Intervention de Laurence Dumont

Voyons donc déjà si l'État est à même de tester la population, comme le Gouvernement l'a annoncé. Voyons aussi, et cela est déterminant, comment se passe le déploiement des brigades sanitaires, sans lesquelles le dispositif est inopérant. Voyons enfin comment éviter que ne se développe, chez ceux qui installent l'application, un faux sentiment de sécurité, portant un risque de baisse de vigilance quant au respect des gestes barrières si essentiels contre la propagation du virus.

Efficacité à prouver, donc, mais atteinte aux libertés des individus et risque de détournement démontrés !

En effet, quid du consentement éclairé dans la collecte de données lorsqu'une pression sociale trop importante, la pression d'un employeur ou d'une collectivité obligera la personne à utiliser l'application pour avoir accès à des droits, à des lieux, à son travail voire à un test ?

Quid des failles de sécurité permettant de fausser le suivi de l'épidémie, voire de piéger des personnes à leur insu, de collecter leurs données sensibles de santé pour les revendre à des organismes peu scrupuleux ? Ce n'est pas de la science-fiction, comme le démontre de façon très pédagogique la note du collectif Risque traçage, qui regroupe des chercheurs de l'INRIA, où le débat fait rage, du Centre national de la recherche scientifique – CNRS – , de l'École polytechnique fédérale de Lausanne – EPFL – et de l'Université de Waterloo, au Canada.

Quid de la collecte et de l'utilisation des données qui, pseudonymisées, peuvent, par plusieurs recoupements, perdre leur anonymisation ?

Quid, enfin, du risque d'instauration des conditions techniques d'une surveillance et d'un traçage généralisés de la population ? La loi prorogeant l'état d'urgence sanitaire et complétant ses dispositions crée des fichiers de données particulièrement sensibles, collectées sans le consentement des personnes – les données de santé, d'une part, et les données des contacts des personnes malades, d'autre part.

Certes, aucun lien n'est prévu ni envisagé entre l'application StopCovid et les deux fichiers créés, Contact Covid et SI-DEP. Le Conseil d'État l'a rappelé. Mais demain, que se passera-t-il si les brigades sanitaires chargées de remonter les chaînes de contamination et d'alimenter la base de données se retrouvent débordées ? On peut redouter, dans ces conditions, que SI-DEP et Contact Covid, d'une part, et StopCovid, d'autre part, finissent par être combinés.

La question est donc simple : sommes-nous en présence de trois traitements de données à caractère personnel ou en présence d'un seul traitement, lui-même constitué de trois versants complémentaires, qui, du fait de cette complémentarité, aboutissent à la création d'un méga-fichier ? Une réponse s'impose, car ce scénario de croisement de fichiers destiné à combler les éventuelles défaillances de l'identification manuelle des cas contacts, ne peut qu'inquiéter.

Par petites briques, la surveillance et le traçage de la population et la collecte de ses données sensibles pourraient alors être mis en oeuvre et leur acceptation facilitée par le climat de peur et parfois de culpabilisation qui est entretenu. Monsieur le secrétaire d'État, votre déclaration récente selon laquelle refuser d'être tracé reviendrait à « accepter un risque significatif de malades et de morts supplémentaires » en est un exemple.