Intervention de Christine Lavarde

Lors de notre dernière réunion, les remarques que nous avions formulées au sujet du rôle de la Commission nationale de l'informatique et des libertés (CNIL) avaient paru sévères à certains d'entre vous. Nous en avons tenu compte dans le rapport, sans pour autant revenir sur le fond de notre propos.

Soyons clairs : nous accordons la plus grande importance à la protection de la vie privée et des données personnelles, mais nous pensons aussi qu'en cas de crise, leur protection ne doit pas avoir pour conséquence de restreindre durablement nos autres libertés. Nous ne remettons nullement en cause le cadre créé par le règlement général sur la protection des données (RGPD), qui est le plus protecteur au monde, et qui prévoit en même temps tous les éléments de flexibilité nécessaires pour faire face à une crise majeure. Ce que nous regrettons - et nous ne sommes pas les seuls, car le sujet est constamment revenu au fil de nos auditions -, c'est plutôt l'interprétation qu'en fait parfois la CNIL, bien plus conservatrice que chez nos voisins européens.

De fait, il existe en France un véritable tabou dès lors qu'il s'agit de collecte de données personnelles et de croisements de fichiers par « l'État », au sens large, que l'on retrouve dans la doctrine de la CNIL.

Tout à l'heure, Véronique Guillotin évoquait l'absence d'interconnexion entre les fichiers SI-DEP, Contact-Covid et Vaccin-Covid : l'obstacle n'est pas technique, il est purement juridique, au nom de la « vie privée », alors que cela ne pose aucun problème chez la plupart de nos voisins européens. À vrai dire, dans plusieurs pays, la question ne se pose même pas, puisque chaque citoyen dispose d'un numéro d'identification unique, qui relie toutes ses données et lui permet d'accéder à l'ensemble des services publics, de façon simple et sécurisée. En Estonie, en Allemagne, en Belgique, l'identité numérique est obligatoire : faut-il en conclure qu'il s'agit de dictatures ?

Le paradoxe, c'est que tout citoyen français dispose bien d'un numéro unique et fiable, le numéro de Sécurité sociale (NIR), mais la CNIL s'est toujours opposée à son utilisation au-delà de la sphère de la protection sociale. Par conséquent, toutes les autres administrations attribuent des identifiants sectoriels spécifiques : numéro fiscal, identifiant national de l'élève ou de l'étudiant (ils sont différents) etc. Même dans le domaine de la santé, nous sommes tous associés à une multitude d'identifiants « locaux », à l'hôpital, chez le généraliste, chez le dentiste, au laboratoire etc., sources de multiples erreurs et de démarches administratives au détriment du « temps médical ». En temps de crise, alors que les hôpitaux sont surchargés, les conséquences peuvent être dramatiques.

Ce n'est qu'en 2019 que la loi Santé a cassé cette doctrine dite de « cantonnement », ouvrant la voie à l'utilisation du NIR comme identifiant unique pour toutes les données de santé, notamment pour le DMP. Mais les choses prendront encore du temps, et la CNIL s'oppose toujours à l'identité numérique d'une manière générale.

Pour revenir à la crise sanitaire, les raisonnements de la CNIL sont parfois à la limite de l'absurde. On peut citer l'exemple des caméras utilisées pour mesurer le port du masque, un temps envisagées par la RATP : la CNIL s'y était opposée, au motif qu'il s'agirait d'un traitement de données biométriques, donc comportant par définition un risque d'identification. Alors même que les caméras en question ne conservaient aucune image et ne transmettaient que des statistiques agrégées de taux de port du masque... S'agissant des caméras thermiques, largement utilisées ailleurs pour détecter le Covid-19, la CNIL s'y est opposée au motif que la fièvre n'est pas un symptôme systématique : par peur de ne pas détecter tout le monde, nous nous sommes donc privés de la possibilité de détecter au moins certains cas, ce qui aurait déjà représenté une victoire contre la maladie.

Les nouvelles technologies comportent des risques, c'est vrai, et lors de notre précédente réunion, plusieurs d'entre vous ont à juste titre évoqué le cas des GAFA. Mais justement, ne nous trompons pas de Big Brother : à chaque instant de notre vie, nous livrons aux géants du numérique bien plus de données que l'État n'en aura jamais, à des fins purement commerciales et sans aucune des garanties qu'offre le contrôle démocratique. Par contre, quand il s'agit d'intérêt général, de protection de la santé publique, et plus largement d'amélioration du service public, le moindre croisement de fichiers suscite des polémiques infinies. Faut-il s'étonner, ensuite, que Google et Facebook en sachent davantage sur l'épidémie de Covid-19 en France que le ministère de la Santé ou l'Assurance maladie ? Et qu'ils proposent des outils plus efficaces, que nous pourrions bien, demain, nous retrouver contraints d'accepter ?

Cette sensibilité française à la collecte des données par l'administration est ancienne et profonde. Dans l'imaginaire collectif, elle est associée à l'idée d'un « État policier » et d'un « fichage » de la population, et c'est cette même idée qu'on retrouve dans l'opposition à chaque nouveau projet, du fichier SAFARI en 1974 à TousAntiCovid.

Mais à l'heure de la révolution numérique, du big data et de l'intelligence artificielle (IA), on ne peut plus raisonnablement soutenir que le seul intérêt des croisements de fichiers est l'instauration d'un État totalitaire ! Dans les années 1970, il n'était pas absurde de raisonner ainsi : c'était encore la meilleure garantie possible, à une époque où on était bien loin, par ailleurs, d'imaginer les possibilités immenses du numérique. Mais aujourd'hui, les choses sont différentes : il existe bien d'autres façons de garantir la confidentialité des données sans pour autant s'interdire de les utiliser, comme par exemple la blockchain ou l'open source. En somme, tout se passe comme si nous avions une préférence pour l'inefficacité.

Nous avons donc mené nos travaux en nous posant la question suivante : comment répondre à une crise avec toute l'efficacité du numérique, sans rien céder sur nos valeurs démocratiques ?

Vous avez pu voir, dans le projet de rapport, que nous avons choisi de ne retenir qu'une seule grande proposition, plutôt que de multiplier les recommandations. C'est une proposition pragmatique, qui permettrait de répondre efficacement aux situations de crise - et qui ne ferait que cela.

C'est un fait : si nous voulons sauver des vies humaines et éviter de mettre la vie économique et sociale sous cloche à chaque nouvelle menace, il faudra inévitablement s'appuyer sur des croisements de données massifs et dérogatoires. Sauf que les données en question sont soit des données personnelles qu'il est inconcevable d'exploiter en temps « normal » (par exemple des données médicales croisées avec des données de géolocalisation), soit des données produites par des entreprises privées (opérateurs télécom, entreprises technologiques, entreprises de transport, etc.) qui n'ont aucune raison ni obligation de les fournir par ailleurs, ni même de s'y préparer.

René-Paul Savary a déjà insisté sur ce point : nous ne proposons en aucun cas de collecter ces données. Par contre, nous proposons de nous mettre en capacité de le faire rapidement, si jamais les circonstances devaient l'exiger, pour ainsi dire en appuyant sur un bouton.

Concrètement, cela passe par la mise en place d'une plateforme sécurisée spécifique, qui ne serait activée qu'en temps de crise, et qui permettrait de centraliser les données utiles avant de les redistribuer aux acteurs qui en ont besoin pour remplir leurs missions : établissements de santé, sécurité civile, forces de l'ordre, collectivités locales, transports publics, prestataires, etc.

Nous appelons cela le Crisis Data Hub (CDH), sur le modèle du Health Data Hub évoqué par Véronique Guillotin. La différence est que le Health Data Hub ne centralise que des données médicales et pseudonymisées mais qu'il le fait massivement et en permanence, tandis que le Crisis Data Hub collecterait des données plus diverses et nominatives, mais sur un champ bien plus restreint, pendant une période très limitée, et avec un objectif déterminé : sauver des vies, tout en préservant la société et l'économie.

Sur le plan juridique, notre proposition se traduirait par une obligation légale, pour certaines entreprises et administrations, de maintenir des bases de données dont le contenu et le format seraient fixés à l'avance, et de se tenir prêtes à les « brancher » à la plateforme en cas de nécessité. La liste de ces acteurs pourrait s'inspirer de celle des 250 opérateurs d'importance vitale (OIV), soumis à des obligations particulières et accompagnés par l'Agence nationale de cybersécurité (ANSSI). En temps « normal », aucune donnée ne serait bien sûr transmise, mais le système serait toujours prêt, grâce à un travail continu de maintenance et d'amélioration - soit tout ce qui nous a manqué ces derniers mois.

Enfin, cette préparation en amont est la meilleure des garanties que nous puissions apporter aux droits et libertés des citoyens. Elle permettrait au débat démocratique de se ternir sereinement, en prenant le temps de la réflexion et de la pédagogie, plutôt que de réagir « à chaud » et au cas par cas sur chaque mesure. Pour cela, nous pourrions réfléchir sur la base de différents « scénarios », et nous poser la question des mesures efficaces et acceptables en fonction de la gravité de la menace.

En particulier, cette méthode permettrait à la CNIL d'établir une doctrine préalable d'autorisation de chaque dispositif. Le juge pourrait se prononcer en amont plutôt que dans l'urgence. On pourrait aussi imaginer une procédure de « rescrit » spécifique, que pourraient par exemple solliciter les associations de défense des libertés publiques.

Nous proposons même d'aller encore plus loin : tous les dispositifs seraient développés en open source, de sorte que chacun pourra vérifier qu'ils ne font rien d'autre que ce qu'ils sont censés faire - et on peut faire confiance à la société civile pour examiner chaque ligne de code dans les moindres détails. Quant aux données agrégées (chiffres de l'épidémie, respect des restrictions, etc.), elles seraient publiées en open data. Disons-le clairement : aucun pays, face à la crise de la Covid-19, n'a fait preuve d'un tel niveau de transparence. Mais nous pensons que c'est la condition sine qua non de la confiance des citoyens, sans laquelle rien ne pourra être fait.

Voilà tout ce que le Crisis Data Hub permettrait de faire en amont. Que se passe-t-il ensuite, sur le moment, en cas de crise ? Déjà, nous serions prêts. Rien ne pourrait se faire sans un soutien de l'opinion, c'est-à-dire sans un consensus démocratique, mais il est aussi nécessaire que le Gouvernement puisse réagir et surtout s'adapter rapidement.

Le Crisis Data Hub rendrait possible un nouvel équilibre. D'une part, son activation, acte politique fort, devrait revêtir un caractère solennel, par exemple par un article spécifique dans la loi proclamant l'état d'urgence sanitaire, qui permettrait d'obtenir une majorité claire et de fixer des limites, par exemple de durée. Au sein de celles-ci, l'exécutif disposerait ensuite d'une plus grande marge de manoeuvre. D'autre part, et en contrepartie de cette flexibilité, la mise en oeuvre des différents dispositifs pourrait faire l'objet d'une procédure de contrôle spécifique, en continu, impliquant le Parlement, la CNIL ou encore la société civile.

L'outil que nous proposons serait utile au-delà des seules crises sanitaires, par exemple en cas de catastrophes naturelles ou industrielles, ou encore en cas d'attaques terroristes ou bioterroristes. Imaginons par exemple la fuite d'un réacteur nucléaire : alors que moins de la moitié des foyers vivant à proximité d'une centrale nucléaire ont effectivement retiré leurs pastilles d'iode en pharmacie, le numérique permettrait de savoir immédiatement qui se trouve dans la zone, et à qui fournir en priorité les pastilles. Autre exemple, la chute de débris spatiaux. Cela peut sembler très théorique, mais leur nombre augmente de façon exponentielle - on l'a vu avec la chute récente de débris des lanceurs spatiaux chinois de la Longue Marche (Tiangong). Aujourd'hui, nous sommes capables de modéliser avec précision le point d'impact de ces débris - mais nous ne le savons qu'au dernier moment : seul le numérique permet alors de prévenir la population. Dernier exemple : aux États-Unis, la population est prévenue par des messages individuels à l'approche d'un ouragan.

Mais au fond, le propre d'une crise, c'est d'être imprévisible. Nous préférons donc envisager le maximum, en espérant avoir à utiliser le minimum. Car le plus dangereux pour nos libertés, ce n'est pas l'imagination, c'est l'improvisation.