Une surveillance de masse nous menace-t-elle vraiment? On vérifie cela en quatre points

C’est lui qui apparaît en premier sur le site web des opposants à la modification de la loi Covid-19. Un immense œil bleu, accompagné de la question «Surveillance de masse?» Le spectre d’un contrôle généralisé de la population est mis en avant par les opposants au texte soumis au vote le 28 novembre. Mais qu’en est-il vraiment? La Suisse est-elle en train d’imiter la Chine en surveillant ses citoyens?

Sur leur site, les opposants évoquent «l’introduction de la surveillance électronique massive de la population» et pointent l’article 3 de la loi, dénonçant le fait que la Confédération met en place «un traçage électronique des contacts qui soit complet et efficace». Selon les opposants, «cela signifie une surveillance électronique massive des citoyens, de leur vie et de leurs contacts sociaux, de leurs déplacements et de leurs voyages. Les données seront stockées dans des bases de données centrales. La situation vécue en Chine, avec une surveillance totale des gens et un système de points sociaux, n’a jamais semblé si proche.»

Notre éditorial: Le retour à la normalité passe par la loi covid

Nous avons demandé à Michelle Cailler, porte-parole romande des Amis de la Constitution, de préciser ces arguments. Et nous les avons confrontés avec l’expertise de Sylvain Métille, avocat et professeur en protection des données et droit pénal informatique à l’Université de Lausanne et François Charlet, juriste spécialisé dans les nouvelles technologies.

1. La fuite de données sensibles

Le certificat covid contient des informations médicales sensibles. «Et il y a un risque élevé que les données personnelles liées au certificat covid soient piratées un jour», estime Michelle Cailler, relevant que le certificat a déjà subi plusieurs pannes ces dernières semaines. Selon elle, le traçage numérique «augmente le risque de fuite de données sensibles. Il y a eu deux exemples récents: le piratage de la plateforme gérée par le Secrétariat d’Etat à l’économie EasyGov – avec le vol de données des entreprises qui ont demandé des crédits covid – et le fait que les services du médecin cantonal vaudois avaient envoyé des informations médicales par e-mail sans masquer les adresses de tous les destinataires.»

Lire aussi: Fraudes, pannes... le certificat covid est-il encore fiable?

Pour Sylvain Métille, des mesures de sécurité solides sont en place: «Bien sûr, tout traitement de données augmente le risque. C’est précisément pour cela que le certificat covid est uniquement stocké localement, dans l’application dédiée ou sur papier. Il n’y a pas de système central fédéral traitant les données personnelles et les certificats.» Selon l’avocat, «on ne peut pas exclure de piratage mais les données contenues dans le certificat sont limitées. Et celui qui n’a pas confiance dans l’application peut demander exclusivement un certificat papier.»

Un avis que partage François Charlet: «Plusieurs éléments réduisent considérablement le risque de fuite de données, sensibles ou non. Le certificat de chaque personne est stocké sur son téléphone et il ne figure pas dans une base de données centralisée à laquelle les autorités cantonales ou fédérales auraient accès. Et lorsqu’on vérifie le certificat, on ne transmet pas de données personnelles à qui que ce soit, on ne fait que vérifier si sa signature électronique est valable et s’il n’a pas été révoqué.» De plus, il n’y a aucun croisement avec d’autres données personnelles.

Des cas de fraude ont été détectés, notamment à Genève, dus à des émetteurs de certificats peu scrupuleux. Mais il ne s’agit ni de faille technique, ni d’élément lié à une quelconque surveillance.

François Charlet poursuit: «Les données figurant sur le certificat doivent pouvoir être consultées lors d’un contrôle, le risque de «piratage» n’est donc pas inexistant. On a effectivement vu des personnes utiliser l’application destinée à stocker les certificats lorsqu’elles devaient les contrôler, ce qui leur permettait d’en faire une copie sur leur smartphone. C’est notamment pour lutter contre ce phénomène que le certificat «light» a été proposé. Cependant, il est très peu probable que des personnes parviennent à infiltrer les millions de smartphones de Suisse pour voler tous les certificats.»

2. Flirt avec les limites

Un risque permanent de dérive est pointé par Michelle Cailler: «Régulièrement, le préposé fédéral à la protection des données met en garde les autorités par rapport à des risques de dérive en matière d’utilisation des données personnelles.» La responsable cite aussi l’exemple du site Mesvaccins.ch, dont les pratiques ont été fermement critiquées par le préposé cette année.

Pour François Charlet, le garde-fou existe et il est efficace: «Le préposé fédéral à la protection des données a suivi et accompagné la mise en place du certificat par la Confédération. Le 4 juin 2021, il a d’ailleurs confirmé que le certificat répondait «à des exigences essentielles de la surveillance en matière de protection des données». Sylvain Métille relève de son côté que le préposé «a demandé et obtenu qu’une une version «light» du certificat, ne contenant plus aucune donnée de santé, soit proposée.» Reste un point: régulièrement, des acteurs du monde technologique déplorent le peu de moyens dont dispose le préposé.

3. Des contrôles trop intrusifs

De manière générale, poursuit Michelle Cailler, «on entre dans une société de la surveillance, avec un restaurateur ou le gérant d’un théâtre qui connaît désormais mon nom et mon statut vaccinal lorsque je dois lui montrer tant ma pièce d’identité que mon certificat».

Il ne faut pas tout mélanger, soulignent les deux experts. Certes, estime Sylvain Métille, «la société de surveillance est un risque bien réel. Mais l’utilisation de l’application de vérification du certificat (Covid Certificat Check) ne permet pas d’enregistrer les données (et la personne concernée peut s’en assurer en utilisant un certificat «light») et le restaurateur ou le gérant d’un théâtre n’a pas le droit de conserver ou d’utiliser les données pour autre chose que pour vérifier la validité du certificat. Le risque est bien plus grand lorsque l’on donne son nom au restaurateur ou gérant d’un théâtre – ou, pire à un service en ligne géré par un tiers – pour effectuer une réservation.»

Il faut faire attention à ces subtilités, poursuit François Charlet: «Lors d’une réservation au restaurant, on demande généralement au client son nom (certes, on peut mentir) et un numéro de téléphone. Les restaurateurs récoltaient donc déjà des données personnelles avant la pandémie. Quant aux théâtres et autres lieux de culture, les billets sont souvent nominatifs, par exemple s’ils ont été achetés en ligne. Cependant, il est vrai qu’avant la pandémie, aucune vérification de ces informations n’était effectuée.»

Pour le juriste, il ne faut pas se tromper de combat. «Dire qu’on entre dans une société de la surveillance à cause du certificat covid est faux: on est en plein dedans depuis une quinzaine d’années à cause d’internet et, notamment, des réseaux sociaux (Facebook en tête) et d'autres services numériques (Google Search par exemple), que l’ensemble de la population suisse utilise quotidiennement, opposants à la loi covid y compris», martèle François Charlet. Pour lui, «ces réseaux sociaux et services numériques suivent le moindre de nos faits et gestes d’une manière que même Orwell n’avait pas imaginé, et ce, sans que la population s’en indigne ou décide de se tourner vers des services plus respectueux».

Le juriste rappelle que le peuple a accepté plusieurs lois ces dernières années qui permettent aux autorités de les surveiller, telles la loi fédérale sur la surveillance de la correspondance par poste et télécommunication et la loi fédérale sur le renseignement. «On a plus de mal à tolérer le certificat covid car il est visible et a des conséquences pratiques sur notre quotidien. A l’inverse, la surveillance de Facebook et Google et celle des autorités pénales ou des autorités de renseignement sont invisibles. Je trouve donc hypocrite de la part des opposants de dénoncer la surveillance supposée de la loi covid et de se servir de Facebook et autres réseaux sociaux pour propager leurs arguments», conclut François Charlet.

4. Un scénario à la chinoise

C’est un scénario de cauchemar. «Il y a un risque que tous les outils de traçage actuels perdurent et que les autorités veuillent du traçage nominatif permanent, un peu comme en Chine, en mêlant état de santé et géolocalisation», craint Michelle Cailler.

Sylvain Métille reconnaît que «c’est effectivement un risque, lié surtout à la désensibilisation des personnes au partage de leurs données. Plus vite nous sortirons de cette pandémie, moins le risque sera grand. L’utilisation du certificat covid est juridiquement bien encadrée, limitée dans le temps et les données ne sont pas croisées avec d’autres. Le risque de traçage est bien plus grand à mon avis avec l’utilisation des réseaux sociaux et applications pour smartphone.» Rappelons par ailleurs que le certificat covid n’utilise jamais de données de géolocalisation.

Pour François Charlet, le risque esquissé par les opposants à la loi covid «pourrait se matérialiser si les autorités fédérales décidaient d’adopter des lois qui vont dans ce sens. Cependant, il existe des conditions strictes posées par l’art. 36 de la Constitution fédérale (et la Convention européenne des droits de l’homme) en matière de limitation des droits fondamentaux. En outre, nul doute que la barrière du référendum peinerait à être passée. Le peuple suisse a la chance incroyable et quasiment unique au monde (d’essayer) de pouvoir dire non à ses autorités par les urnes. C’est ce que les opposants à la loi covid veulent faire, ils en ont le droit et ont raison de tenter de le faire, ne serait-ce que pour provoquer un débat. Encore faut-il avoir des arguments…»

Lire aussi: Derrière le scandale Pegasus, la face oubliée de la surveillance de masse

Et dans nos archives: En France, la tentation de créer une société sous surveillance