Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au fil la journée). La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

Flux Vision

En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des statistiques sur les « flux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance, chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identifier chaque personne, mais elles sont réalisées de façon plus ou moins légale.

Pour mesurer la fréquentation d’un lieu, il suffit de compter le nombre de connexions à une antenne-relais, sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identifiant de chaque connexion .

La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement. Pour des raisons encore obscures et sans aucune base légale, la CNIL tolère que les opérateurs téléphoniques violent la loi « dans le domaine du tourisme, de l’aménagement du territoire et du trafic routier ». En 2013, Orange avait pu profiter de cette situation mais, coincé entre l’illégalité et la tolérance de la CNIL, l’entreprise n’a plus proposé d’offre nouvelle depuis 7 ans.

Jusqu’à ce que l’occasion se présente enfin. Une crise sanitaire, un gouvernement défaillant, des stratégies à inventer, tout ce qu’il faut pour proposer un nouveau produit.

L’occasion de la crise

Le commissaire européen Thierry Breton, lui aussi, a vu l’occasion d’aider l’industrie qui l’a nourri : il a réuni les huit principaux opérateurs européens (Orange, Deutsche Telekom, Vodafone…) pour annoncer entre grands-techniciens non-médecins leur stratégie pour lutter contre la pandémie en surveillant la population. De quoi mettre en avant leurs offres commerciales.

Et justement, de son côté en France, le PDG d’Orange, Stéphane Richard, enchaîne les interventions média avec une stratégie qui semble assez claire : recycler son offre Flux Vision de 2013 pour la crise actuelle. Si Orange peut déjà informer les villes sur les mouvements de leurs touristes, il le pourra aussi pour leurs malades et leurs confinés. Et si Orange joue les bons élèves en temps de crise, il aura ouvert un nouveau marché durable. Il se sera même rapproché d’autres marchés similaires, encore peu avouables, que ce soit pour tracer les manifestant⋅es, les jeunes des quartiers pauvres, les sans-abris…

Une bien belle occasion pour se diversifier dans le sécuritaire.

Le soutien de la CNIL

Et que fait la CNIL ? Mediapart nous apprend qu’elle pousse le gouvernement vers certaines solutions qui, en pratique, sont principalement celles d’Orange.

Pour se justifier, la CNIL reprend le vocabulaire fallacieux d’Orange, qui se vante de fournir des statistiques « agrégées » afin de donner l’impression qu’il respecte la loi. Or, pour fournir des statistiques de déplacement « anonymes », Orange analyse d’abord des données personnelles, non-anonymes, sans le consentement des personnes. C’est illégal.

La CNIL aurait dû exiger qu’aucune statistique d’Orange ne puisse se fonder sur autre chose que des données purement techniques, sans lien avec les personnes, tel que le nombre de connexions aux antennes-relais. Par exemple, bien qu’on ne sache pas exactement comment Paris a évalué à 17% la baisse de sa population depuis le confinement, la ville aurait simplement pu comparer entre deux dates le nombre de connexions à ses antennes, démontrant qu’il n’est pas nécessaire de violer la loi pour produire des chiffres.

Une surveillance plus poussée

Hélas, la CNIL ne se contente pas de faire la promotion des offres commerciales d’Orange. Elle invite aussi le gouvernement à adopter une nouvelle loi dans l’hypothèse où il faudrait des mesures « plus poussées » – par exemple, cartographier chaque malade ou confiné, sans leur consentement. Pourtant, la directive ePrivacy interdit toute loi de ce type : les données de localisation ne peuvent être collectées sans le consentement des personnes que pour lutter contre les infractions (et seulement les crimes les plus graves, d’après les juges de l’UE) et non pour lutter contre la propagation d’un virus . Contrairement à ce qu’on peut lire dans la presse, le RGPD n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le pourrait. Elle l’interdit en l’espèce.

On aimerait croire que, si la CNIL invite le gouvernement à violer le droit européen, ce n’est pas simplement pour la grandeur industrielle du pays, mais aussi pour protéger notre santé. Sauf que ni la CNIL, ni Orange, ni personne n’a été capable de démontrer la nécessité médicale de surveiller sans leur accord les personnes confinées ou malades – surtout quand celles-ci sont indétectables en l’absence de test. Alors que Singapour propose une application basée sur un protocole ouvert permettant aux personnes de révéler volontairement leurs déplacements, pourquoi la CNIL défend-t-elle la proposition d’Orange, contraire au droit, beaucoup moins respectueuse de nos libertés et qui, elle, n’a fait aucune preuve de son intérêt contre le virus ?

Pour l’instant, le gouvernement semble insensible aux appels d’Orange, occupé par des choses plus importantes. Bien. Contrairement à la CNIL, nous n’hésiterons pas à l’attaquer s’il cédait aux ambitions hasardeuses des profiteurs de crise.