir l'application pour révéler qu'une exposition potentielle a eu lieu sans dévoiler précisément que c'est telle personne qui vous a exposé à tel moment. Cette information n'est d'ailleurs pas nécessaire.

L'anonymisation est sans doute souhaitable. Néanmoins, dans la pratique, celui qui recevra l'information ne sera pas forcément en mesure de la replacer dans son contexte. Si l'on ne sait pas à quelle heure on a été exposé, on ne peut pas évaluer le degré de dangerosité de cette exposition.

La technique doit effectivement être mise en regard des besoins sanitaires. L'objectif de cette alerte est-il d'informer la personne, pour qu'elle adopte des mesures barrières avant d'être testée ? Ou est-il plutôt de la rappeler par téléphone pour la guider ? Selon les cas, les données traitées ne seront pas les mêmes.

Il faut définir clairement ces objectifs ; c'est en fonction d'eux que l'on pourra construire une architecture plus protectrice des libertés individuelles. Ainsi, en vertu d'une architecture décentralisée, la liste des contacts tracés reste sur le téléphone et ne remonte qu'à partir du moment où l'on est diagnostiqué positif.

Quant à Apple et Google, ils suggèrent une action en deux temps : dans un premier temps, ils proposeraient des interfaces de programmation d'application (API) - Application Programming Interface - à ceux qui développeraient les applications. Ainsi, l'interopérabilité entre téléphones serait-elle améliorée. Dans un second temps - ces entreprises n'ont pas donné de date précise -, ces possibilités de traçage pourraient être intégrées directement aux systèmes d'exploitation. Nous sommes en train d'étudier ces questions, en liaison avec nos homologues européens.

Ces explications de la CNIL ont plutôt tendance à m'inquiéter : au lieu de présenter les avantages et les inconvénients d'une telle solution technique, pour que le politique puisse se prononcer, on nous explique comment obtenir une application conforme au RGPD.

Ainsi envisagée - et il y aura, quoi qu'il en soit, des stratégies d'évitement -, l'application traque-t-elle les appareils téléphoniques, les numéros de téléphone, ou les deux ?

Bluetooth serait moins intrusif que le GPS. Mais si l'on place des téléphones à quelques endroits stratégiques, on peut recréer de véritables bornes de géolocalisation. D'ailleurs, la CNIL a-t-elle déjà eu à traiter des fichiers construits sur la base de données obtenues par Bluetooth ?

L'usage d'une telle application est censé être volontaire. Mais des entreprises ou des collectivités territoriales pourraient imposer à toutes les personnes entrant dans tel ou tel lieu d'en disposer. Qui pourrait sanctionner de telles démarches de conditionnalité forcée ? Est-ce la CNIL ? Ce pouvoir de sanction doit-il être prévu dans la loi ? Face à cette pandémie, certains pays d'Europe ont déjà rendu obligatoires des applications de géolocalisation. Le RGPD le permet. La CNIL envisage-t-elle d'aller jusque-là ?

Enfin, des fichiers créés au nom de la sécurité publique ont déjà été détournés par le passé. Il peut en être de même pour les fichiers établis au nom de la sécurité sanitaire. Peut-on se permettre de prendre un tel risque avec une application de cette nature ?

Ne craignez-vous pas qu'avec cette application les malades ne soient incités à cacher leurs symptômes aux services de santé ? En parallèle, les personnes disposant d'une telle application pourraient éprouver un faux sentiment de sécurité et, dès lors, se relâcher dans l'application des gestes barrières.

L'objectif de cette application, c'est d'alerter les personnes ; par essence, elle me semble donc incompatible avec la notion juridique d'anonymat.

Madame la présidente, vous le dites avec raison : il n'y a pas de décision technique pertinente indépendamment de la connaissance d'une foule d'autres paramètres - médicaux, sociologiques, portant sur les moyens humains, financiers, industriels, etc.

À votre connaissance, existe-t-il un lieu où coordonner les obligations des uns et des autres ? Ces échanges peuvent-ils avoir lieu ailleurs que dans la presse ? C'est l'un des aspects les plus critiquables de notre organisation. Chacun, de son côté, s'efforce de trouver des solutions, mais il faudrait un dispositif permettant de confronter les points de vue pour aboutir à une solution efficace tout en garantissant le respect des libertés.

L'enjeu, c'est le caractère utile, nécessaire, proportionné et surtout temporaire du traçage des contacts ; c'est à cette condition que l'on obtiendra un cadre de confiance. Mais comment garantir ce caractère temporaire ? Peut-on véritablement s'assurer que les données seront effacées ?

Monsieur Leconte, si cette application est fondée sur le Bluetooth, il ne s'agit pas de géolocalisation. Certains pays proposent un « mix » entre différentes technologies ; mais, en France, ce n'est pas du tout ce que les annonces esquissent.

La CNIL a bien l'expérience de traitements de données de ce type : ainsi, pour la gestion de files d'attente dans les aéroports ou de panneaux publicitaires - il s'agit, dans le second cas, de mesurer l'audience sans pour autant identifier les personnes qui sont passées devant ces panneaux. Le traitement des données échangées par Bluetooth ne nous est donc pas inconnu.

Ce n'est pas la CNIL qui décide de la mise en oeuvre de ce dispositif. En tant que gardienne numérique indépendante de la vie privée des Français, elle est là pour s'assurer que la protection des données personnelles est garantie de la meilleure manière possible.

Madame Benbassa, l'agrégation des données peut être telle que ces dernières finissent par être anonymisées - ainsi du service « Flux Vision » proposé par Orange ou par SFR, qui a pour objet de cartographier l'épidémie en vue d'une réponse sanitaire.

Lorsque l'application serait téléchargée, un pseudonyme serait créé. En outre, la ré-identification de la personne ne serait pas possible - c'est un point essentiel. L'application conçue à Singapour ne permet pas à celui qui effectue la mise en relation de savoir à qui appartient le numéro de téléphone.

Monsieur Collombat, le débat sur le concept même de traçage et sur sa mise en oeuvre témoigne de la vigueur de l'attachement des Français pour les libertés ; il n'en est pas forcément de même dans tous les pays.

Les autorités compétentes se coordonnent, chacune étant dans son rôle. Nous avons ainsi un partenariat de longue date avec l'Inria, qui coordonne les initiatives dans ce domaine en liaison avec nos partenaires européens, notamment suisses et allemands. Notre seul prisme, c'est de privilégier les solutions les plus protectrices de la vie privée. Nous sommes également en liaison avec le secrétariat d'État au numérique. Bien sûr, le Parlement a lui aussi un grand rôle à jouer.

Si cette application voit le jour, toutes les autorités concernées devront être associées au travail de contrôle, à commencer par la CNIL : c'est sa mission même. Je pense aussi à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et je n'oublie pas le contrôle parlementaire. En la matière, la coordination devra être particulièrement forte.

Madame Mercier, cette application doit effectivement rester temporaire. C'est précisément pourquoi elle doit pouvoir être désinstallée. Le consentement en dépend également. Des dispositifs exceptionnels, mis en oeuvre dans des circonstances exceptionnelles, ne sauraient perdurer. Or, par le passé, on a bel et bien observé une tendance à prolonger les mesures d'urgence, voire à les introduire dans le droit commun : il faut être extrêmement vigilant et éviter la banalisation de ces technologies aux yeux de leurs utilisateurs. Une application de ce type doit être limitée au temps strictement nécessaire pour juguler la crise. La CNIL a l'habitude de s'assurer que des données ont été effectivement supprimées au moment où elles doivent l'être, en particulier par des contrôles effectués sur les fichiers in situ.

Le Bluetooth n'est pas une technologie nouvelle. Il est employé dans des dispositifs de mesure d'audience ou de fréquentation de lieux ouverts au public. Il s'agit d'une carte réseau insérée dans le téléphone, dont l'identifiant spécifique est détecté par d'autres appareils Bluetooth à proximité ; ce dispositif n'est pas fondé sur les nom et prénom du propriétaire de l'équipement ni sur le téléphone lui-même.

Qu'en est-il des sanctions à l'égard d'entreprises qui porteraient atteinte à la liberté de leurs salariés en leur imposant l'usage d'une telle application ?

En outre, selon la nature de l'information fournie, le bénéficiaire du dispositif ne pourrait-il pas parfois déduire sans difficulté qui l'a contaminé ? Il faut pourtant préserver l'anonymat de la personne source éventuelle de la contamination.

Apple et Google sont, de fait, en situation de duopole sur le marché des smartphones, Google exerçant une forte domination. Leur initiative se fonde sur la technologie Bluetooth, sur les API et sur la cryptographie. Elle a été saluée par le contrôleur européen de la protection des données. Mais cette technique ne pose-t-elle pas problème ? Ne vaut-il pas mieux que la France ou l'Europe soient autonomes en la matière ? L'interopérabilité de ces deux systèmes pourrait aboutir à une limitation des libertés.

Vous avez évoqué les limites de l'équipement numérique des Français et le problème des zones blanches. En France, la fracture numérique persiste. Avec un tel système de traçage, n'organiserons-nous pas une inégalité de traitement entre citoyens ?

En outre, qu'en est-il de cette population très nombreuse et en général asymptomatique que sont les mineurs ? Le traçage pourra-t-il s'appliquer à eux ?

Connaissez-vous dès à présent le calendrier de la saisine de la CNIL par le Gouvernement sur un projet de dispositif ? Avez-vous reçu des informations précises sur ce qu'envisage le Gouvernement ?

Nous n'avons pas reçu de projet finalisé ; la décision n'est apparemment pas arrêtée. Mais le déconfinement est programmé à partir du 11 mai prochain et il nous faut, au strict minimum, une semaine pour analyser un tel dispositif ; le collège de la CNIL doit en prendre connaissance, puis nous devons en débattre, rendre et rédiger un avis. Plus nous aurons de temps, mieux ce sera.

La CNIL a tout à fait l'habitude de prononcer des sanctions à l'égard d'entreprises ou d'organismes publics : injonctions, mises en demeure, sanctions financières, etc. Elle dispose d'un service des plaintes très développé, de dizaines de contrôleurs, à la fois juristes et techniciens ; elle comprend une formation restreinte - sorte de commission des sanctions - qui peut se réunir très vite, dans le cadre d'une procédure contradictoire. Moi-même, en tant que présidente, je peux prononcer une mise en demeure. Nous disposons donc de moyens juridiques forts.

Sauf erreur de ma part, ce dispositif ne permettra pas de connaître l'horaire et le lieu de l'exposition à une personne contaminée ; je le dis sous réserve de l'architecture qui sera retenue. Cela étant, l'enjeu de ré-identification n'est pas le même si vous recevez une alerte après avoir croisé quatre personnes en quinze jours dans une commune rurale ou après avoir pris les transports en commun dans une grande ville.

Monsieur Kerrouche, vous évoquez en fait la position du contrôleur de la protection des données des instances de l'Union européenne : les CNIL européennes n'ont absolument pas donné un blanc-seing ou un satisfecit à Apple et à Google pour leur initiative. Il est positif que ces deux entreprises en situation de quasi-duopole rendent, dans le cadre d'une telle application et via Bluetooth, les téléphones interopérables. Mais il faut que nous en sachions plus quant à la protection des données ; et cette solution doit rester tout à fait ponctuelle. Elle doit être liée à cette seule crise.

Apple et Google ont publié trois documents techniques à la suite des annonces de vendredi dernier : les autorités de protection des données sont en train de les analyser à l'échelle européenne. La première phase, à savoir la mise à disposition d'API, pourra faciliter le déploiement des applications développées par les différents pays. La seconde phase serait, à plus long terme, l'intégration dans le système d'exploitation.

Un certain nombre de fonctionnalités ont été mises en avant en matière de protection des données, sur la base du consentement de l'utilisateur, ou opt-in. Les données seraient conservées pour une durée limitée, à savoir quatorze jours. Pour la détection de proximité, la correspondance s'effectuerait sur le terminal. J'utilise volontairement le conditionnel : ce sont autant de questions que nous sommes en train d'analyser avec nos homologues.

À l'échelle européenne, nous travaillons également à l'élaboration d'un document plus global, détaillant la manière dont nous concevons de tels outils de contact tracing. Ce document sera publié prochainement.

Enfin, madame Troendlé, le fait que beaucoup de mineurs soient asymptomatiques complexifie effectivement la donne.

Merci d'avoir éclairé la réflexion du Sénat sur ces questions infiniment complexes.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Monsieur Delfraissy, votre audition, qui fait suite à celle de la présidente de la Commission nationale de l'informatique et des libertés (CNIL), portera sur l'utilisation de l'application appelée « Stop Covid » dans la lutte contre le virus Covid-19. Deux questions essentielles se posent : en quoi ce dispositif est-il utile, et sous quelles conditions ? Comment s'assurer que le développement de cet outil se fera dans le respect du volontariat, c'est-à-dire du consentement libre et éclairé, et de l'anonymat ?

Je salue également M. Aymeril Hoang, qui a récemment rejoint le comité de scientifiques pour guider les décisions de celui-ci sur les questions relatives au numérique.

Il est fondamental que le Parlement puisse dialoguer avec le comité de scientifiques. Je m'attacherai à montrer que l'outil numérique n'est qu'un des éléments de la réponse que nous devons apporter. M. Hoang, quant à lui, répondra aux questions plus spécifiques sur cet outil.

Nous devons faire preuve d'une extrême humilité quand nous parlons de ce virus, car il y a beaucoup de choses que nous ne savons pas.

Le confinement a un double objectif.

Le premier est de réduire le nombre de personnes en service de réanimation, afin que le système de soins puisse tenir le choc face à l'afflux du nombre de malades. Sur ce point, nous allons plutôt dans le bon sens : nous constatons, non pas encore une décroissance de la mortalité - les chiffres ne bougeront pas avant une dizaine ou une quinzaine de jours -, mais bien déjà une baisse régulière du nombre de personnes admises en réanimation.

Le second est de ralentir l'épidémie pour que, à la sortie du confinement, l'indice R0, qui retrace la capacité moyenne d'une personne contaminée à infecter d'autres personnes, ait suffisamment baissé. Nous pourrions ainsi, à partir de la mi-mai, adopter une stratégie à la coréenne. Là aussi, les chiffres sont encourageants. Au début du mois de mars, le R0 était très élevé, de l'ordre de 3,4 ou 3,5. La France aurait pu être dans la situation plus favorable de l'Allemagne s'il n'y avait pas eu le foyer de contamination de Mulhouse - le cluster de l'Oise a lui été en partie mieux contrôlé. Le R0 est aussi très variable selon les régions, pour des raisons que nous ne comprenons encore pas bien. Nous ne savons ainsi pas pourquoi le Sud-Ouest a un R0 aussi faible...

Le confinement a donc permis de faire baisser le R0, qui pourrait, d'après les modèles, être de 0,7. On peut alors estimer le nombre de nouvelles contaminations, donnée dont nous avons besoin pour savoir quels outils mettre en place pour tracer et isoler les nouveaux malades. Ce nombre est très difficile à déterminer : nous n'avons pas jusqu'à présent suffisamment de tests pour mesurer directement les contaminations, c'est notre grande différence avec d'autres pays ; on peut donc plutôt procéder à des calculs théoriques, d'après des modèles ; on peut enfin compter le nombre de personnes admises en réanimation, ce qui suppose qu'elles ont été infectées, sachant qu'il existe un ratio entre personnes contaminées dans la population générale et personnes nécessitant des soins en réanimation.

Sur ces bases incertaines, on estime, et le chiffre n'est pas consolidé, que le nombre de nouvelles contaminations serait de 10 000 ou 15 000 par jour à partir de mi ou fin mai - mes collègues modélisateurs seraient horrifiés de m'entendre avancer ce chiffre, mais il faut bien « se mouiller ». Même grossière, cette mesure nous permet de nous rendre compte des outils qu'il faudra mettre en face pour dépister et isoler les malades, et pour retracer leurs contacts. Si ce chiffre était de 150 000, aucun outil numérique n'y suffirait !

Le modèle montre que l'épidémie se réduit, mais qu'elle est loin d'avoir disparu et qu'il reste beaucoup d'inconnues. Ainsi, toutes les grandes épidémies se calment à l'été et reprennent en septembre, pour des raisons que ne sont pas encore bien élucidées. Le climat et l'humidité doivent jouer. Mais on constate aussi de grandes disparités régionales : le nombre de nouvelles contaminations sera toujours plus important en région parisienne, qui est partie d'un chiffre plus élevé, que dans le Sud-Ouest, ce qui soulève la question des communications interrégionales à la fin du confinement.

De façon extrêmement schématique, la population française se divisera en trois catégories lors de la sortie du confinement.

D'abord, les personnes qui ont le plus de risques de développer une forme grave : les personnes âgées de plus de 65-70 ans, dont je fais partie ; celles qui souffrent d'affections de longue durée ; et les sujets jeunes ayant une pathologie, mais aussi obèses, puisque l'obésité est un facteur d'aggravation de la maladie. Ce groupe représente environ 17 à 18 millions de personnes, qui devront - ce n'est pas un scoop - rester confinées. Pour combien de temps ? Je ne sais pas.

Ensuite, pour les 50 millions de Français plus jeunes, qui peuvent développer un Covid dans des conditions « raisonnables », se pose la question de la remise en activité. Les plus jeunes constituent une catégorie à part.

Enfin, il y a 1 million de personnes « fragiles » - SDF, personnes en grande précarité, migrants -, sur lesquelles il existe très peu de données. La présidente de la CNIL évoquait le fait que 18 % des personnes sont hors du numérique dans notre pays, parmi lesquelles les personnes âgées - elles resteront confinées -, les migrants et les SDF.

Quel sera le pourcentage de Français qui auront déjà été contaminés par le Covid-19 lorsque nous sortirons du confinement ? Nous disposons des données préliminaires grâce aux sérologies qui permettent de distinguer les personnes séronégatives et les séropositives. Début mars, nous ne faisions aucun test sérologique ; actuellement, nous en sommes à 3 000 ou 4 000 par jour, réalisés avec des tests de l'Institut Pasteur ou de laboratoires de recherche. De nombreux tests commerciaux sont en cours d'évaluation. Nous pourrons ainsi parvenir à en réaliser 200 000 ou 300 000 par jour. Je croyais encore il y a quelques semaines que ces tests seraient un élément fondamental pour distinguer les séropositifs protégés des séronégatifs non protégés. Mais il me faut apporter aujourd'hui des bémols importants, qui apportent des limites aux outils technologiques.

Dans les régions qui ont été les premières touchées, comme l'est de la France ou l'Oise - mais les résultats sont les mêmes en Chine ou en Italie -, on constate que le taux d'immunité populationnelle est faible : il n'est que de 10 à 12 %. La première vague du virus n'a donc contaminé qu'une fraction limitée de la population.

Par ailleurs, on se demande si une personne qui a déjà été contaminée est vraiment protégée ensuite contre le virus. Nous ne savons pas si les anticorps constituent une protection absolue. Il existe peut-être un réservoir pour ce virus, qui pourrait connaître un phénomène de réactivation.

Pour résumer : le virus va donc continuer à « tourner », mais de façon nettement ralentie, avec des disparités selon les régions. L'immunité populationnelle est relativement basse et la présence d'anticorps, que nous pourrons mesurer avec les tests, n'est pas une garantie.

Lors du déconfinement, nous ne passerons pas du noir au blanc, mais plutôt du noir au gris foncé. Il va falloir du temps, et la ligne d'horizon se situe plutôt vers la mi-juillet. Nous devons nous inscrire dans une démarche de « step by step ».

Les chiffres prévisionnels nous permettent d'envisager une stratégie à la coréenne, c'est-à-dire un testing de toute personne présentant le moindre symptôme, voire de tout individu voulant être testé. Certains voudraient que l'on teste toute la population, mais cela n'est pas faisable ! Néanmoins, le testing doit être extrêmement large. Début mai, nous en serons à 100 000 tests PCR par jour. Il faudra peut-être même aller plus loin. On évoque le tracing, mais le numérique doit aussi servir pour le rendu des résultats. Comment rendre 100 000 résultats par jour ? C'est un défi de logistique sanitaire, d'autant que ces résultats sont à la fois donnés à un niveau individuel, avec une signature par un biologiste, et remontés au niveau national, pour mesurer l'immunité populationnelle ou le nombre de personnes infectées.

Nous publierons dans quelques semaines un avis sur les stratégies de déconfinement, mais il est certain que celui-ci nécessite des prérequis techniques et opérationnels.

L'interprétation de ce qui a été fait en Corée du Sud relève parfois du fantasme. Il ne faut pas laisser croire au grand public que le numérique permettrait de tout régler. Ce pays a certes utilisé le numérique, mais il avait également une brigade de 20 000 personnes pour « traquer » les malades et leurs contacts, examiner leur situation afin de voir s'il était possible de les laisser en famille ou s'il fallait les isoler... Il y avait donc beaucoup d'humain derrière l'outil numérique, et nous n'avons pas cela en France. Si l'on veut que le numérique marche dans notre pays, il nous faut une telle « brigade ». Sans cette force humaine, nous courrons à l'échec.

Je vous remercie d'avoir exposé de façon synthétique les principales problématiques. J'apprécie que vous ayez commencé et conclu votre propos par cette mise en garde : un dispositif unique, aussi intelligent soit-il, n'est pas suffisant. Un ensemble de mesures est nécessaire pour encercler et réduire l'épidémie.

Je passe la parole à M. Hoang, pour évoquer les questions plus spécifiquement liées au numérique.

Le numérique, dans cette crise sanitaire, ne peut être qu'un outil en appui de l'humain, au service des professionnels de santé, pour les aider à accomplir leur mission face à la virulence du virus et à sa vitesse de propagation. Le numérique leur permet d'aller vite et de traiter des volumes importants, à tous les stades du parcours de soin.

Premier exemple, lorsqu'une personne présente des symptômes et pense avoir contracté le virus, elle a spontanément tendance à appeler le SAMU pour être orientée. Cependant, si tout le monde le fait en même temps, le système est saturé. C'est pourquoi un consortium privé et public a rédigé un questionnaire d'une trentaine de questions, accessible en ligne, sur le site maladiecoronavirus.fr, qui permet à chacun d'obtenir une recommandation précise en fonction de ses réponses. Le numérique répond ainsi à ce besoin de vitesse, d'accessibilité et de volumétrie, tandis que les personnes qui ne sont pas à l'aise avec un tel système pourront toujours appeler directement un médecin parce que, grâce à ce site, le serveur téléphonique ne sera pas saturé.

Le numérique permet aussi d'accompagner le déploiement des tests de dépistage à grande échelle. L'enjeu est de transmettre rapidement les résultats des tests aux personnes concernées pour qu'elles puissent prendre les dispositions qui s'imposent, être orientées correctement par les pouvoirs publics et les autorités sanitaires, savoir si elles doivent rentrer chez elles, au risque de contaminer leurs proches, si elles doivent aller ailleurs, etc. À ce stade, l'accompagnement humain est fondamental.

Ensuite, se pose la question du suivi des malades sans, là encore, saturer le système de soins. L'AP-HP a mis en place une application de télésuivi à domicile, Covidom, qui permet aux malades dont l'état ne nécessite pas d'hospitalisation d'être en relation continue avec leur médecin à domicile. Une application similaire, l'Ange Gardien, a été créée à Bordeaux.

Ainsi, le numérique vient épauler les professionnels de santé à toutes les étapes et aide notre système de santé à passer le cap, en termes de volumes, pour traiter nos concitoyens à grande échelle.

Il reste un trou dans la raquette : la détection des cas positifs, qui ne savent pas qu'ils sont malades, car le virus est encore en période d'incubation, mais qui sont néanmoins contagieux, ainsi que des cas contacts, c'est-à-dire les personnes qui ont pu être contaminées parce qu'elles ont été en contact avec une personne malade. L'enjeu est de les identifier le plus rapidement possible pour les accompagner et leur permettre de prendre les bonnes décisions pour elles-mêmes, leurs proches et la société. Or notre force sanitaire n'est pas dimensionnée pour faire face à la virulence de ce virus et prendre en charge le nombre de personnes contaminées. Elle a pu être à la hauteur à l'échelle d'un lycée dans l'Oise ou dans un village, comme les Contamines-Montjoie, mais elle n'existe pas au niveau national. Il convient donc de la créer, mais ce n'est pas mon rôle, et de l'équiper de solutions technologiques pour qu'elle puisse intervenir à l'échelle requise : c'est l'intérêt du numérique.

Nous avons regardé ce qu'ont fait les pays qui ont, selon des modalités d'ailleurs variables, mis l'accent sur l'identification et l'accompagnement des cas contacts, comme Taïwan, la Corée du Sud, la Chine, le Vietnam, Israël, Singapour, etc. Beaucoup de pays d'Asie du Sud-Est, instruits par l'épidémie de SRAS - syndrome respiratoire aigu sévère - de 2003, ont ainsi tout de suite pris des mesures pour garantir la continuité entre le moment où une personne est testée positive et sa prise en charge par le système de santé. Ils ont ainsi déployé une palette de réponses, en termes de santé publique et de police sanitaire, pour isoler au plus vite les personnes : en Corée du Sud ou en Israël, les malades sont confinés à domicile ; au Vietnam, ils sont placés dans des centres de rétention sanitaire. Plusieurs solutions ont ainsi été mises en oeuvre. Dans certains cas, le consentement des personnes n'est pas demandé, la solution s'appuyant sur l'outil de géolocalisation par GPS, une surveillance particulièrement intrusive des smartphones. Cela nous semble éloigné de ce que nous voulons faire. Les chercheurs en épidémiologie qui ont publié des articles montrant l'importance du traçage des cas contacts par le biais des solutions numériques - je pense notamment à un article de référence d'une équipe de l'université d'Oxford - n'ont jamais envisagé la géolocalisation. Singapour a mis en oeuvre une solution proportionnée et minimaliste, qui correspond au besoin exprimé par les autorités sanitaires de disposer d'outils pour renforcer l'efficacité opérationnelle des forces sanitaires : cela permet à une personne de savoir qu'elle a pu éventuellement être contaminée en raison de sa proximité avec un cas positif, afin qu'elle puisse aisément entrer en relation avec les autorités sanitaires pour être suivie. Ainsi, c'est en nous appuyant sur les recommandations des chercheurs et en nous inspirant de ce qui a été mis en place à Singapour que nous avons commencé à travailler sur une application, sous le pilotage des autorités de santé.

« Nous ? » Vous parlez du conseil de scientifiques ?

Non...

Ma question vise à lever une ambiguïté dans votre propos. Le comité a pour fonction d'éclairer le Gouvernement. Il n'est pas un laboratoire d'étude ni de mise au point des dispositifs.

Vous avez raison. J'ai une double casquette. Au sein du comité de scientifiques, j'ai pour mission d'éclairer mes collègues sur le numérique, ses aspects théoriques et pratiques, afin de les aider à prendre leurs décisions, qui sont fondées sur l'état de la science médicale et épidémiologique.

Le comité de scientifiques est pluridisciplinaire réunissant des chercheurs en sciences fondamentales, des cliniciens, des spécialistes des sciences humaines et sociales, etc. Ses membres ont été nommés en plusieurs fois. En particulier, la loi relative à l'état d'urgence pour faire face à l'épidémie de Covid-19 prévoit qu'il comprend deux personnalités qualifiées nommées par le Président de l'Assemblée nationale et le Président du Sénat, ainsi que des personnalités qualifiées nommées par décret. J'ai souhaité, à cette occasion, que soit nommé un représentant de la société civile - le Président du Sénat a suivi ma recommandation - et quelqu'un susceptible de nous éclairer sur les aspects numériques, M. Aymeril Hoang. Or, en même temps que je le sollicitais, celui-ci a été contacté par le secrétaire d'État au numérique pour coordonner une mission sur le suivi numérique des personnes.

Le 18 mars, j'avais déjà spontanément commencé, à titre personnel, à observer ce qui se passait en Corée du Sud. J'ai rédigé une note de synthèse que j'ai envoyée au professeur Delfraissy, avec qui j'avais eu l'occasion de travailler dans le passé, et au cabinet de Cédric O. Les deux m'ont alors contacté de façon concomitante, à une époque où l'administration était mobilisée pour surmonter la crise immédiate et où l'on ne pensait pas encore beaucoup au déconfinement. Le traçage des contacts ne fonctionne que lorsque l'épidémie est maitrisée et que le nombre de cas est limité.

À quel titre exercez-vous dès lors votre travail au secrétariat d'État ? Pouvez-vous nous rappeler quel est votre statut ?

J'ai d'abord été missionné par le directeur de cabinet adjoint du Premier ministre, le 24 mars, pour continuer les études à titre de personnalité qualifiée bénévole ; puis j'ai reçu une lettre de mission du directeur de cabinet du Premier ministre, le 30 mars, à titre de personnalité qualifiée bénévole, comme conseil scientifique, pour éclairer l'État et ses services sur la situation ainsi que coordonner l'expression des besoins de la communauté scientifique et le suivi des projets numériques, afin que des solutions numériques émergent de l'écosystème numérique français, public ou privé. C'est à ce titre que j'interviens de manière très concrète sur le développement d'une application de traçage numérique.

Le conseil de scientifiques est donc aux premières loges puisque l'un de ses membres est aussi chargé de configurer le dispositif numérique susceptible d'être mis en place ! Je vous laisse poursuivre et nous en dire davantage sur ce système.

Quand j'ai commencé à travailler sur ces sujets, un projet européen était déjà en cours sur des bases très proches de ce qui avait été fait à Singapour : renforcer l'efficacité sanitaire tout en protégeant les données personnelles et l'anonymat, en veillant à la proportionnalité des technologies utilisées. J'ai invité l'Inria à prendre contact avec les acteurs de ce projet et avec les acteurs privés qui s'étaient manifestés pour travailler sur ces questions. Nous sommes assez rapidement arrivés à la conclusion que le projet était pertinent et susceptible de répondre à un certain nombre d'attentes sanitaires ainsi qu'aux attentes de transparence et de respect des libertés fondamentales. C'est ainsi que le projet a commencé.

L'Inria travaille avec le Fraunhofer Heinrich-Fertz Institut en Allemagne et l'École polytechnique de Lausanne pour mettre au point le protocole d'une application. Celle-ci n'utiliserait que le Bluetooth, ne demanderait aucune donnée personnelle, ni l'état civil ni même, pour l'instant, le numéro de téléphone. A-t-on besoin du numéro téléphone pour une application sanitaire ? La question n'est pas encore tranchée. Cette application serait installée par les personnes sur la base du volontariat. Elle enregistrerait, de manière anonyme, les personnes qu'elles ont croisées, selon certaines conditions, qualifications, que la communauté scientifique doit encore préciser. Des équipes de l'Inserm, de l'Institut Pasteur, de Santé publique France et du ministère de la santé travaillent sur ce sujet. Comment, en effet, doit-on définir un contact ? À quelle distance les personnes doivent-elles avoir été l'une de l'autre : un mètre ? Deux mètres ? Pendant combien de temps ? Il faut aussi tenir compte des situations : les gens se font-ils face ou sont-ils dos à dos ? Portent-ils des masques ?

Le téléphone enregistrera les identifiants anonymes des personnes rencontrées. Ces données resteront sur le téléphone. Si, à un moment donné, une personne qui a été testée positive le déclare dans son application, le protocole prévoit que l'ensemble des identifiants anonymes des personnes qu'elle aura croisées sera remonté sur un serveur et que ce serveur informera ces personnes, qui deviendront alors des cas contacts, via leur application. Les Allemands et les Suisses n'avaient pas travaillé sur un système de ce genre, et d'ailleurs, Google et Apple non plus. Le statut de séropositivité d'une personne n'est ainsi jamais transmis : il reste sur le téléphone respectif de chaque utilisateur et peut être supprimé à tout moment par lui. Ce qui importe, c'est que les cas contacts soient bien informés qu'ils ont été potentiellement contaminés pour qu'ils puissent se faire tester et prendre les mesures d'isolement qui s'imposent pour stopper la chaîne de transmission du virus.

Comment déclencher le processus d'information des personnes qui ont été en contact avec un malade, si le statut de séropositivité n'est jamais transmis au serveur central ?

Il n'est pas nécessaire de transmettre le statut de séropositivité au serveur pour informer les personnes concernées, il suffit de lui transmettre les identités anonymes des personnes ayant été en contact qui doivent, elles, recevoir une notification. J'en profite, d'ailleurs, pour saluer le travail des équipes de l'Inria qui ont imaginé ce protocole et convaincu les Allemands de l'adopter.

Que leur notifie-t-on alors ?

On leur notifie qu'elles ont été en contact qualifié avec une personne qui vient d'être testée positive et qu'elles risquent donc d'avoir été infectées. En revanche, elles ne savent pas de qui il s'agit, et d'ailleurs le serveur ne le sait pas non plus ; elles ne savent pas non plus ni quand, ni où - parce que le GPS n'est pas utilisé. Bref, on ne sait rien, sinon que l'on est peut-être positif et que, pour se soigner et protéger ses proches, on doit prendre sans tarder les dispositions qui s'imposent pour stopper la chaîne de transmission du virus, et réduire ainsi ce fameux R0.

Ainsi, n'est transmise aucune autre information que le fait d'avoir été en contact avec une personne positive dans des conditions et pendant une durée qui est paramétrée par l'application. On ne sait ni quand ni où ni dans quelles conditions.

Absolument. Ces informations ne serviraient à rien du point de vue sanitaire.

Comment réagira la personne en recevant cette notification selon vous ?

En ce qui concerne les mesures générales de sortie du confinement, le comité de scientifiques plaide pour une tentative d'harmonisation européenne. Si l'on doit recourir à des approches technologiques, il serait judicieux qu'elles ne soient pas trop différentes d'un pays à l'autre. Ensuite, nous devons bien distinguer la différence entre les décisions politiques, leur acceptabilité par les citoyens et la réalité de ce qui se passe sur le terrain. Au fond, il en va de même, en médecine, entre le traitement prescrit par le médecin, son acceptation par le patient et sa plus ou moins grande observance. Présenter, sur ce sujet sensible, une solution partagée entre deux ou trois grands pays européens, qui ont des cultures, des visions et des situations différentes, permettrait probablement de montrer à nos concitoyens, qui, légitimement, vont se poser un certain nombre de questions, que le dispositif qu'on leur propose ne résulte pas seulement d'une décision du gouvernement français, mais qu'il a été élaboré avec plusieurs États et qu'il est proposé, en même temps, aux Allemands ou aux Suisses. Cela renforcerait son acceptabilité : celle-ci serait plus importante que si l'on présentait uniquement cette stratégie comme une stratégie à la française, comme on sait le faire d'habitude... Profitons-en pour jouer un peu la carte de l'Europe, qui, jusqu'à maintenant, il faut en convenir, a été peu au rendez-vous de cette crise, au moins sur les aspects sanitaires.

Cette proposition rejoint aussi la recommandation du comité de scientifiques relative au double volontariat : la liberté, d'abord, de charger ou non l'application ; puis le volontariat dans la transmission du fait qu'on l'on a été diagnostiqué positif - et non pas séropositif, soyons précis, car ce n'est pas exactement la même chose. Je rappelle à cet égard qu'il existe deux types de tests : les tests par RT-PCR sont des tests virologiques de nature à rechercher la présence du virus sur une personne qui pense avoir des symptômes, par le biais d'un prélèvement nasal, afin de détecter l'acide ribonucléique (ARN) viral. Les tests sérologiques, de leur côté, visent à détecter, par une prise de sang, la présence d'anticorps, montrant que la personne a été, à un moment donné, en contact avec le virus. En l'occurrence, nous évoquons l'utilisation du test par RT-PCR, qui permet de réaliser des diagnostics. On espère pouvoir en réaliser à la mi-mai environ 100 000 par jour, en s'appuyant à la fois sur le public et sur le privé.

Que sera-t-il recommandé de faire aux personnes qui auront reçu la notification qu'elles ont croisé une personne testée positive ?

Votre question illustre très justement la nécessité d'avoir une jonction entre le numérique et l'humain. On ne peut pas être dans le tout-numérique. Comme en Corée du Sud, l'application doit s'accompagner d'une brigade ou d'une plateforme opérationnelle chargée de contacter la personne ayant été diagnostiquée positive, de faire un bilan de son état et d'évaluer la nécessité d'une hospitalisation ou non. Si l'hospitalisation n'est pas nécessaire, quelle attitude doit-on adopter ? Notre réflexion n'est pas encore aboutie : faut-il laisser la personne en famille, au risque de constituer, en dépit des précautions, des foyers de contamination familiaux, ou faut-il prévoir une mesure générale d'isolement dans un hôtel ou une structure ad hoc pendant deux semaines ? La question n'est pas tranchée. Cette décision ne relève pas seulement des scientifiques, ni même uniquement des politiques ; les citoyens ont leur mot à dire sur ce sujet. Autant, depuis le début de la crise, les décisions ont été prises selon une logique descendante, top-down, car il y avait urgence, autant, sur cette question, la société civile doit être consultée.

Deux options sont possibles : soit une mesure générale d'isolement, sauf circonstances particulières, mais on risque d'aboutir à des distinctions selon les moyens financiers ou les catégories sociales, ou alors on adopte une vision plus souple au cas par cas, laissant la décision au médecin de famille ou à d'autres structures. Nous n'avons pas la réponse.

Quid des personnes qui ont rencontré la personne positive ?

Il faut qu'elles soient informées et qu'elles puissent s'isoler. Il faudra faire, à mon avis, une large utilisation des tests, même pour les personnes sans symptômes. La France a raté le testing au début de l'épidémie, car, je tiens à le préciser, elle n'avait pas les tests pour le faire. Nous devrons être au rendez-vous du testing à grande échelle. Les conditions d'accès à ces tests devront être très souples. Mais aurons-nous la capacité de tester très largement les personnes contacts ? Pour l'instant, je réserve ma réponse.

Vous avez parfaitement expliqué, dans votre propos introductif, que l'on pourrait sans doute parvenir à la capacité technique de réaliser 200 000 à 300 000 tests, mais vous avez aussi ajouté qu'au moment du déconfinement nous ne pourrions procéder qu'à 100 000 tests par jour. Nous n'avons pas d'idée du nombre de tests réellement nécessaires. De même, suffira-t-il à une personne ayant rencontré une personne contaminée de faire un test au moment où elle reçoit l'information de cette rencontre, ou devra-t-elle en faire un second plus tard ?

C'est fort probable, en effet. C'est la raison pour laquelle je laisse ma réponse en suspens. La question reste ouverte.

Aurons-nous une réponse le 11 mai ?

Il le faut ! Le déconfinement suppose la réalisation de certains prérequis : la capacité de réaliser un certain nombre de tests, la mise en place d'un outil numérique, la création d'une brigade d'accompagnement et la définition d'une stratégie claire sur tous les aspects que nous avons évoqués, avec les moyens adéquats. Cela ne relève pas du comité de scientifiques, mais de la mission confiée à M. Jean Castex. Nous travaillons en lien avec elle. S'il y a des points sur lesquels nous ne sommes pas prêts, alors il faudra le dire clairement. Le cas échéant, si nous avons besoin de quelques jours supplémentaires pour être prêts, alors il ne faudra pas hésiter à retarder d'autant la sortie du confinement.

Vous avez évoqué beaucoup de problèmes, à commencer par la brigade pour accompagner les personnes testées positives. Cette brigade est de 20 000 hommes en Corée du Sud ; or ce pays compte 51 millions d'habitants quand la France en compte plus de 67 millions. Ce n'est donc pas 20 000 hommes qu'il faudrait en France, mais 30 000 !

Peut-être, en effet.

Le virus va très vite. On a manqué de masques. On arrive à s'en doter maintenant. On aura des tests, mais ce sera juste. Allez-vous préconiser la création de cette brigade ? Faut-il rendre obligatoires les masques, première mesure de protection pour éviter les contacts, pendant la période de déconfinement ?

Nous sommes en train de rédiger notre avis. J'ai été très clair : notre avis favorable dépendra de la réalisation de certains prérequis, l'utilisation du masque en fait partie. Face à ce virus très difficile à appréhender, nous devons tous faire preuve d'humilité. Bien malin qui aurait pu prévoir son évolution il y a quelques semaines ! Mais essayons, cette fois-ci, d'être non plus derrière, mais devant. Si les prérequis ne sont pas satisfaits, je le dis, nous devrons rester confinés, quelles que soient les difficultés sociétales et économiques, sinon l'épidémie reprendra.

Je vous remercie pour vos réponses. Nous vous libérons, car votre temps est compté. Nous poursuivons cette audition en posant des questions à M. Hoang.

Monsieur Hoang, je voudrais vous interroger sur le caractère volontaire du recours à l'application. Comment allez-vous procéder pour garantir le consentement libre et éclairé et l'information des utilisateurs ? Envisagez-vous des contreparties pour les personnes qui utiliseront l'application de traçage ?

L'information la plus importante est l'information déclenchante, celle par laquelle on déclare sur son terminal que l'on a été testé positif au virus du Covid-19. Mais qui vérifiera cette information ? Comment savoir si la personne ne l'a pas fait à mauvais escient ou parce qu'elle se considère comme malade sur la base d'un auto-diagnostic dans la mesure où elle présente des symptômes qui lui font penser à la maladie ? Je sais que l'on pourrait tout aussi bien invoquer le cas inverse des personnes qui, malades, refusent de renseigner l'application, mais cela soulève d'autres difficultés en termes de libertés.

Je partage les propos de mon collègue Dany Wattebled sur l'ampleur des infrastructures qu'il sera nécessaire de mobiliser. Élu de Haute-Savoie, j'ai vu tous les moyens humains qu'il a fallu déployer pour gérer, plutôt bien, la situation des deux clusters aux Contamines-Montjoie et à La Balme-de-Sillingy.

Les pouvoirs publics ne nous ont pas demandé de travailler à une application obligatoire; celle sur laquelle nous travaillons aujourd'hui serait librement installée par chacun. Par ailleurs, je n'ai connaissance d'aucune intention d'instaurer une obligation. Au reste, le secrétaire d'État comme le ministre de la santé ont insisté sur le consentement de ceux qui y auraient recours. Certes, ce choix pose des questions sur le plan de l'efficacité, mais il ne faut pas envisager l'application isolément ; c'est l'efficacité globale de cet outil soutenu par une force humaine considérable qu'il faut considérer.

Sur l'information déclenchante, les arbitrages ne sont pas rendus. L'hypothèse sur laquelle nous nous fondons est celle d'un contrôle par un professionnel de santé préalablement au déclenchement. Concrètement, un laboratoire, un médecin ou un infirmier donnerait à la personne suspectée positive un code numérique lui permettant de lancer l'alerte.

Il me reste une question à poser, importante, car se rapportant à notre souveraineté. Alors que les géants américains du numérique avancent leurs pions, comment créer les conditions de la confiance en garantissant à nos compatriotes qu'on leur propose une application souveraine, s'agissant notamment des briques logicielles utilisées et de l'hébergement des données collectées ? Il est fondamental qu'une volonté européenne s'exprime en la matière, afin que nous disposions d'un système conforme au RGPD et respectueux des libertés individuelles. Le Parlement vous demande d'y veiller particulièrement.

Je suis conscient que mon intervention est, pour aujourd'hui, hors sujet. Au reste, j'aurais de loin préféré la soumettre au professeur Delfraissy.

La poursuite de la vie des collectivités territoriales est une dimension importante du retour à la normale. À cet égard, deux questions, très différentes, se posent.

D'une part, le conseil de scientifiques devra formuler une appréciation et, le cas échéant, recommander des précautions sur la tenue du second tour des élections municipales, qui occasionnera nécessairement des rassemblements de personnes, surtout dans les communes très peuplées. D'autre part, il devra, dans le même délai, mais, d'après moi, dans un rapport différent, faire le même travail sur l'installation des conseils municipaux, qui mettra fin à la dualité actuelle entre des équipes maintenues en fonction et des équipes issues du suffrage universel.

J'y insiste, les deux problèmes sont à mes yeux bien distincts, car ils soulèvent des enjeux sanitaires d'échelles très différentes. Le conseil de scientifiques devra se prononcer clairement sur la faisabilité de chacune des opérations.

Nous insisterons auprès du professeur Delfraissy pour que le Conseil scientifique se prononce spécifiquement sur les conditions sanitaires requises pour l'élection des maires et des adjoints par les conseils municipaux.

Le professeur Delfraissy a insisté à juste titre sur la nécessité d'une réponse européenne. Mais, de ce point de vue, je suis assez mal à l'aise de constater qu'on envisage une application qui limiterait la liberté des Français parce que nous avons eu beaucoup plus de mal que l'Allemagne à mettre en place un certain nombre de moyens de protection et sanitaires - alors que les nombres de cas confirmés sont très proches, nous avons quatre à cinq fois plus de décès. L'Allemagne, où la question des données personnelles est très sensible, envisage-t-elle aussi une telle application ?

Par ailleurs, puisqu'il convient de prendre des mesures particulières pour protéger les personnes fragiles, devons-nous mettre en place, dès maintenant et pour longtemps, une politique différente en matière d'accueil des demandeurs d'asile ?

Enfin, l'identification portera-t-elle sur les numéros de téléphone ou les appareils téléphoniques ? Quand on parle de Bluetooth, on parle des appareils ! Si, au nom de la sécurité sanitaire, des structures mettent en place des dispositifs Bluetooth, donc en fait de la géolocalisation, éventuellement couplés à d'autres systèmes, en particulier de vidéosurveillance, des modes de suivi particulièrement intrusifs du point de vue de la liberté individuelle pourraient voir le jour. Quelles garanties pouvez-vous offrir en la matière ?

Étrangement, la question du traitement n'a pas été soulevée. Dans les médias, il est dit tantôt qu'il n'y a pas de traitement, tantôt qu'on peut, surtout si l'on agit tôt, obtenir des résultats intéressants. De fait, les pratiques varient considérablement selon les établissements. Le comité de scientifiques a-t-il expertisé les traitements en cours ou chacun fait-il ce qu'il peut dans son coin ?

Par ailleurs, après avoir entendu cet exposé très rassurant sur ce qu'il nous reste à faire pour sortir du confinement, je me demande vraiment ce que notre pays a fait depuis novembre dernier, quand les personnes informées ont eu connaissance d'un risque sérieux de pandémie. Si tout ou presque reste à faire, qu'a-t-on fait en quatre mois et demi ?

Mon cher collègue, vos questions seront transmises au professeur Delfraissy, mais sachez qu'il a dû quitter notre réunion voilà quelques minutes.

Je ne l'ignore pas, monsieur le président, car je n'ai rien manqué de nos travaux, mais j'aimerais une réponse à mes questions...

M. Hoang pourra peut-être vous fournir quelques explications, mais il me semble que ces questions, au demeurant essentielles, s'adressent surtout au professeur Delfraissy ; elles lui seront transmises, en lui demandant de compléter notre information.

Quelle serait l'efficacité d'une telle application dans un contexte où nous manquons de masques, de tests et de médicaments ?

Par ailleurs, si nos concitoyens n'ont pas confiance, ne craignez-vous pas que les potentiels malades ne soient incités à cacher leurs symptômes aux services de santé par peur de conséquences négatives ?

Enfin, si cette application est mise en route, ne faudra-t-il pas mettre en place une pédagogie à l'égard des personnes qui l'utilisent volontairement, afin qu'elles ne croient pas qu'elles n'ont plus besoin d'appliquer les gestes barrières ?

Je pense, comme M. Richard, qu'il nous faudra peut-être entendre de nouveau le professeur Delfraissy, sur un périmètre plus large que ce matin.

La commission des lois n'étant pas chargée des enjeux de sécurité sanitaire proprement dits, il était indispensable, par respect pour le travail de suivi de la commission des affaires sociales, que nous interrogions M. Delfraissy sur des sujets qui relèvent directement de notre compétence. Il n'en résulte évidemment pas que les autres questions seraient moins importantes ; au contraire, elles le sont souvent plus.

Je vous entends, monsieur le président. Reste que les questions sanitaires rencontrent parfois les questions politiques, comme s'agissant des élections.

Dans son avis du 2 avril dernier, le comité de scientifiques propose un nouveau déploiement opérationnel des tests en fonction des publics, en précisant qu'il permettra de tester des stratégies innovantes, comme le contact tracing. La mise en place d'une application de traçage est-elle vraiment réaliste ? Quelle part de la population devrait l'adopter pour qu'elle ait réellement une efficacité ? N'oublions pas que tout le monde ne dispose pas d'un smartphone et qu'il subsiste une fracture numérique.

Avec des collègues chercheurs, j'ai mis en évidence que, du fait même de l'existence de cette application, des stratégies d'évitement se mettront en place : comment comptez-vous y répondre ?

Enfin, puisqu'on utilise la technologie Bluetooth du portable, pouvez-vous nous assurer qu'à aucun moment l'IMEI, soit l'identifiant unique du téléphone, ne sera communiqué, de quelque façon que ce soit ?

Dispose-t-on déjà d'une évaluation du test en ligne et quelle orientation compte-t-on lui donner ? En ce qui concerne l'application de suivi, si l'on a été en contact avec une personne contaminée, dans quel délai sera-t-on prévenu ?

Je présente mes excuses aux sénateurs auxquels je ne pourrai pas répondre, parce que leurs questions dépassent mon champ de compétences, aussi légitimes me paraissent-elles en tant que citoyen.

Pour ce qui est de l'application, le scénario sur lequel nous travaillons suppose des prérequis : l'accès aux tests et une situation de confinement allégée dans laquelle les gestes barrières sont respectés, en particulier la distance minimale de deux mètres en dehors du cercle familial. Le système sur lequel nous travaillons n'a de sens que dans ce cadre.

Selon moi, il n'y a qu'une manière de garantir le respect de la vie privée : que le code source et les spécifications de l'application soient transparents. Le Gouvernement ayant décidé que l'application serait open source, chaque citoyen pourra avoir connaissance du code. Dans une démocratie comme la nôtre, une application aussi sensible et inédite ne peut en aucun cas se concevoir sans une telle transparence. C'est pourquoi, dès le départ, le choix a été fait de travailler dans le cadre d'un projet de recherche ouverte et appliquée. Les sciences du numérique répondent ainsi à l'épidémiologie dans des conditions d'ouverture et de transparence conformes aux valeurs de la science en démocratie.

J'en viens à la question de la souveraineté. Nous avons été informés vendredi soir par Google et Apple de la solution que ces entreprises comptent proposer, non pas d'ailleurs tout de suite, mais à la mi-mai - sans parler des développements qui suivront. Je n'ai pas de jugement de valeur à formuler sur les intentions d'Apple et Google dans le contexte de la crise, mais, dans le cadre de leur solution clé en main, entièrement « packagée », elles définissent elles-mêmes le modèle sanitaire et conservent les identifiants ; tout le protocole est le leur, et je ne suis même pas sûr qu'elles aient prévu de mettre le code en open source. À titre personnel, j'estime qu'un tel système soulève des enjeux considérables en matière de souveraineté numérique. Ce problème fait écho à des questions sur lesquelles j'ai travaillé dans mes fonctions précédentes au sein de l'État, s'agissant de l'aptitude des pouvoirs publics à exercer une forme de régulation sur ces acteurs, sans en être dépendant.

Pour l'instant, nous suivons une logique de collaboration et de négociation avec ces entreprises, pour avoir accès à un certain nombre de fonctionnalités d'une manière qui permette à l'État et aux autorités sanitaires nationale, dans le cadre d'une coordination européenne, de décider souverainement de ce qui sera proposé aux citoyens.

Si ces négociations n'aboutissaient pas et que nous n'avions pas d'autre choix que d'adopter la solution clé en main, il y aurait des arbitrages et des priorités à établir, mais cela devrait nous interroger tous, en premier lieu la représentation nationale, sur les implications en termes d'indépendance et de souveraineté numériques. Pour être plus précis, la souveraineté suppose des briques open source et un hébergement sur des serveurs sous contrôle et auditabilité de l'État, ce qui serait impossible dans le cadre de la solution Google-Apple.

Mme Benbassa a raison : il faudra faire preuve de beaucoup de pédagogie à propos de la future application, dont le fonctionnement et les enjeux ne sont pas évidents, même pour les experts du numérique. Cette pédagogie contribuera à construire la confiance, avec la transparence, l'ouverture et l'auditabilité. En particulier, il conviendra d'insister sur l'objet exclusivement sanitaire de l'application, qui répond à la prescription des scientifiques compétents sous le contrôle des pouvoirs publics et de la représentation nationale.

En ce qui concerne l'inclusion, prenons un exemple très concret : un village d'environ 300 habitants en Haute-Savoie. Assez peu de personnes ont installé l'application, pour des raisons diverses - faute d'avoir un smartphone ou par manque de confiance, par exemple. Néanmoins, l'installation est utilisée par quelques personnes qui travaillent en dehors du village. Si l'une d'elles subit un contact prolongé avec quelqu'un qui, trois jours plus tard, est testé positif, elle en sera avertie et pourra prévenir son médecin et les autorités sanitaires, lesquelles sauront que, dans ce village, il y a un cas contact susceptible d'avoir contaminé d'autres personnes. Ainsi, même si très peu d'habitants disposent de l'application, des équipes agiles de la force sanitaire pourront mener une enquête de terrain - parvenu à ce stade, évidemment, le travail ne pourra plus être anonyme, car il faudra bien, pour agir, savoir qui a croisé qui.

Cet exemple montre que l'application peut avoir un sens notamment en zone rurale et partout où un travail de terrain est possible.

Oui, mais faut-il encore que les moyens suivent... On a précédemment évoqué 10 000 à 15 0000 contaminations par jour à la mi-mai : imaginez l'opération que vous venez de décrire reproduite 15 000 fois !

Vous avez parfaitement raison : l'application ne résoudra pas la crise à elle seule si les moyens ne suivent pas, s'il n'y a pas d'accès aux tests et si les gestes barrières ne sont pas respectés. Il n'y aura pas de miracle technologique !

Cela dit, même sans moyens, l'intérêt individuel demeurera : celui qui sait qu'il a été en contact avec une personne contaminée pourra prendre des précautions pour lui-même et sa famille, à commencer par se faire dépister. La protection du village, de la communauté, c'est une autre affaire...

La technologie est disponible pour concevoir des systèmes qui vont beaucoup plus loin, mais, à titre personnel, je n'ai aucune envie de m'aventurer sur ces terrains. J'ai reçu de nombreux projets extrêmement créatifs en termes de surveillance, mais faisant assez peu cas du RGPD et de nos valeurs, consistant à se servir du numérique pour à peu près tout : un passeport d'immunité, géolocaliser les personnes, savoir si elles ont installé l'application ou activé le Bluetooth...

En somme, réaliser un quadrillage de la population.

La question aujourd'hui n'est pas de savoir ce que la technologie rend possible, mais quelles limites nous, Européens, entendons poser au regard de la démocratie et de nos valeurs.

En ce qui concerne la pertinence des tests en ligne, je puis simplement vous répondre que, à ma connaissance, les épidémiologistes de l'hôpital Pasteur s'en servent, dans le respect de l'anonymat, pour collecter des données permettant de mieux comprendre le comportement du virus.

S'agissant enfin de la notification, il est actuellement prévu qu'elle soit instantanée, car il s'agit d'une course de vitesse : dès qu'une personne sera positive et déclenchera l'alerte sur son téléphone, les cas contacts seront avertis en temps réel.

Donc, l'information sera instantanée à partir du moment où la personne contaminée aura déclenché l'alerte, mais cela pourra se produire plusieurs jours après la rencontre.

Il faudra prendre en compte dans la configuration de l'application au moins quatorze jours d'historique ; ce n'est pas à moi qu'il appartient de déterminer précisément cette durée, qui correspond au temps d'incubation du virus. Ensuite, les données de l'historique seront détruites, car il n'y a aucune raison objective de les conserver plus longtemps.

Merci, monsieur Hoang, d'avoir contribué à éclairer la représentation nationale.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La téléconférence est close à 12 h 55.