Archives par mot-clé : Géolocalisation

Le « GPS » européen Galileo bénéficie désormais de la compatibilité de tous les nouveaux smartphones

Publié le par

C’est désormais obligatoire : tous les fabricants de smartphones sont censés depuis le 17 mars 2022 vendre sur le marché unique européen des modèles compatibles avec le système de navigation par satellite européen Galileo. La plupart le sont déjà pour une géolocalisation au mètre près.

Depuis sa mise en service il y a six ans, Galileo est le concurrent des systèmes de navigation par satellite américain GPS (1), russe Glonass (2) ou encore chinois Beidou (3). La constellation d’une trentaine de satellites, dont le déploiement se termine cette année, aura coûté jusqu’à 13 milliards d’euros à l’Union européenne (4). Il a un atout de taille par rapport à ses concurrents : sa précision se fait au mètre près, là où les autres s’en tiennent à quelques mètres. Le « GPS » européen vient de franchir une nouvelle étape : tous les smartphones vendus dans les Vingt-sept doivent désormais être dotés d’une puce « Galileo » (5).

Premier service compatible : le 112
C’est un règlement européen datant du 12 décembre 2018 qui a prévu cette obligation à partir du 17 mars 2022, date de son entrée en application. « Les exigences essentielles énoncées à l’article 3, paragraphe 3, point g), de la directive 2014/53/UE [à savoir que les équipements radioélectriques sont compatibles avec certaines caractéristiques permettant d’accéder aux services d’urgence, ndlr] s’appliquent aux téléphones portables possédant des caractéristiques semblables à celles d’un ordinateur du point de vue de la capacité de traitement et de stockage des données », dit ce règlement. Et de préciser justement que cela passe par des « solutions techniques permettant la réception et le traitement de données (…) provenant de systèmes mondiaux de navigation par satellite compatibles et interopérables au moins avec le système Galileo » (6).
Le premier service qui bénéficiera de cette « Galileocompatibilité » sera le numéro européen d’appel d’urgence, le 112, qui est opérationnel dans la plupart des Etats membres et dans quelques autres pays. Comme la grande majorité (70 %) des appels téléphoniques au 112 (pour joindre 24 heures sur 24 et 7 jours sur 7 les pompiers, l’assistance médicale ou la police) proviennent de téléphones mobiles, ceux d’entre eux qui sont compatibles avec le signal Galileo seront géolocalisés plus précisément. A savoir au mètre près. Ce qui permet dans ces conditions d’intervenir plus rapidement voire de sauver des vies car chaque seconde compte en cas de détresse et/ou d’accident. D’autant que le nouveau système dit AML (Advanced Mobile Location), qui envoie automatiquement la localisation de l’appelant, devient lui aussi obligatoire dans tous les téléphones mobiles à travers les Vingt-sept. Dix-huit d’entre eux l’ont déjà déployé. Selon l’Etsi (7) qui l’a normalisé en décembre 2019 au niveau international (8), l’AML est un protocole de transport des données – par SMS et/ou https – du smartphone vers le centre d’appel d’urgence, qui fournit l’emplacement exact de l’appelant. « Lorsqu’un appelant compose le 112 à partir de son téléphone intelligent, AML utilise les fonctionnalités intégrées du téléphone et les données de Galileo pour localiser précisément l’appelant et le transmettre à un point final dédié, habituellement un point de réponse de la sécurité publique (PSAP), ce qui rend l’emplacement de l’appelant accessible aux intervenants d’urgence en temps réel », explique l’Agence de l’Union européenne pour le programme spatial (EUSPA (9)). Une journée européenne du 112 (« European 112 Day ») a d’ailleurs été mise en place par l’Union européenne, le 11 février de chaque année, pour promouvoir l’existence et l’utilisation appropriée de ce numéro d’urgence européen.
Pour les utilisateurs, puisque l’AML n’est pas une application, il n’est pas nécessaire de télécharger quoi que ce soit, il suffit de composer le 112. Bien d’autres applications de géolocalisation sont disponibles sur la route, sur l’eau, à bord des trains, dans les avions, à la ferme, … (10), pour les détenteurs de smartphones « Galileo Inside » qui sont au nombre de plus de 2 milliards de téléphones mobiles. Par exemple, à Barcelone en Espagne, un service de partage de vélos électriques appelé AMBici a recourt à Galileo pour faciliter les déplacements d’une flotte de 2.600 vélos électriques et 236 stations d’accueil réparties dans 15 municipalités de l’agglomération catalane. Il sera mis en service par le prestataire de services privé, lequel sera sélectionné en juin prochain dans le cadre d’un appel d’offres public ouvert et doté d’un budget de 60,8 millions d’euros (11).

Marché des « GNSS » : 200 M€ en 2021
D’après le rapport 2022 de l’EUSPA sur les systèmes de navigation GNSS (Global Navigation Satellite System), à savoir Galileo et ses concurrents, le marché mondial pèse environ 199 milliards d’euros en 2021 (terminaux et services), dont un quart pour l’Europe. Selon son directeur général, Rodrigo da Costa (photo), les prévisions tablent sur 492 milliards d’euros d’ici 2031 au rythme de plus de 9,2 % de croissance annuelle en moyenne (12). Plus de 82 % de ces revenus seront générés par des services à valeur ajoutée. @

Charles de Laubier

Sébastien Soriano (IGN) veut tenir tête à Google Maps

Publié le par

En fait. Le 27 septembre, Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques, a présenté la « feuille de route » de l’Etat pour « l’ouverture, la circulation et la valorisation des données publiques ». Exemple : l’IGN prône la souveraineté des géodonnées face à Google Maps.

En clair. L’ancien président de l’Arcep, Sébastien Soriano, est depuis mi-décembre 2020 directeur général de l’Institut national de l’information géographique et forestière (IGN). Celui qui voulait « barbariser la régulation pour réguler les barbares » (1), comprenez les GAFAM, a eu beau se mettre au vert, il se retrouve à nouveau face aux Google, Apple, Facebook ou encore Microsoft qui nourrissent l’ambition de cartographier le monde entier en 3D et d’y capter toutes les géodonnées. Google Maps, par exemple, raisonne « global » et « gratuit » alors que l’IGN a vocation à être « national » et «monopole » – la Commission européenne ayant tout de même demandé il y a dix ans à la France d’abroger le droit exclusif (2) dont il bénéficie depuis un décret du 22 novembre 2004.
Depuis, l’ère de l’open data des données publiques pousse l’Etat à rendre accessible gratuitement sa « mine d’or » d’informations et en particulier depuis le 1er janvier 2021 les géodonnées du « Plan IGN ». Les géoportails français (3) et européen (4) contribuent à cette démocratisation de la cartographie. Sinon, les géants du numérique en Europe, tous américains, imposeront leurs Google Maps, Facebook Live Maps (projet Aria compris), Apple Maps et autres Microsoft Maps (Azure Maps inclus) aux GPS grand public, à l’environnement ou encore à la voiture autonome. « Les géodonnées sont une véritable mine d’or ; les géants du numérique l’ont compris. […] Ces derniers ont développé leur propre système cartographique. Mais aussi pratique que soit Google Maps, là ne résident pas les clés d’une compréhension du monde utile au sursaut nécessaire de l’humanité face au péril écologique », prévient Sébastien Soriano dans un point de vue paru le 15 septembre dernier dans Ouest-France.
Et le directeur général de l’IGN d’ajouter : « C’est par l’intelligence collective en France et en Europe que nous pourrons construire des “communs” numériques en contrepoint des silos de données des GAFA. [Et] par l’accès libre et gratuit aux données » (5). Pour assurer à l’Etat une « souveraineté des géodonnées » et des « géocommuns », outre la création d’une « géoplateforme » hébergée chez OVHcloud (lire p. 5), l’IGN a entrepris de modéliser en 3D l’Hexagone, par télédétection au laser – ou Lidar (6) – et avec l’intelligence artificielle, moyennant un investissement de 60 millions d’euros sur trois ans. @

Publicité TV segmentée : 2021 sera l’année du décollage, si les téléspectateurs le veulent bien

Publié le par

Depuis début janvier, TF1 propose aux annonceurs ses offres de publicité ciblée grâce à un partenariat avec l’opérateur Orange. Ce dernier est aussi allié à France Télévisions, tandis que Bouygues Telecom accompagne Canal+. Reste à savoir si les téléspectateurs donneront leur consentement.

La publicité ciblée sur le petit écran fait son apparition en France, soit près de six mois après la publication du décret « Télévision segmentée » autorisant « la possibilité pour les services de télévision de ne pas proposer sur leur zone de service les mêmes messages publicitaires à l’ensemble des téléspectateurs mais au contraire de diffuser des messages publicitaires mieux adaptés aux zones de diffusion et aux téléspectateurs » (1).

La télé dans le monde de la data et du tracking
Cet assouplissement au régime de publicité télévisée était demandé depuis longtemps par les éditeurs de chaînes, qui y voient notamment le moyen de concurrencer les plateformes numériques – GAFAM en tête – rompues à la publicité ciblée et à l’exploitation de la data plus ou moins personnelle. Cela suppose que le téléspectateur, doté d’une « box » ou d’un téléviseur connecté, donne son consentement préalable avant de recevoir ces publicités dites segmentées ou adressées (addressable TV, en anglais). Cela suppose aussi que les chaînes de télévision et les opérateurs télécoms se soient mis d’accord auparavant pour se partager les recettes publicitaires qui découleront de cette nouvelle monétisation de l’audience. « La publicité segmentée permet de proposer aux téléspectateurs des publicités plus affinitaires sur les chaînes linéaires. Désormais, les annonceurs pourront associer la qualité et la puissance des contenus des chaînes du groupe TF1 à la précision et la granularité du ciblage digital pour adresser aux abonnés de la TV d’Orange des publicités adaptées, dans le respect de la réglementation des données personnelles », explique la filiale audiovisuelle du groupe Bouygues.
De son côté, la filiale télécoms de ce même groupe, Bouygues Telecom, avait annoncé en novembre dernier avoir passé un accord similaire avec M6 pour la publicité segmentée sur la télévision linaire. Il faisait suite à deux autres accords signés par ce même opérateur télécoms avec Canal+ (octobre) et France Télévisions (juillet). Le groupe audiovisuel public a également noué un partenariat avec Orange (juillet), qui s’est concrétisé en novembre dernier par la diffusion des premières publicités segmentées. Les opérateurs télécoms et les régies de publicité TV se sont mis d’accord sur un « cadre technique de mise en œuvre progressive de la publicité segmentée », avec des restrictions (2) pour la période de janvier à août 2021, afin de tester les capacités des réseaux et le fonctionnement des algorithmes d’adserving en situation réelle. « Les limites actuelles seront levées progressivement, à partir de septembre 2021, pour permettre le développement d’un nouveau marché », nous indique Isabelle Vignon (photo), déléguée générale du Syndicat national de la publicité télévisée (SNPTV). Les huit régies publicitaires audiovisuelles qui le composent (TF1 Pub, M6 Publicité, France TV Publicité, Canal+ Brand Solutions, Next Média Solutions, Amaury Média, BeIn Régie et ViacomCBS) estiment que le potentiel des foyers adressables avec ce type de publicité ciblée est de 63 % des foyers équipés en télévision, dont 59 % de foyers équipés de « box ».
A la différence de la publicité TV dite « broadcast » (3), la publicité TV dite « segmentée » consiste à diffuser des spots différents selon les segments du public présents à cet instant sur le flux de la chaîne. « La publicité TV linéaire devient pleinement digitale, permettant d’exposer exclusivement des segments bien déterminés de téléspectateurs. L’adserving des publicités se fait alors via les “box” TV ou directement sur un téléviseur Smart TV (connecté à Internet) », explique le SNPTV dans son guide publié en octobre dernier (4). Pour ce faire, des marqueurs de type « SCTE-35 » (5) sont insérés dans les flux de programmes des éditeurs de télévision qui signalent aux « box » des fournisseurs d’accès à Internet (FAI) l’arrivée d’un écran publicitaire. Ces derniers ont auparavant récupéré et vérifié techniquement les fichiers numériques sources (audio et vidéo) des spots publicitaires pour permettre leur diffusion lors d’une substitution à l’écran. Cette substitution des spots via les « box » est assurée par le prestataire dit CDN (6) de l’opérateur télécoms, qui se charge d’adresser les spots de remplacement vers les « box » pour diffusion.

Comportements des téléspectateurs géolocalisés
Orange, SFR, Bouygues Telecom et Free transmettent via leurs « box » à TF1, M6, France Télévisions, Canal+ ou BFM TV les « informations de ciblage », à savoir les caractéristiques de ciblage des foyers connectés sur la chaîne : données socio-démographiques, de géolocalisation, ou comportementales. C’est l’adserver de l’éditeur TV qui décide des substitutions de spots sur les « box » en précisant quels spots devront être substitués. Une fois les spots diffusés, les informations de suivi (tracking) sont remontées à l’adserver de la régie publicitaire de la chaîne. @

Charles de Laubier

Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies

Publié le par

La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.

Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy

Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.

Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.

Ingrédient essentiel : le consentement
La « recette » reste inchangée : sans consentement, pas de cookies – sauf exceptions. Mais, à la suite de l’entrée en vigueur du RGPD le 25 mai 2018, les modalités d’obtention de ce consentement préalable ont été durcies. Pour que le consentement soit valide il faut désormais, selon la Cnil, que la bannière cookies permette à l’utilisateur :
D’exprimer son consentement à l’utilisation de cookies par un acte positif clair, comme par exemple cocher une case (non pré-cochée) ou cliquer sur un bouton « accepter ». Changement majeur donc : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement.
D’accepter ou refuser le dépôt de cookies avec le même degré de simplicité, via le même écran. Alors que la Cnil réclamait initialement dans son projet de recommandation une symétrie parfaite pour les boutons accepter et refuser (même niveau, même format), elle semble avoir quelque peu assoupli sa position en envisageant également d’autres modalités de refus comme par exemple un bouton « continuer sans accepter » situé sur le même écran, mais à un autre niveau. Même si la Cnil met en garde contre les pratiques trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre, un tel assouplissement risque néanmoins de permettre aux éditeurs d’orienter le choix des utilisateurs en adaptant le design de l’interface.
D’exprimer son choix de manière granulaire. Si l’utilisateur peut avoir la possibilité d’accepter tous les cookies en même temps (via un bouton « tout accepter » par exemple), il doit également avoir la possibilité d’exercer son choix finalité par finalité. Un bouton « personnaliser mes choix » qui se trouverait au même niveau que le bouton « tout accepter » doit lui être proposé.

Les « cookie walls » sous surveillance
Quant à la position de la Cnil sur les « cookie walls » qui consistent à subordonner la fourniture d’un service ou l’accès à un site en ligne à l’acceptation de cookies, elle était également très attendue. D’autant qu’un arrêt du Conseil d’Etat (8) avait annulé la prohibition générale et absolue d’une telle pratique initialement souhaitée par la Cnil, satisfaisant ainsi de nombreux professionnels du numérique – notamment des médias et de la publicité. Cette pratique des « cookie walls » est mise en œuvre par de nombreux éditeurs qui espèrent conduire ainsi une majorité d’utilisateurs à donner leur consentement. Si la Cnil a assoupli sa position à la suite de l’arrêt du Conseil d’Etat, elle n’en demeure pas moins réticente car elle considère que ces cookies « accepter sinon pas d’accès » sont susceptibles de porter atteinte à la liberté du consentement. Elle tire néanmoins les conséquences de l’arrêt du Conseil d’Etat en admettant une telle pratique à condition que sa licéité soit analysée au cas par cas et que l’éditeur indique clairement à l’utilisateur qu’il ne pourra accéder au contenu souhaité sans donner son consentement. On reste malgré tout loin du blanc-seing souhaité par de nombreux acteurs du marché qui ont été à l’origine d’un lobbying actif sur ce sujet…
Les éditeurs de sites web ou d’applications mobiles doivent être en mesure de démontrer à tout moment que le consentement a été valablement recueilli (9). A cette fin, la Cnil propose plusieurs moyens : mise sous séquestre du code informatique utilisé, capture d’écran, audits réguliers, conservation des informations relatives aux outils utilisés, etc. Concernant la durée de conservation du choix de l’utilisateur, la Cnil recommande de le conserver pendant une période de six mois. Un tel délai, protecteur des intérêts des utilisateurs, s’avère cependant bien contraignant pour les éditeurs qui, par exemple, ne pourront pas ressolliciter trop rapidement un utilisateur ayant refusé le dépôt de cookies. La Cnil ne s’était d’ailleurs prononcée en 2013 que sur le délai de validité du consentement qui était alors bien plus long puisqu’il pouvait aller jusqu’à treize mois. Les éditeurs pourront néanmoins prévoir une durée différente de conservation sous réserve d’être en mesure d’en expliquer les raisons. Dans un souci toujours évident de protéger les choix des utilisateurs, la Cnil précise enfin que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment aussi simplement qu’ils l’ont donné. Le moyen mis à disposition pour retirer leur consentement doit donc être aisément accessible sur toutes les pages du site web ou de l’application mobile, à travers un intitulé explicite et doit pouvoir être utilisé facilement. Sont donc proscrites les pratiques consistant à renvoyer l’utilisateur de page en page puis de lien en lien avant de lui permettre d’accéder au mécanisme de gestion des cookies.
En conclusion, si la recette de la Cnil n’a pas fondamentalement changé, elle s’est sans aucun doute complexifiée. La Cnil réaffirme ainsi sa volonté de protéger au mieux les données des utilisateurs – au risque d’impacter négativement de nombreux éditeurs et publicitaires, qui risquent de voir leurs taux de consentement chuter drastiquement. La Cnil tente néanmoins de faire preuve de pragmatisme en laissant aux éditeurs six mois pour se mettre en conformité et en essayant de leur fournir des conseils concrets et détaillés à travers ses recommandations. Cette mise en conformité ne doit cependant pas tarder car la Cnil a indiqué qu’elle ferait du respect des dispositions applicables aux cookies l’un de ses axes de contrôle pour 2021. Rappelons que l’autorité de la protection des données a la possibilité d’effectuer des contrôles en ligne et qu’elle avait sanctionné de cette manière de nombreuses sociétés en 2013 lors de la publication de ses précédentes lignes directrices. @

FOCUS
Des exemptions au consentement obligatoire très limitées
Comme auparavant, un certain nombre de cookies sont exemptés des obligations d’information et d’obtention du consentement. Il s’agit des cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. La Cnil cite plusieurs exemples de cookies concernés par l’exemption comme ceux destinés à l’authentification de l’utilisateur ou ceux permettant de garder en mémoire le contenu d’un panier d’achat. Toutefois, les utilisateurs doivent être informés de l’existence de ces traceurs, par exemple dans la politique de confidentialité. Quant aux cookies de mesure d’audience (10), ils sont désormais présentés par la Cnil comme faisant partie des cookies pouvant par principe bénéficier de l’exemption (là où en 2013 ils constituaient plutôt l’exception). Mais ce cookie de mesure d’audience doit avoir pour seule finalité… la mesure de l’audience et pour le compte exclusif de l’éditeur — donc pas de transmission des données à des tiers (11).
En pratique, les offres les plus utilisées, telles que Google Analytics ou Facebook Analytics, qui réutilisent souvent les données pour leur propre compte, ne pourront probablement pas bénéficier de l’exemption sauf à proposer des paramétrages de leurs outils spécifiques. @

Les risques du pistage des populations à l’aide des données des opérateurs mobiles et des applications

Publié le par

Le pistage mobile des populations, au nom de la lutte contre le coronavirus, présente des risques sur les libertés fondamentales en général et sur les données personnelles et la vie privée en particulier. De plus, l’efficacité d’une telle pratique technologique reste contestée et controversée.

Par Christophe Chadaillac, avocat, et Héloise Tientcheu, juriste, cabinet Jones Day

« Les technologies numériques, les applications mobiles et les données mobiles ont des atouts formidables qui peuvent nous aider à comprendre le mode de propagation du virus et à réagir efficacement » (dixit Thierry Breton, commissaire européen au Marché intérieur, le 8 avril 2020). Les mesures technologiques envisagées pour contribuer à la lutte contre le covid-19 ne se comptent plus. Mais en plus d’être controversées et leur efficacité remise en cause, elles posent de sérieuses questions sur la préservation de nos libertés fondamentales.

Géolocalisation et contact tracing en question
Un arsenal de mesures est déployé afin de tenter d’enrayer la propagation du covid-19 dans le contexte de la pandémie mondiale actuelle : port de masque, mise en quarantaine des personnes malades, fermeture des lieux accueillant du public, confinement partiel ou total des populations, … A ces mesures de distanciation sociale restreignant la liberté d’entreprendre et la liberté de mouvement des personnes s’ajoutent des mesures technologiques que les Etats et les géants du numérique mettent progressivement en place. Celles-ci reposent sur la géolocalisation, le contact tracing ou la reconnaissance faciale, susceptibles de porter également atteinte à la vie privée et suscitant des interrogations sur l’utilisation des données à caractère personnel. Il est aisé de localiser n’importe quel objet (ordinateur, téléphone portable, tablette, …) connecté à un réseau de communications électroniques (1). La géolocalisation s’appuie notamment sur les technologies GPS ou Galileo utilisées par les applications, ou sur la connexion aux réseaux Wifi ou les antennes de téléphonie mobile.
Dans le cadre de la lutte contre le covid-19, il est avancé que la géolocalisation pourrait utilement servir à l’identification de concentrations de personnes et à l’observation de flux de population grâce à des données anonymisées et agrégées. Et ce, afin de détecter et d’anticiper les potentiels foyers de propagation en vue d’optimiser le déploiement des ressources médicales sur le territoire. Par exemple, Orange a transmis aux autorités françaises des données qui ont permis d’établir que 17 % des Franciliens avaient quitté l’Ile-de-France juste avant la mise en place du confinement. Par ailleurs, les différents opérateurs mobile sont susceptibles de transmettre l’ensemble de leurs données anonymisées au Centre commun de recherche (CCR) de la Commission européenne. Quant à Google et Apple, ils ont également fourni des statistiques d’utilisations de leurs applications montrant des zones de concentration ou des zones vides. La géolocalisation pourrait aussi être employée pour vérifier le respect des obligations de confinement et de distanciation sociale. Les données, cette fois-ci non-anonymisées, permettent – comme en Israël par exemple – de tracer les individus et en cas d’infraction infliger des amendes. En Pologne, les autorités ont couplé données de géolocalisation et reconnaissance faciale : il est demandé aux citoyens de prendre régulièrement un selfie géolocalisé pour démontrer qu’ils respectent la mesure de quarantaine qui leur est imposée.
Le contact tracing consiste, lui, à établir pour les malades récemment contaminés un historique des personnes avec lesquelles ils ont été dans des conditions de proximité susceptibles de permettre une transmission du covid-19 selon des critères d’infectiologie déterminés. La technologie numérique permet l’automatisation de l’établissement de cet historique, grâce à une application installée sur les smartphones et reposant sur la technologie Bluetooth, laquelle permet aux terminaux d’établir des communications radio de courte portée, sans fil. Le contact tracing peut être utilisé pour identifier les chaînes de transmission du virus et ralentir sa propagation en incitant les personnes susceptibles d’être infectées et contagieuses à appliquer les gestes-barrière et à se faire tester le plus rapidement possible. Cet outil se veut particulièrement utile pendant le confinement, mais également lors de phase critique de déconfinement au cours de laquelle de nouveaux foyers de contamination risquent d’apparaître.

Applications mobiles appelées à la rescousse
StopCovid, l’application mobile dont le gouvernement français a révélé le développement le 8 avril dernier, sera une application de contact tracing qui pourrait être mise en service lors du déconfinement. L’approche choisie par la France est celle d’une application pilotée par l’Etat, par l’intermédiaire de l’Inria (2), en partenariat notamment avec Dassault Systèmes, l’Inserm (3), l’Institut Pasteur ou encore Orange, ainsi que sur les conseils du Comité d’analyse de recherche et d’expertise (Care). De multiples initiatives privées émergent en parallèle pour contribuer à cet « effort ». En particulier, Apple et Google collaborent sur la création d’une interface de program-mation en vue de permettre aux applications d’être interopérables. Ces deux géants du numérique, qui ont refusé de collaborer à StopCovid, travaillent également à l’intégration de fonctionnalités de contact tracing directement dans les systèmes d’exploitation Android et iOS.

Des limites techniques et comportementales
Plusieurs pays européens comme l’Allemagne ou la Norvège envisagent d’utiliser le contact tracing, ou le font déjà. La Commission européenne, elle, a insisté sur la nécessité d’une « approche commune » dans l’utilisation des applications mobiles et des données mobiles (4). L’efficacité des solutions reposant tant sur la géolocalisation que sur le contact tracing présentent des limites techniques et comportementales. La géolocalisation ne permet que de rendre compte de concentrations ou de flux de population en masse ou de localiser individuellement des personnes avec une précision relative. Elle ne permet pas d’établir leur proximité physique et fonctionne mal en intérieur. Le Bluetooth, certes, opère mieux en intérieur, mais il n’est pas conçu pour mesurer des distances. D’autant que le champ de détection varie d’un appareil à l’autre et en fonction des circonstances (appareil tenu en main, au fond d’un sac, dans une voiture, etc.), ce qui entraîne un taux non négligeable de faux positifs et de faux négatifs. Il n’y a pas non plus de consensus scientifique sur la durée et la distance de proximité justifiant l’envoi d’une notification. En outre, les systèmes d’exploitation mobiles ne permettent pas aux applications en tâche de fond d’utiliser le Bluetooth, ce qui oblige à conserver en permanence les applications de contact tracing au premier plan pour que les terminaux communiquent. Le gouvernement peine à trouver un accord avec Apple et Google pour lever cette barrière technique (5). Et pour que le contact tracing remplisse pleinement son objectif, il est nécessaire qu’au minimum 60 % de la population utilise l’application. Rendre son utilisation obligatoire paraît difficilement conciliable avec les libertés fondamentales. L’atteinte de ce seuil critique dépend aussi éminemment du taux d’équipement et de la capacité à maîtriser cette technologie. Enfin, le contact tracing peut générer un taux important de faux positifs créant de la panique et de faux négatifs générant un sentiment infondé de sécurité susceptible de favoriser la propagation du virus, surtout dans les zones denses (6). Les données de géolocalisation revêtent un caractère stratégique dans la protection de la vie privée ; les données de santé sont sensibles et appellent des mesures de protection renforcées (7). La problématique liée à la géolocalisation dépend de la finalité des traitements. L’utilisation de données de géolocalisation anonymisées et agrégées en masse évince de prime abord le risque d’atteinte à la vie privée, sans toutefois parvenir à l’éliminer complètement. Si la donnée est simplement « pseudonymisée », ou si en dépit de l’anonymisation il est possible de suivre un identifiant en particulier, alors la ré-identification en exploitant et recoupant les données est possible. Le risque d’atteinte à la vie privée est exacerbé en cas de suivi individualisé des personnes, d’autant qu’elle aboutit à restriction de la liberté de circulation.
Le contact tracing se veut plus respectueux de la vie privée en l’absence de géolocalisation ou de traitement d’autre donnée personnelle que la seule donnée de santé, laquelle doit rester entre les mains des autorités de santé et ne pas être recoupée avec d’autres données. Les différents protocoles envisagés pour sa mise en œuvre ont de commun qu’ils ne devraient pas permettre de faire le lien entre la donnée de santé et l’identité des personnes utilisant l’application, ni d’identifier celles-ci, même si ce point est vigoureusement débattu (8).
L’Union européenne a proposé une « boîte à outils » et des lignes directrices (9). En France, la Cnil a émis des recommandations et réaffirmé l’importance du volontariat, de la sécurité des données personnelles et de la limitation de la durée de leur traitement. Et plusieurs institutions publiques ont été mises à contribution pour apporter des garanties à l’action du gouvernement (Inria, Care, Dinum, ANSSI). Le CNNum a quant à lui rendu un avis favorable sur StopCovid « en tant que brique d’une stratégie plus globale ».

Intimité et droits fondamentaux menacés
Les avis des hérauts de la liberté individuelle sont attendus. Ils verront un piège dans le volontariat et dénonceront l’effet cliquet, déjà tangible : en lui demandant d’accepter volontairement d’abandonner un peu de ses libertés au profit du bien commun, le citoyen est conduit dans un processus progressif qui, de lois anti-terroristes aux états d’urgence sanitaires, l’entraîne dans organisation sociétale qui instrumentalise les données personnelles pour des finalités collectives qui pourraient s’avérer liberticides et de long terme.
Quelle que soit la solution retenue par le gouvernement sur le fonctionnement de StopCovid, une fois les barrières techniques et comportementales levées, l’application devra s’insérer dans une réponse sanitaire globale. Il serait utile que sa mise en œuvre soit accompagnée de discipline et pédagogie renforcées, pour à la fois maintenir les gestesbarrière et préserver – y compris en temps de pandémie – l’intimité qui demeure au cœur des droits fondamentaux de l’individu. @