Vous êtes sur la page 1sur 5

ORANGE RECYCLE SON SERVICE DE

GÉOLOCALISATION POUR LA PANDÉMIE


28 mars 2020

Depuis des années, Orange cherche à commercialiser la mine d’or que sont nos données de
géolocalisation (la liste des antennes-relais auxquelles nos téléphones se connectent au <l la journée).
La pandémie semble être pour l’entreprise une bonne occasion d’ouvrir son marché.

Flux Vision
En 2013, Orange a lancé une première offre, Flux Vision, qui propose aux villes et lieux touristiques des
statistiques sur les « Dux de déplacement » de leurs visiteurs : fréquentation, durée de séjour, provenance,
chemins parcourus. Les statistiques fournies ne permettent évidemment pas d’identiHer chaque
personne, mais elles sont réalisées de façon plus ou moins légale.

Pour mesurer la fréquentation d’un lieu, il suKt de compter le nombre de connexions à une antenne-relais,
sans traiter de donnée personnelle. Bien. En revanche, pour évaluer les durées de séjour, la provenance ou
les déplacements, Orange doit traiter les données non-anonymes qui révèlent la position de chaque
visiteur à différents moments de son séjour. En pratique, il ne s’agit plus seulement de compter le
nombre de connexions à une antenne mais, aussi, de s’intéresser à l’identiHant de chaque
1
connexion Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs
venaient de Toulouse, permettant à la ville de mieux cibler sa prochaine campagne publicitaire (voir le
témoignage). L’entreprise a aussi suivi la position des personnes autour du lieu de la Féria à différentes
heures de la journée, pour révéler par exemple que les personnes qui y vivaient habituellement ont
attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet article). Ces
informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque
personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont
collectées, examinées ou catégorisées pour une Hnalité étrangère au service initialement fourni par
l’opérateur à ses abonnées..

La directive ePrivacy et la loi française interdisent le traitement de données de localisation non-anonymes


sans notre consentement. Dans le cadre de Flux Vision, Orange ne demande jamais ce consentement.
2
Pour des raisons encore obscures Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut
souligner qu’il ne s’agit malheureusement pas d’un cas isolé. À l’article 5 de ses lignes directrices de
2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une exception à l’obligation d’obtenir
notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur des sites Web)
et autorise à déposer et récupérer des Hchiers sur notre ordinateur ou téléphone pour « la production de
statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82
de la loi informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une
personne peut accéder à notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit,
et quoi qu’en dise la CNIL, aucun motif économique ne justiHe de porter atteinte à l’inviolabilité de nos
équipements informatiques ou de notre domicile. et sans aucune base légale, la CNIL tolère que les
opérateurs téléphoniques violent la loi « dans le domaine du tourisme, de l’aménagement du territoire et
du traHc routier ». En 2013, Orange avait pu proHter de cette situation mais, coincé entre l’illégalité et la
tolérance de la CNIL, l’entreprise n’a plus proposé d’offre nouvelle depuis 7 ans.

Jusqu’à ce que l’occasion se présente enHn. Une crise sanitaire, un gouvernement défaillant, des
stratégies à inventer, tout ce qu’il faut pour proposer un nouveau produit.

L’occasion de la crise
Le commissaire européen Thierry Breton, lui aussi, a vu l’occasion d’aider l’industrie qui l’a nourri : il a
réuni les huit principaux opérateurs européens (Orange, Deutsche Telekom, Vodafone…) pour annoncer
entre grands-techniciens non-médecins leur stratégie pour lutter contre la pandémie en surveillant la
population. De quoi mettre en avant leurs offres commerciales.

Et justement, de son côté en France, le PDG d’Orange, Stéphane Richard, enchaîne les interventions média
avec une stratégie qui semble assez claire : recycler son offre Flux Vision de 2013 pour la crise actuelle.
Si Orange peut déjà informer les villes sur les mouvements de leurs touristes, il le pourra aussi pour leurs
malades et leurs conHnés. Et si Orange joue les bons élèves en temps de crise, il aura ouvert un nouveau
marché durable. Il se sera même rapproché d’autres marchés similaires, encore peu avouables, que ce
soit pour tracer les manifestant⋅es, les jeunes des quartiers pauvres, les sans-abris…

Une bien belle occasion pour se diversiHer dans le sécuritaire.

Le soutien de la CNIL
Et que fait la CNIL ? Mediapart nous apprend qu’elle pousse le gouvernement vers certaines solutions
qui, en pratique, sont principalement celles d’Orange.

Pour se justiHer, la CNIL reprend le vocabulaire fallacieux d’Orange, qui se vante de fournir des
statistiques « agrégées » aHn de donner l’impression qu’il respecte la loi. Or, pour fournir des statistiques
de déplacement « anonymes », Orange analyse d’abord des données personnelles, non-anonymes, sans
le consentement des personnes. C’est illégal.

La CNIL aurait dû exiger qu’aucune statistique d’Orange ne puisse se fonder sur autre chose que des
données purement techniques, sans lien avec les personnes, tel que le nombre de connexions aux
antennes-relais. Par exemple, bien qu’on ne sache pas exactement comment Paris a évalué à 17% la
baisse de sa population depuis le conHnement, la ville aurait simplement pu comparer entre deux dates le
nombre de connexions à ses antennes, démontrant qu’il n’est pas nécessaire de violer la loi pour
produire des chiffres.

Une surveillance plus poussée


Hélas, la CNIL ne se contente pas de faire la promotion des offres commerciales d’Orange. Elle invite
aussi le gouvernement à adopter une nouvelle loi dans l’hypothèse où il faudrait des mesures « plus
poussées » – par exemple, cartographier chaque malade ou conHné, sans leur consentement. Pourtant, la
directive ePrivacy interdit toute loi de ce type : les données de localisation ne peuvent être collectées
sans le consentement des personnes que pour lutter contre les infractions (et seulement les crimes les
3
plus graves, d’après les juges de l’UE) et non pour lutter contre la propagation d’un virus Au regard de
l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de
localisation sans le consentement des personnes si cela est justiHé par la « sécurité nationale » ou la
« sécurité publique ». La « sécurité nationale » est déHnie à l’article 4, §2, du Traité sur l’UE comme
couvrant les domaines pour lesquelles l’Union n’est pas compétente pour agir. Or, l’article 168 du Traité
sur le fonctionnement de l’UE prévoit que celle-ci est compétente pour lutter contre les maladies. Ce
domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton et la
Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États
membres, comme c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la
directive 2016/680 comme étant un domaine « compris » dans la lutte contre les infractions. La Cour de
justice de l’Union européenne est encore plus rigoureuse, précisant que la « sécurité publique » ne justiHe
la surveillance que des personnes mêlées à « une infraction grave » (arrêt Tele2 du 21 décembre 2016,
point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions graves » et est donc
exclu de la notion de « sécurité publique ».. Contrairement à ce qu’on peut lire dans la presse, le RGPD
n’est pas à même d’autoriser le traitement de données de localisation. Seule la directive ePrivacy le
pourrait. Elle l’interdit en l’espèce.

On aimerait croire que, si la CNIL invite le gouvernement à violer le droit européen, ce n’est pas
simplement pour la grandeur industrielle du pays, mais aussi pour protéger notre santé. Sauf que ni la
CNIL, ni Orange, ni personne n’a été capable de démontrer la nécessité médicale de surveiller sans leur
accord les personnes con<nées ou malades – surtout quand celles-ci sont indétectables en l’absence de
test. Alors que Singapour propose une application basée sur un protocole ouvert permettant aux
personnes de révéler volontairement leurs déplacements, pourquoi la CNIL défend-t-elle la proposition
d’Orange, contraire au droit, beaucoup moins respectueuse de nos libertés et qui, elle, n’a fait aucune
preuve de son intérêt contre le virus ?

Pour l’instant, le gouvernement semble insensible aux appels d’Orange, occupé par des choses plus
importantes. Bien. Contrairement à la CNIL, nous n’hésiterons pas à l’attaquer s’il cédait aux ambitions
hasardeuses des pro<teurs de crise.

References

Pendant la Féria de Béziers de 2016, Orange a révélé qu’un nombre important de visiteurs venaient de Toulouse, permettant
1.
à la ville de mieux cibler sa prochaine campagne publicitaire (voir le témoignage). L’entreprise a aussi suivi la position des
personnes autour du lieu de la Féria à différentes heures de la journée, pour révéler par exemple que les personnes qui y
vivaient habituellement ont attendu les derniers jours de festivité pour revenir chez elles (voir le graphique illustrant cet
article). Ces informations ne peuvent être produites qu’en analysant les données de localisation propres à chaque
personne. Peu importe que ces données soient ensuite anonymisées si, avant de l’être, elles sont collectées, examinées ou
catégorisées pour une Hnalité étrangère au service initialement fourni par l’opérateur à ses abonnées.

Pour mieux comprendre pourquoi la CNIL tolère Flux Vision, on peut souligner qu’il ne s’agit malheureusement pas d’un cas
2.
isolé. À l’article 5 de ses lignes directrices de 2019 sur l’utilisation de traceurs en ligne, la CNIL a, ici aussi, inventé une
exception à l’obligation d’obtenir notre consentement. Encore une fois, cette exception concerne l’analyse des visiteurs (sur
des sites Web) et autorise à déposer et récupérer des Hchiers sur notre ordinateur ou téléphone pour « la production de
statistiques anonymes ». Cette exception viole tant l’article 5, §3, de la directive ePrivacy que l’article 82 de la loi
informatique et libertés de 1978. Ces deux textes sont parfaitement explicites sur les cas où une personne peut accéder à
notre ordinateur pour une chose qu’on ne lui a pas demandée : jamais. En droit, et quoi qu’en dise la CNIL, aucun motif
économique ne justiHe de porter atteinte à l’inviolabilité de nos équipements informatiques ou de notre domicile.

Au regard de l’article 15 de la directive ePrivacy, les États peuvent demander aux opérateurs de traiter des données de
3.
localisation sans le consentement des personnes si cela est justiHé par la « sécurité nationale » ou la « sécurité publique ».
La « sécurité nationale » est déHnie à l’article 4, §2, du Traité sur l’UE comme couvrant les domaines pour lesquelles l’Union
n’est pas compétente pour agir. Or, l’article 168 du Traité sur le fonctionnement de l’UE prévoit que celle-ci est compétente
pour lutter contre les maladies. Ce domaine échappe donc à la « sécurité nationale ». S’il en allait autrement, Thierry Breton
et la Commission ne pourraient pas intervenir pour lutter contre le coronavirus sur le territoire des États membres, comme
c’est le cas actuellement. La « sécurité publique », elle, est décrite à l’article 1 de la directive 2016/680 comme étant un
domaine « compris » dans la lutte contre les infractions. La Cour de justice de l’Union européenne est encore plus
rigoureuse, précisant que la « sécurité publique » ne justiHe la surveillance que des personnes mêlées à « une infraction
grave » (arrêt Tele2 du 21 décembre 2016, point 106). Lutter contre le virus ne consiste pas à lutter contre des « infractions
graves » et est donc exclu de la notion de « sécurité publique ».