Projet de traçage numérique STOP COVID Le Droit, une autre victime de la guerre sanitaire COVID-19 ?
La pandémie COVID-19 est un événement historique qui affecte tous les pays du monde. Ce n’est pas la première fois que de nombreux pays ont à combattre une épidémie mais c’est la première fois dans l’histoire que le combat est scruté en direct grâce aux moyens de communication. Mesures gouvernementales, réactions des populations, innovations, chaque pays décide des mesures à prendre mais s’inspire fortement de ce que font les autres[1], et ce, quel que soit l’état du Droit applicable. Gagner cette guerre sanitaire est un enjeu majeur difficile mais essentiel. Le projet de traçage des populations est un des moyens envisagés. A Taïwan par exemple, le gouvernement a bien mis en place « une "clôture numérique" assumée par la ministre du Numérique Audrey Tang, ancienne hackeuse, qui insiste sur la durée provisoire de cet espionnage massif. »[2]. Voici un bel exemple de projet où l’Intelligence Juridique peut mettre en lumière l’importance de prendre en compte le Droit en amont dans la conception même de la stratégie et des systèmes.
Des impacts multiples
Ainsi, la présentation des impacts du projet STOP COVID limitée à la vie privée interpelle alors que les effets juridiques sont bien plus vastes comme le montre cette synthèse non exhaustive. Comment imaginer que le volontariat puisse les purger ? (voir PDF : Les effets du Tracking)
Le système proposé STOP COVID a des effets cachés. Sous couvert de volontariat, il peut conduire, en réalité, tout un chacun à devoir passer un test, se déclarer malade, se mettre en quarantaine imposée, pour renseigner l’application ou même répondre à la pression d’entreprises ou de collectivités locales qui l’exigeraient alors même qu’aucune procédure de qualification nationale fiable n’a été édictée et que la capacité de test au niveau nationale n’existe pas. Il existe donc un risque de faux négatifs ou de faux positifs voire une impossibilité à avoir la réponse. Par ailleurs, est-ce que des sanctions seraient applicables si la personne recevant une alerte STOP COVID n’entreprend pas une démarche pour se faire dépister ou se confiner ? Confier à des opérateurs privés le soin de gérer une démarche de santé contreviendrait à tous les principes en vigueur. A défaut de sanctions spécifiques, cette personne encourrait-elle une responsabilité pénale si elle contamine d’autres personnes alors qu’elle avait été alertée du risque de contagion par l’application ? Tant que ces questions n’auront pas de réponse précise, peut-on parler d’un consentement libre, spécifique et éclairé, conformément à la réglementation en matière de protection des données personnelles [1] ? Plusieurs voix mettent en question l’efficacité d’un tel dispositif basé sur le « volontariat », notamment celle de la présidente de la Commission Nationale Informatique et Libertés…[2] Or, dans un contexte où le consentement éclairé de la personne ne peut être assuré, la légalité du dispositif dépendra du caractère adéquat, nécessaire et proportionné du dispositif en relation avec l’objectif poursuivi. Sa conformité à la Constitution sera également un sujet à étudier.
Les problèmes posés aux entreprises
Par ailleurs, le projet risque de poser de sérieuses problématiques aux entreprises qui sont comptables d’une obligation de sécurité vis-à-vis de leurs salariés, dont la violation peut, dans les cas prévus par la loi, être pénalement sanctionnée. Certes, l’application de la loi pénale à l’épidémie de COVID-19 est encore incertaine en l’absence de décision des tribunaux (qu’il faudra sans doute attendre pendant quelque temps encore), mais les qualifications pénales possibles apparaissent multiples (mise en danger de la vie d’autrui, non-empêchement volontaire d’un sinistre, homicide involontaire, etc.). On imagine sans peine que la prudence commanderait alors aux entreprises, en présence d’une contamination possible, d’inciter fortement leurs salariés à installer cette application voire de mettre les réfractaires ou les infectés au ban du personnel. Qui pourrait les en blâmer, à l’heure où la santé de tous passe avant la dignité et la vie privée de chacun ? Au-delà de ce cas de conscience, la connaissance inévitable qu’elles auront de l’état de santé de leurs salariés ne devra-t-elle pas non plus conduire les entreprises à se transformer en responsable de traitement de données de santé de ces mêmes salariés ? En effet, le traitement mis en œuvre pourrait être pénalement sanctionné comme reposant sur une collecte de facto obligatoire et donc probablement frauduleuse, déloyale ou illicite[1], en particulier si le droit d’opposition de la personne concernée n’est pas effectif[2].
La responsabilité des acteurs publics
Parmi les acteurs économiques concernés, il faut aussi réserver une place particulière aux acteurs publics. En effet, l’article 40, alinéa 2, du Code de procédure pénale met à la charge de tout fonctionnaire une obligation de dénonciation des crimes et délits dont ils ont connaissance. Or, même si ce point est largement débattu, la violation réitérée des règles de confinement constitue aujourd’hui un délit, et il est très probable que cette disposition perdurera après le 11 mai prochain[3]. Et justement, l’application proposée permet de savoir, ou non, si une personne atteinte du COVID 19, à raison même de sa seule présence, viole le confinement auquel elle pourrait être astreinte. Un fonctionnaire devrait-il ainsi dénoncer toute violation de cette obligation de confinement, même s’il s’agit plus selon les auteurs d’un devoir déontologique puisqu’elle n’est pas sanctionnée pénalement[4] ?
Dans ces conditions, le volontariat suggéré pour l’adoption de cette application pourrait être sinon un leurre, du moins une mauvaise solution juridique tant pour les utilisateurs que pour les entreprises, les collectivités locales et les organismes publics.
Un enjeu de souveraineté numérique
De plus, la chaîne de déclaration – alerte - obligation - dénonciation qui se mettra en place, sera pilotée par des acteurs extérieurs étrangers sur lesquels l’État aura un contrôle limité voire inexistant. Il y a là un enjeu de souveraineté numérique difficile à résoudre. La mise à jour du carnet de santé combinée à l’obligation de l’avoir à disposition avec sa carte d’identité ne serait-elle pas un moyen plus respectueux des citoyens et du Droit Français ? Bien sûr son efficacité n’aurait pas le même cachet qu’un système informatique permettant de suivre les populations en temps réel. Mais quel objectif poursuit-on ? Le projet de traçage numérique STOP COVID sera discuté à l’Assemblée Nationale le 28 avril 2020 mais sans vote[5].
La constitution d’un comité éthique formé d’avocats, de magistrats et autres spécialistes des nouvelles technologies est demandée pour conseiller le gouvernement à l’instar du comité scientifique en place[6] en toute transparence vis-à-vis des citoyens. Espérons que le Parlement s’empare du sujet pour légiférer. Le Droit ne doit pas être sacrifié sur l’autel de la technologie dans cette période de guerre sanitaire. Contrairement à ce que certains pourraient en dire, le Droit est plus une force qu’une contrainte, et dans tous les cas, c’est un allié nécessaire dans ce combat.
Véronique Chapuis Directrice du programme d’Intelligence Juridique de l’École de Guerre Économique, Fondatrice, Ceo LEX Colibri [email protected] | Matthieu Juglar Avocat Cabinet JLT Avocats [email protected] | Constantin Pavléas Avocat Cabinet Pavléas Avocats Coordinateur Mastère Droit du Numérique de l’École HEAD [email protected] | Sylvain Pontier Avocat Cabinet Abeille associés [email protected] |
[1] arts. 226-18 et 226-18-1 c. pénal
[2] Cass. Crim. 14 mars 2006 : AJ Pénal 2006. 260, obs : Roussel
[3] Art. L. 3136-1 C.S.P.
[4] L'article 40 du code de procédure pénale et le fonctionnaire : nature et portée de l'obligation de dénoncer – Gérald Chalon – AJFP 2003. 31
[5] A la demande du Gouvernement sur la base de l’article 50-1 de la Constitution :
[6] Constantin Pavléas, Interview BMF TV,
[1] Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel (RGPD), considérants 42, 43 et 51, et Article 9, alinéa 2(a).
[2] https://www.usine-digitale.fr/article/covid-19-la-cnil-emet-des-doutes-sur-l-interet-de-la-future-application-de-pistage-stopcovid.N953751
[1] Institut Montaigne Rapport L’Asie Orientale face à la pandémie, Avril 2020, La Tribune 9 avril 2020.
[2] Lucas Jacubowicz.