Covid-19 : le traçage à la française, une usine à gaz administrative
Nous restons au milieu du gué, empêtrés dans une doctrine sur les données personnelles qui, si elle est nécessaire sur le long terme, n'offre aucun assouplissement pour répondre à un problème ponctuel. Alors comment tracer, si on ne peut pas géolocaliser ? Avec des agents publics et des enquêtes de personnes, essaye-t-on de nous faire croire.
Si vous présentez des symptômes, vous vous rendez chez votre médecin qui vous prescrira un test remboursé par la Sécu, que vous allez effectuer à l'hôpital ou dans un laboratoire autorisé. Dans l'attente du résultat, vous devez rester chez vous (vos proches aussi normalement). Si le test est positif, vous restez chez vous jusqu'à 2 jours après la disparition des symptômes et le médecin qui vous a prescrit le test reviendra vers vous pour lister vos contacts et les inscrire sur Contact Covid, un téléservice de l'Assurance maladie… qui transférera ses données aux brigades sanitaires. À elles de contacter ces personnes sous 24h pour les avertir, leur conseiller de passer en télétravail ou leur délivrer un arrêt de travail, et pour les diriger vers un centre de test, 7 jours après leur dernier contact avec vous. En cas de test négatif, les personnes concernées devront rester 7 jours supplémentaires en quarantaine par sécurité (mais leur médecin peut alléger cette période) et si le test est positif, rebelote : il faudra qu'ils se remémorent tous leurs déplacements et toutes les personnes qu'ils ont contactées ces derniers jours. Et aux brigades sanitaires de recontacter tout le monde.
Pour que ces brigades fassent leur travail, la loi de prorogation de l'état d'urgence sanitaire vient d'autoriser le partage des données personnelles relatives à l'identité et à l'état de santé des personnes « dites à risque ». Les brigades sanitaires ont donc accès à deux fichiers : le SIDEP, qui est une base de données sur les personnes testées positives, et le téléservice « Contact Covid », où les professionnels de santé renseignent les informations nécessaires au suivi des patients et les cas de contacts. Le dispositif de traçage se repose donc sur 3 niveaux : niveau 1, les professionnels de santé prescripteurs de tests ; niveau 2, les plateformes de l'assurance maladie (composées de personnels médicaux et administratifs des CPAM) chargées du recueil des cas de contacts et d'incitation au reconfinement ; niveau 3, l'agrégation des données par les ARS et l'établissement public Santé publique France, chargés de traiter des chaînes de contamination complexes et du suivi de la Recherche.
Aucun lien entre les brigades et l'application StopCovid
À cela, il faudra ajouter l'application de traçage des particuliers StopCovid qui est en cours de développement, mais les parlementaires ont, déjà, décidé qu'il n'y aurait aucun lien entre les fichiers exploités par les « brigades sanitaires » et l'application de géolocalisation. Ils ont aussi conféré à la CNIL un rôle central avec avis consultatif et ils ont instauré un comité de contrôle et de liaison indépendant, afin de prévenir toute dérive, et institué une destruction des fichiers 6 mois après la fin de l'état d'urgence sanitaire. Enfin, le juge constitutionnel a censuré l'accès par l'application aux données des « organismes qui assurent l'accompagnement social des intéressés», comme les Caisses centrales d'activités sociales (CCAS). Ils ont également expurgé les informations de contact des données extraites des futurs fichiers pour le suivi épidémiologique et la recherche sur le Covid-19.
Bref, avant même d'être voté, le dispositif de traçage et de suivi du Covid-19 présente une architecture baroque : les fichiers amont mis en place reposent sur le non-consentement des intéressés, contrairement à l'application StopCovid qui repose sur le libre consentement. Autrement dit : on ne tracera sans leur accord que ceux qui auront consulté un médecin et passé un test positif, et avec leur accord ceux qui téléchargent StopCovid… Faire converger les deux semblait pourtant une évidence.
Soit on trace tout le monde, soit on ne trace personne. La France semble incapable de trancher entre les deux ou alors cache, derrière la question du respect des données personnelles, son incapacité à développer une application de suivi efficace et protégée.
L'exemple asiatique
Ce qu'a fait la Corée du Sud, elle, n'a rien à voir : ils testent massivement, et tous les cas positifs voient leurs données tracées. Ainsi, dès qu'un nouveau test est positif, toutes les personnes ayant approché ce nouveau malade à moins de 3 mètres reçoivent une notification. Elles doivent ensuite se faire tester et entrer en quinzaine. Et contrairement à des idées parfois répandues, la Corée du Sud possède bien une loi protégeant les données des usagers en temps normal, mais cette même loi autorise qu'en cas de crise sanitaire, un centre de contrôle et de prévention des maladies puisse obtenir des opérateurs télécoms les données des malades. Enfin, ces données stockées sur des serveurs indépendants sont détruites au terme de l'épisode sanitaire.
Évidemment, les pays asiatiques ont déjà affronté des épidémies qui ont demandé de tels outils, mais à tergiverser sur le sujet nous accumulons retards sur retards. Le but du développement de ces services d'informations est, à l'instar des pays les plus en pointes dans le suivi numérique des patients (Corée du Sud, Taïwan, Singapour, Chine continentale), de pouvoir réaliser une identification des personnes infectées ou présentant un risque infectieux, l'orientation de ces personnes et la surveillance épidémiologique globale. Ça et une politique massive de tests, encore plus nécessaire dans le cas d'une maladie où la majorité des infectés sont asymptomatiques, sont les deux seuls moyens de lutter contre le virus et limiter le recours au confinement massif et au ralentissement du pays.