Cela fait bien longtemps que l’on soupçonne Orange de tenter de céder à titre onéreux, l’ensemble des données de géolocalisation nous intéressant, notamment via la liste des antennes relais auxquelles nous nous connectons au moyen de nos smartphones).
Si cette opportunité était clairement appropriée depuis l’année 2013 par la mise en place de Flux Vision, la crise sanitaire que nous traversons actuellement n’est-elle pas à nouveau l’occasion rêvée pour quelques institutions, de recueillir les données qui nous appartiennent dans des visées qui pour l’heure, nous échappent réellement?
La pandémie doit-elle être une véritable autoroute à la renonciation plus ou moins claire de nos droits ?
On l’a vu la semaine passée, le commissaire européen Thierry Breton (on le rappelle, ancien PDG de France Telecom) a sollicité la coopération d’opérateurs à travers l’Europe dont Orange, Deutsche Telekom et Vodafon, dans le cadre de la gestion de la crise sanitaire qui nous touche depuis plusieurs semaines.
Pour Orange par exemple, cet appel concerne pas moins de 34 millions d’abonnés, dont les données de connexion ont fait l’objet d’une utilisation sous couvert d’anonymisation et transmises selon son PDG, Stéphane Richard, à l’INSERM.
L’objectif annoncé : l’exploitation des données agrégées issues du comptage des mobiles des abonnés afin de constituer un outil de lutte contre la propagation du virus, pour permettre de mieux comprendre la diffusion du virus et l’impact du confinement.
Un vœu pieux certes à prime abord et si cette annonce surprend un peu en 2020, ce partenariat n’est cependant pas nouveau puisqu’il est le fruit de la collaboration depuis de nombreuses années, entre l’INSERM via l’une de ses chercheuses Vittoria Colizza, avec Orange, dans le cadre d’une étude s’attachant aux liens entre la mobilité des populations et la propagation de certaines pathologies.
“Nous n’allons pas nous intéresser aux déplacements d’un individu particulier, en regardant comment il a bougé et où. Nous allons plutôt analyser des données quantitatives anonymisées qui rendent compte de la mobilité entre zones géographiques grâce à la localisation des antennes relais qui gèrent le signal de communication (appel, texte), qui font état du nombre de déplacements effectués d’un canton à l’autre en France”, expliquait dès lors le chercheur Inserm Eugenio Valdano, qui travaille sur le projet avec Vittoria Colizza, sur le site même de l’Institut.
Une belle occasion de redorer son blason pour Orange, dont le PDG, Stéphane Richard, n’hésite pas à donner de sa personne au travers des médias depuis quelques jours, alors que les enchères 5G auraient dû battre leur plein et que les conditions d’attribution des premières bandes de fréquence posait déjà des difficultés pour la concurrence dans les mois qui ont précédé la crise sanitaire mais surtout, de sortir la tête haute commercialement parlant, avec un partenariat prestigieux et salvateur auprès des populations, qui ne conservera en tête qu’une image de bon samaritain pour le moins bienvenue.
Or, si l’on peut se « féliciter » de l’usage de ce recueil de données dans le cadre de la gestion de la crise que nous traversons, il est cependant nécessaire de connaître l’origine de cette technologie, qui n’est pas récente sur le marché et qu’Orange tente de commercialiser depuis l’année 2013.
En d’autres termes, il s’agit d’un programme intitulé Flux Vision, initialement conçu pour fournir des statistiques sur les « flux de voyage » aux sites touristiques : tout est consigné, du nombre de voyageurs à la durée du séjour, les itinéraires suivis, les lieux fréquentés, etc … sous couvert bien évidemment d’anonymat, tout cela par le canal des relevés effectués sur les antennes relais implantées.
Le caractère confidentiel des données bafoué ?
Anonymat réel ? C’est la question qui se pose, car pour que les données soient véritablement exploitables, il s’agit de jeter un œil du côté de ces dernières pour se rendre compte que cela ne peut être véritablement le cas si l’on veut obtenir un résultat ayant une résonnance à terme.
D’ailleurs, cela fait quelques années que le programme n’a pas fait l’objet d’une mise à jour et pour cause, il s’affranchit très clairement du consentement de ses abonnés.
Pourtant, cet anonymat est une vaste fiction, ce qui amène à une seconde réflexion sur le rôle joué par la CNIL dans l’appréhension et l’exploitation de ces mêmes données.
Si l’on s’en réfère à la première présentation qui a été faite du projet en 2015, Orange s’enorgueillit d’une compliance CNIL, sur la base d’un algorithme exclusif conçu et développé par les Orange Labs pour garantir l’anonymat, au moyen d’une anonymisation irréversible, permettant de traiter les données techniques du réseau mobile dont la localisation, en temps réel.
Ces données techniques sont restituées sous forme d’indicateurs pertinents et sans aucune possibilité de remonter à l’individu.
Un développement soit-disant soumis dès le départ, à la Commission Nationale Informatique et Liberté (CNIL) à différentes étapes de sa conception, ainsi que cela était repris dans le communiqué de presse présentant le programme et auquel la CNIL, qui a pourtant dû intervenir à plusieurs reprises (notamment en 2014) auprès d’Orange concernant la gestion des données de ses clients, consent au moyen de l’argument d’agrégation.
Un faux semblant théorique mais en réalité tout à fait illégal ; le RGPD imposant avant tout recueil, d’obtenir l’accord explicite du propriétaire de ces données, ce qui l’empêche véritablement d’autoriser même implicitement le traitement des données de géolocalisation. Et l’on sait qu’à ce sujet, les sanctions pleuvent depuis la mise en place du dispositif légal.
A défaut, la directive ePrivacy aurait pu être invoquée mais ne s’applique qu’en matière criminelle, en dehors de tout cadre relatif à une pandémie et en tout état de cause, le recueil du consentement est impératif également.
La subtile distinction entre données agrégées et anonymisées.
En d’autres termes, Orange n’aurait du pouvoir transmettre que des données relatives uniquement aux connexions aux stations de base, ce qui n’aurait pas véritablement permis de pouvoir identifier aussi clairement les mouvements des individus (la ville de Paris a par exemple pu évaluer les mouvements en dehors de son périmètre à 17%). Pourquoi s’affranchir autant de la légalité alors que l’étude pouvait être tout aussi pertinente sur la base de données plus simples et obtenues en toute conformité avec les dispositions légales en vigueur ?
Ce qu’il est intéressant de constater (et à tout hasard), c’est la présence de ce même programme Flux Vision, développé et laissé en sommeil depuis plus ou moins 7 ans, au sein des projets Smart Cities qui seront déployés dans le cadre des projets 5G d’Orange, tel que cela figure dans les dossiers de presse publiés sur le site d’Orange Business.
Ce qui est certain, c’est que la seule utilisation des données qui devrait être acceptable dans le cadre actuel, n’aurait dû avoir trait qu’à la protection des individus à titre personnel, face à l’épidémie et à la maladie sur des données recueillies à large échelle après que les malades aient fait l’objet d’une identification claire par un test.
A ce titre, les applications qui ont été développées en Asie sont en tout état de cause bien différentes, car imposant en amont au concepteur du programme, un acte volontaire quant à son consentement, de la part du propriétaire des données collectées.
Une vision bien au-delà de la pandémie.
Il est certain que la vision prospective d’une société ou d’un groupe industriel ne puisse s’inscrire que dans une vision proche de son développement économique.
La violation des textes nationaux comme supra nationaux, à la demande d’une instance dirigeante, à savoir la commission européenne en charge du numérique, représentée par Thierry Breton, est pour le moins curieuse mais cohérente, si on se projette dans la vision que sera confiée aux entreprises en charge du développement des projets de smart cities découlant de l’avènement de la 5G par exemple.
La pandémie doit-elle nous faire oublier nos droits les plus élémentaires ? Nous ne le croyons pas, même s’il ne s’agit bien évidemment que de pures hypothèses.