Intervention de Christine Lavarde

Avant d'en venir à notre proposition, je souhaiterais revenir un instant sur le rôle de la CNIL, car cette question est revenue constamment au fil de nos auditions. Nombre des obstacles évoqués par Véronique Guillotin découlent très directement de sa doctrine très conservatrice en matière de croisements de fichiers : ce ne sont pas des raisons techniques, mais bien des obstacles juridiques, qui ont empêché de croiser les fichiers SI-DEP, Contact-Covid et Vaccin-Covid. C'est bien elle qui a, en 2007, refusé l'utilisation du numéro de Sécurité sociale pour accéder au DMP, et qui freine toujours la mise en place d'une identité numérique unique permettant d'accéder à l'ensemble des services publics, pourtant condition sine qua non de l'État-plateforme.

On pourrait ajouter, entre autres exemples, son opposition à l'utilisation par la RATP de caméras de détection du port du masque, au motif qu'il s'agirait de données biométriques permettant l'identification des individus... alors même que ces caméras ne renvoient rien d'autre que des statistiques.

Soyons clairs : il ne s'agit pas ici de remettre en cause le cadre juridique de la protection des données personnelles, fixé aujourd'hui par le règlement général sur la protection des données (RGPD). En revanche, on peut légitimement s'interroger sur l'interprétation qu'en fait la CNIL, beaucoup plus conservatrice que chez nos voisins européens. D'autant que cette interprétation s'appuie parfois sur des raisonnements curieux : par exemple, les caméras thermiques ne seraient pas justifiées pour détecter les malades du Covid-19, au motif que la fièvre n'est pas un symptôme systématique. Autrement dit, la CNIL préfère ne détecter personne plutôt que de ne pas détecter tout le monde... Mais dans une crise sanitaire, tout cas détecté est une victoire contre la maladie !

Plus généralement, nous pensons qu'il faut avoir le courage de s'attaquer à ce tabou français qu'est la collecte de données par l'État. La sensibilité française sur le sujet est ancienne et profonde, et doit être prise au sérieux. Elle n'est pas dénuée de toute justification historique, de « l'affaire des fiches » qui fit chuter un gouvernement en 1904 aux abus du régime de Vichy, pour ne citer que ces deux exemples. Dans l'imaginaire collectif, la collecte des données est associée à l'idée d'un État policier et d'un « fichage » de la population, et c'est cette même idée qu'on retrouve à chaque fois que les gouvernements successifs souhaitent avancer sur le sujet, du fichier SAFARI en 1974 à TousAntiCovid.

Mais à l'heure de la révolution numérique, du big data et de l'intelligence artificielle (IA), on ne peut plus raisonnablement soutenir que le seul intérêt des croisements de fichiers est l'instauration d'un État totalitaire ! Or la crise a montré que cette idée pouvait s'avérer coûteuse - en vies humaines, en libertés publiques, en croissance économique -, d'autant qu'elle repose en réalité sur un certain nombre de fantasmes et d'incompréhensions qu'il est temps de lever.

Tout d'abord, cette méfiance apparaît de plus en plus décalée, pour ne pas dire absurde, à l'heure où les géants du numérique accumulent sur chacun d'entre nous bien plus de données que l'État n'en aura jamais, pour des finalités qui n'ont rien n'à voir avec l'intérêt général, et sans aucune des garanties qu'offre le contrôle démocratique.

Ensuite, l'excuse des « dictatures », souvent entendue pendant l'a crise, est un peu trop facile. D'une part, c'est faux - sauf à démontrer que le Japon, la Corée du Sud, l'Estonie ou Israël sont des dictatures. Bien sûr, les dérives sont réelles, et notre audition de février sur le « crédit social » en Chine l'a montré. Mais les abus ne tiennent pas aux technologies elles-mêmes, ils tiennent à l'usage qui en est fait, à l'absence de contre-pouvoirs notamment. D'autre part, tout ceci n'est pas le problème : si une « dictature » sauve des vies pendant qu'une « démocratie » pleure ses morts, il y a sans doute d'autres questions à se poser.

Enfin, cette conception repose sur une confusion entre les fins (protéger la vie privée) et les moyens (interdire les croisements de fichiers). Dans les années 1970, il n'était pas absurde de raisonner ainsi : c'était encore la meilleure garantie possible, à une époque où on était bien loin, par ailleurs, d'imaginer les bénéfices immenses qu'apporterait la révolution numérique. Mais aujourd'hui, les choses sont différentes : il existe bien d'autres façons de garantir la confidentialité des données sans pour autant s'interdire de les utiliser, comme par exemple la blockchain ou l'open source, qui sont au coeur des applications de contact tracing. En somme, tout se passe comme si nous avions une préférence pour l'inefficacité.

Revenons aux outils permettant de lutter contre l'épidémie. Tout le monde est d'accord sur un point : il s'agit d'une affaire de proportionnalité. Mais est-elle vraiment bien comprise ? Quand on impose des restrictions à un individu pendant une crise sanitaire, ce n'est pas seulement pour le protéger lui, c'est pour protéger toute la société. De plus, les atteintes portées aux libertés « numériques » par certains outils de lutte contre la pandémie doivent être comparées aux atteintes portées aux libertés « physiques », qui sont bien plus lourdes, durent bien plus longtemps et s'appliquent à tous de manière aveugle. Elles sont aussi bien plus difficiles à faire respecter et in fine moins efficaces.

C'est dans cet esprit que nous avons mené nos travaux. Plutôt que de formuler 50 ou 60 propositions, nous avons choisi d'en retenir une seule, pragmatique, qui permette de répondre efficacement aux futures crises sanitaires - et qui ne fasse que cela. Elle est complémentaire des chantiers plus généraux, de plus longue haleine, qu'il faut continuer à mener avec détermination, en gagnant la confiance des citoyens : le numérique en santé, l'identité numérique, l'État-plateforme.

Résumons le problème : si nous voulons sauver des vies humaines et éviter de mettre la vie économique et sociale sous cloche à chaque nouvelle crise, il faudra inévitablement s'appuyer sur des croisements de données massifs et dérogatoires. Sauf que les données en question sont soit des données personnelles qu'il est inconcevable d'exploiter en temps « normal » (par exemple des données médicales croisées avec des données de géolocalisation), soit des données produites par des entreprises privées (opérateurs télécom, entreprises technologiques, entreprises de transport, établissements financiers etc.) qui n'ont aucune raison ni obligation de les fournir par ailleurs, ni même de s'y préparer.

Notre proposition consiste donc non pas à collecter ces données, mais à nous mettre en capacité de le faire, en appuyant sur un bouton, si jamais les circonstances devaient l'exiger. Concrètement, cela passe par la mise en place d'une plateforme sécurisée spécifique, qui ne serait activée qu'en temps de crise, et qui permettrait de centraliser les données utiles avant de les redistribuer aux acteurs concernés selon leurs missions : établissements de santé, sécurité civile voire forces de l'ordre, collectivités locales, transports publics, prestataires privés, etc.

Nous appelons cela le « Crisis Data Hub », sur le modèle du Health Data Hub. La différence est que le Health Data Hub ne centralise que des données médicales et pseudonymisées mais qu'il le fait massivement et en permanence, tandis que le Crisis Data Hub collecterait des données plus diverses et nominatives, mais sur un champ plus restreint et surtout pendant une période limitée. Une autre image est celle du « poste de contrôle » ou de « gestion de crise », celui qu'on voit dans les films avec tous ces écrans allumés, mais qui n'existe pas dans la réalité - ou en tout cas pas dans le domaine sanitaire, sinon nous n'en serions pas là. En somme, le Crisis Data Hub est à la gestion numérique de la crise ce que l'Établissement de préparation et de réponse aux urgences sanitaires (EPRUS) aurait dû être à la gestion logistique de la crise, si cet établissement public créé au lendemain de l'épidémie de H1N1 n'avait pas été dissous en 2016.

Sur le plan technique, la mise en place de cette plateforme implique d'investir dans une solution d'hébergement sécurisée, un cloud souverain qui pourrait instantanément monter en capacité. Sur le plan juridique, notre proposition se traduirait par une obligation légale, pour certaines entreprises et administrations, de maintenir des bases de données dont le contenu et le format seraient fixés à l'avance, et de se tenir prêtes à les « brancher » à la plateforme en cas de nécessité, c'est-à-dire sur réquisition au titre de l'état d'urgence sanitaire. En temps « normal », aucune donnée ne serait bien sûr transmise, mais le système serait prêt, grâce à un travail continu de maintenance et d'amélioration.

Pour fixer la liste des acteurs concernés, nous pourrions nous inspirer de celle des 250 « opérateurs d'importance vitale » (OIV), soumis à des obligations particulières et accompagnés par l'Agence nationale de cybersécurité (ANSSI).

Nous sommes conscients de toutes les craintes et interrogations qu'une telle proposition soulève. Mais une fois de plus : rien n'est pire que l'improvisation, qui est à la fois inefficace et potentiellement bien plus attentatoire aux libertés individuelles. Se préparer en amont à collecter des données ne veut pas dire qu'on va forcément le faire, ni, le cas échéant, que toutes les possibilités seront utilisées. Nous proposons bien un dispositif de riposte graduée.

Par contre, se préparer en amont permet de créer les conditions de la confiance, en prenant le temps d'expliquer le dispositif aux citoyens, et en le soumettant au Parlement. D'ailleurs, en cas de crise, l'activation de tout ou partie du dispositif pourrait prendre une forme solennelle, par l'adoption d'un article dédié dans la loi instituant l'état d'urgence, qui marquerait clairement le soutien - ou le refus - de ces mesures.

Très bien, dira-t-on, mais comment peut-on avoir la garantie que les données ne seront pas utilisées de manière abusive ? C'est le dernier grand avantage de notre proposition : le Crisis Data Hub peut être développé en open source. Faisons confiance à la société civile pour examiner chaque ligne de code dans les moindres détails, chaque champ, chaque base de données, pour être bien sûrs que ce dispositif ne fait rien d'autre que tenir sa promesse : sauver des vies, sans condamner le pays.