Le R.G.P.D., les « données personnelles », la « « vie privée » », la cITé

Le R.G.P.D., les « données personnelles », la « « vie privée » », la cITé

Depuis l’avènement du smartphone, un constat s’impose au sein du GSARA et de ses animateurs de terrain : une majorité de nos concitoyens sont ignorants de la collecte et du traitement de leurs « données personnelles » par une multiplicité de sociétés et autres intermédiaires actifs dans la filière des datas.

La collecte commence par votre système d’exploitation et finit sur les affiches des abribus, dans notre espace public. Entre les deux, la multiplicité des acteurs et de leurs rôles contribue à une certaine ignorance du marché. Un marché de la data en pleine expansion, qui brasse des données de plus en plus diverses, de plus en plus « raffinées ». Un marché dont Facebook n’est que la partie la plus visible et appréhensive.

De par sa position de super-géant dans ce marché des datas, Facebook est –presque- à tous les étages : il est un système en soi, avec ses applications, ses fonctionnalités plus ou moins sociales, ludiques et commerciales. Il collecte d’innombrables données jusqu’aux plus intimes, les raffine, les agrège, les revend aux régies publicitaires. Il entraîne ses algorithmes sur ces jeux de données et propose à d’autres sociétés qui ont besoin d’intelligence artificielle d’en faire autant. Bref, Facebook fait un peu tout et constitue le « modèle de référence » quand le citoyen tente d’imaginer l’exploitation commerciale des « données personnelles ».

Lorsqu’on élargit le spectre aux autres géants du numérique américain, lorsque que l’on tente d’imaginer le nombre de données reçues par Google, ce qu’il en fait et pourrait en faire dans les multiples champs d’activités qu’il investit (militaire, santé, domotique, industrie…), le vertige est saisissant. Cette prise de conscience a sans doute poussé la commission européenne à réformer intensément le régime mis en place par la directive 95/46/CE de 1995 et à imposer à tous ceux qui traitent des données de citoyens européens un nouveau règlement: le R.G.P.D. (Règlement général sur la protection des données). Ce nouveau texte vise à établir un régime unifié pour les données à caractère personnel dans l’Union Européenne.

Malice du calendrier, la mise en application de ce règlement –arrêtée au 25 mai 2018- se réalisera alors que résonnera encore le scandale du « siphonnage » de données personnelles via Facebook par Cambridge Analytica… À point nommé pour éclairer les enjeux politiques de ce nouveau règlement qui pourrait faire tâche d’huile sur d’autres continents et changer radicalement le business-model numérique actuellement à l’œuvre.

 

RGPD en quelques mots

Quel est son objectif?
Le RGPD vise à renforcer le droit des Européens sur internet en les informant de l’usage qui est fait de leurs données. Chacun pourra dès lors demander à une entreprise qui enregistre ses informations personnelles de les récupérer et, dans certains cas, de les supprimer. Enfin, les données des mineurs de moins de 16 ans ne pourront être acquises sans le consentement des parents.

Que nécessite-t-il pour les entreprises ?
Toutes les entreprises qui recueillent des données personnelles devront mettre en place un certain nombre de mesures. Voici les plus importantes:
Tenir un registre des activités de traitement des données;
Prouver que de bonnes méthodes de gouvernance interne pour le respect du RGPD ont été mises en place, notamment en termes de cybersécurité;
Nommer un délégué à la protection des données;
S’assurer de la conformité des éventuels sous-traitants choisis en matière de gestion ou de stockage des données numériques;
Notifier tout incident de sécurité aux autorités dans un délai de 72 heures.

Que fournit-il aux citoyens ?
Un droit d’accès facilité pour tous les utilisateurs. Si la collecte s’opère sur le site internet par exemple, une solution électronique devra être prévue, si possible avec un accès à distance sécurisé. En cas de demande d’accès de la part d’un utilisateur, l’entreprise disposera d’un délai d’un mois maximum pour la satisfaire.
Un droit à l’oubli pour tous les utilisateurs. Les entreprises disposeront d’un délai réduit d’un mois, et non plus de deux mois, pour supprimer les données à la suite d’une demande. Toutes les copies et toutes les reproductions des données devront aussi être effacées.
Un droit à la limitation du traitement, applicable dans quelques cas précis.
Un droit à la portabilité des données. Il s’agit d’un nouveau droit qui permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable et, le cas échéant, de les transférer à un tiers (en cas de changement de fournisseur de services par exemple).

1. Le RGPD, bouclier pour la vie privée ?

Le RGPD poursuit plusieurs objectifs ambitieux :
– Uniformiser au niveau européen la réglementation sur la protection des données.
– Responsabiliser davantage les entreprises en développant l’auto-contrôle.

C’est tout de même une première mondiale et ce n’est pas une petite réforme ! Dans ce nouveau texte le traitement est défini de façon très large et recouvre quasiment toute opération relative aux données personnelles, de la collecte jusqu’à la destruction. Nombre d’internautes dans le monde ont salué cette nouvelle réglementation proposée, imposée par la commission comme la conquête d’un nouveau droit civique. Et beaucoup nous envient le nouveau pouvoir que reçoit le citoyen via cette nouvelle réglementation.

Le texte met en place un cadre pour responsabiliser les entreprises et impose plusieurs principes vertueux comme l’obligation d’avoir un « délégué à la protection données » qui répondra du bon usage des « données personnelles ». Désormais, il faudra déclarer une finalité claire pour chaque collecte. Les opérations seront définies dans le temps. Les citoyens pourront demander à consulter, recevoir ou faire disparaître les données qui les concernent. Et les amendes prévues sont très salées.

On ne peut nier que la nouvelle donne se fera principalement au bénéfice des personnes, nous plaçant devant l’implacable réalité: gère tes données toi-même!
Désormais, chacun se retrouvera mieux armé en théorie (reste à voir en pratique) face aux entreprises et entités qui traitent les données. Mais cette nouvelle position de «trader de mes données» dans laquelle nous place la commission peut également laisser perplexe.
Le règlement a été rédigé en anglais et comme d’habitude, le diable pourrait bien se cacher dans les détails…

1.2 LE RGPD aura-t-il raison de Facebook ? Jusqu’où pourrait-il assainir le web ?

Offrir un produit adapté à nos besoins en fonction de la surveillance qui a été faite de nos comportements en ligne. C’est ce que l’on désigne désormais sous le terme «capitalisme de surveillance (source : framablog.org)

Le « capitalisme de surveillance », c’est peu ou prou le seul régime qui règne sur le web depuis l’arrivée de l’internet mobile. Nous payons les services gratuits de Google, de Facebook, de n’importe quel contenu accessible «gratuitement» avec des données liées à nos activités en ligne.

Traquer les visiteurs, recueillir leur IP sans leur consentement spécifique, savoir de quel site ils viennent et celui vers lequel ils s’en vont, sont des pratiques courantes sur Internet. Dès qu’un blogueur tente de rentabiliser son trafic en affichant une publicité, il introduit un mécanisme de traçage de ses visiteurs. Un simple bouton «J’aime» intégré au bas d’un article vous force impitoyablement à livrer des infos sur vous (et sur vos contacts si vous êtes sur Facebook) au géant bleu. Par la suite, ces données sont «anonymisées» (on retire le nom, le n° de téléphone, l’adresse), rassemblées dans des listes ciblant des profils de consommateurs et revendues aux régies publicitaires ou à leurs nombreux intermédiaires.

On peut dire que la majorité des sites que nous visitons nous tracent. Les jeux en ligne loguent chaque connexion, nos emails sont dans le nuage, les applications de nos smartphones ont accès à nos calendriers, nos contacts, nos micros, nos caméras… Sans parler des opérations bancaires en ligne.

Depuis la naissance du web, la publicité est omniprésente. Favorisant le modèle de services monnayés en datas; elle a été, est et restera le «moteur» du web.

Néanmoins, le nouveau RGPD a l’ambition de remodeler ce principe en action, ceci en imposant à chaque acteur de la chaîne des principes vertueux à appliquer à toute «donnée personnelle» «appartenant» à un citoyen européen.

1.2.1 Privacy by design & minimisation de la collecte

[…] seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. (source : privacy-regulation.eu)

Les premières lignes du passage reproduit ci-dessus doivent forcer les développeurs à intégrer le principe de «privacy by design». Plutôt conceptuelle, l’expression s’adresse aux développeurs de programmes: ce que vous codez doit tenir compte de la protection de la vie privée des utilisateurs et collecter un minimum d’informations personnelles, le strict nécessaire au fonctionnement de l’ensemble.

Exactement le contraire de ce que Facebook à fait jusqu’en 2015: inviter les développeurs à utiliser les données personnelles de l’utilisateur et avoir accès à celles de tous leurs contacts. Soit ce qui permit à Cambridge Analytica de se procurer les données relatives à des dizaines de millions de comptes pour ensuite les utiliser dans une campagne d’influence.

La dernière phrase de l’extrait susmentionné vise spécifiquement les réseaux sociaux qui doivent permettre le partage volontaire de données. Mais, sans consentement, le robinet doit être fermé.

Les données à caractère personnel doivent être :
[…] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

1.2.2 Un véritable consentement

Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale (source : privacy-regulation.eu)

Ici, tous les termes sont pesés et qualifient la relation entre l’utilisateur et celui qui manipule ses données. Voici le changement immédiat qui en découlera: lors de l’utilisation d’un service X, fini les cases pré-cochées ou les demandes de consentement noyées dans un flot indigeste de conditions générales illisibles.

Mais la recommandation devrait aussi s’étendre à tous les éléments présents dans une page web ou une application, y compris les éléments cachés: scripts, publicités, bouton Like, cookies…

Si le RGPD est appliqué avec intransigeance, il obligera chaque annonceur à recueillir un consentement «spécifique» de l’internaute pour un traçage. Le modèle économique de certains acteurs passés maîtres dans l’art de vous pister s’en trouvera fortement handicapé. Et c’est bien vers ce plein consentement que le texte tente de nous diriger (cf. la formule « accord manifesté de façon éclairée et univoque »). Évidemment, l’interprétation de ces notions dans la jurisprudence sera décisive.

Pour le citoyen éclairé, il sera à-priori profitable de bénéficier de ces protections. Par contre, cette obligation de proposer un choix clair et d’expliquer la finalité de chaque collecte n’enchante guère les entreprises et les états.

À ce stade, on pourrait penser que l’Union Européenne frappe d’un coup décisif dans le business des Gafa (géants du web). Mais paradoxalement, la mise en application du RGPD devrait plutôt les renforcer. Expliquons-nous. D’abord, il sera beaucoup plus facile de mettre en place le recueil d’un consentement de l’internaute «conforme» pour des géants comme Google ou Facebook que pour les petits acteurs. Ensuite, ces plateformes échangent la collecte contre un service gratuit, avec une vraie plus-value pour l’utilisateur. Franchement, au boulot ou à la maison, qui pense pouvoir faire l’impasse sur les services Google ? (Google d’ailleurs se montre assez serein).

Dernier aspect qui renforcera la domination de ces placeurs d’annonces sur le marché: la triche! Le phénomène de triche-aux-clics est bien connu entre concurrents. La rumeur indique qu’environ 30% des clics sur Adwords sont frauduleux. En effet, en tant que client, vous payez à Google pour un certain nombre d’«affichages». Votre concurrent, caché derrière un VPN, a tout intérêt à cliquer et cliquer encore sur votre pub pour la faire disparaître au plus vite. Jusqu’à présent, Google annonçait lutter au mieux contre le problème. Ce qui veut dire faire la liste des IP des multi-cliqueurs et de les bannir. Demain, conformément au RGPD, Google cessera de recueillir ces IPs. Résultat: davantage de clics frauduleux, augmentation du prix des affichages publicitaires et hausse des revenus pour Google.

Ainsi donc, le RGPD, pensé par l’Europe comme une réponse aux pratiques hégémoniques des géants du digital, risque dans un premier temps de les renforcer. Il n’en reste pas moins qu’il aura des effets vertueux sur cette notion toute personnelle qu’est «la vie privée» sur Internet. Chacun, en tant que personne et en tant qu’entreprise, étant sommé de prendre ses responsabilités et de se positionner sur le marché des «données personnelles».

Ce gain de transparence devrait être bénéfique à chacun. Aux citoyens, aux états, et finalement aux entreprises. La commission européenne a raison d’en faire une priorité : dans les sphères privées ou publiques, les enjeux du RGPD touchent à l’essence de notre « démocratie libérale de la surveillance ».

Car hors de la toile, dans notre monde bien réel d’hommes et de machines travaillant de concert, les données générées par les appareils connectés façonnent le monde selon des algorithmes….

2. Le RGPD, une passoire pour la vie publique ?

Personal data is any information that relates to an identified or identifiable living individual. Different pieces of information, which collected together can lead to the identification of a particular person, also constitute personal data. (source EU)

2.1 Vendre ses données ?

Les données seraient « le nouvel or noir »: nous voici devenus des petits puits de pétrole convoités par les groupes technologiques. Les données seraient un moyen de nous connaître le mieux possible et de nous fournir les meilleurs services du monde.

Emboîtant le pas à l’impulsion européenne, certains entendent déjà les espèces sonnantes et trébuchantes tinter à leurs oreilles. Les journaux Les echos.fr, capital.fr ou lethink-thank Generation plaident déjà l’instauration d’une « patrimonialité des données personnelles », considérant la donnée comme un « objet » relevant du droit commun des biens, soit une unité appropriable. L’objectif serait que les utilisateurs et producteurs puissent ainsi monétiser leurs données personnelles s’ils le souhaitent.

Ce raisonnement qui place chacun en vendeur des données de sa vie est-il réaliste ?

Tout d’abord, les données de VOTRE vie, cher lecteur, ne valent pas grand-chose. Elles ne sont intéressantes que corrélées à celles des autres. Qui sera intéressé d’acheter des profils à l’unité ? Les mêmes qu’aujourd’hui : Google, Facebook et consorts, les raffineries de données. Plus les profils sont accompagnés d’autres données (GPS, téléphone, ordinateur de bord…), plus le ciblage est précis et donc plus ils sont précieux.

Ensuite, les «données personnelles» sont définies dans un sens assez large. Toutes données qui pourraient conduire à vous identifier sont considérées comme des « personnelles ». Visés ici : les metadatas (heure d’envoi d’un SMS, fréquence de contact avec une personne, temps des appels, données de navigation, etc.), autant d’éléments permettant une identification indirecte. Ces metadatas proviennent parfois d’autres appareils que votre propre ordinateur: un routeur, une antenne GSM, un service de transport, votre commune, une compagnie aérienne… Ces données dites « personnelles » revêtent donc bien souvent un aspect commun. Ce sont des données reliées à d’autres personnes que vous. Dès lors, qui pourrait décider individuellement des les céder à qui que ce soit ?

Dernier gros point pour réaliser ce mirage du trading de ses propres données: la contractualisation de la vente. Sera-t-il possible de modifier un contrat proposé par «l’acheteur» de données ? Pourra-t-on revenir en arrière et faire valoir le «droit à l’oubli» ? Pourra-t-on réserver l’exclusivité de nos profils à une compagnie ? Comment le vérifierait-elle ? Quelle validité aura l’arrangement lorsque l’acheteur voudra réutiliser les données pour un autre usage ? Facebook pourrait-il les transférer à WhatsApp ou Instagram – deux services qui lui appartiennent mais en sont néanmoins distincts ?

L’idée que chacun va monétiser les données de sa vie est difficile à mettre en place. Imaginons que cela advienne. Facebook ou Google vous achètent vos «données personnelles». D’autres seront intéressés par ce genre d’achat. Au hasard: les assurances. S’il est permis aux assureurs d’avoir accès aux données de votre montre et de votre voiture, il est probable que le sportif sera avantagé par rapport au bon vivant, que le chauffard paiera sa prime plus chère que le conducteur du dimanche. Des notions aussi subjectives que «bonne santé» ou « prudence » ne se mesurent que sur des  modèles comportementaux standards ». Quels seront demain les recours des consommateurs face à des décisions motivées par de telles hypothèses génériques? Là où toute action est considérée comme une prise de risque, comment ne pas voir une incitation à l’autocensure ? (Voir le récent cas de la compagnie britannique Admiral).

Cette idée de « patrimonialisation des données » laisse entendre que l’exploitation des données personnelles ne serait qu’une question d’argent. Soyons clairs, il s’agit d’une question sociale et politique.
Au-delà de l’éthique et du respect de la vie privée, évoluer vers un régime étendu de monétisation de données individuelles semble une très mauvaise idée. En tous les cas, elle semble compliquée à mettre en place de manière satisfaisante pour chacun des acteurs.

2.2 Des données personnelles pour alimenter la cITé

Dans les textes bientôt en vigueur, le terme de « vie privée » est évincé au profit de celui de « protection des données personnelles ». Ce faisant, le RGPD tente de nous catapulter dans cette « nouvelle ère des datas » en laissant non résolue une bonne partie du problème.
En envisageant cet enjeu comme exclusivement commercial, les institutions européennes oublient l’aspect collectif qui se développe à mesure de l’usage des données. Cet enjeu majeur de « ce qui est fait » avec nos informations n’est pas limité à la simple relation utilisateur-service tel que l’envisage le RGPD.

Notes prises au cours d’un atelier de sensibilisation aux données personnelles. Charleroi 2018

2.3 Allez plus loin que le personnel

Le scandale Facebook-Analytica déjà évoqué plus haut vient à point nommé pour lever un coin du voile sur les questions cachées derrière le terme « personnelles ».

Olivier Ertzscheid (chercheur en sciences de l’information à l’Université de La Roche-sur-Yon) tente de cerner cet enjeu en résumant les possibles en deux modèles commerciaux en vigueur dans le monde informatique, le bunker (Apple) et la passoire (Les Logiciels Libres).

(…) l’approche « data-only » achève d’essentialiser un débat qui n’aurait pourtant de sens qu’à la condition que l’on accepte de penser l’articulation entre l’architecture technique et les services produits comme autre chose qu’un simple problème individuel de régulation de bits. C’est un enjeu collectif et la question est moins celle des « données »que celle de l’intentionnalité de la collecte et de l’architecture technique de recueil. (source : affordance.info)

Il rappelle plus loin que la vie privée est avant tout une affaire de négociation collective, et qu’il ne faut pas oublier que les intérêts privés demeurent le cœur du modèle d’affaire de ces firmes. Il y a là un paradoxe et une tension non résolue. La négociation avec Facebook s’est toujours faite à la suite de scandales pour lesquels les états ont dû faire des remontrances. Chaque fois, Mark Zuckerberg formule de plates excuses et de pieux vœux d’amélioration. Mais il n’est jamais question de négocier collectivement la taille des trous de sa passoire.

Signalons que des approches médianes et plus réalistes se développent timidement. Customer Commons par exemple, qui invite les éditeurs à accepter les conditions d’utilisation des données de leurs utilisateurs plutôt que l’inverse, sur la base de la licence Creative Commons en matière de droit d’auteur.

2.4 Travail d’équipe

2.4.1 Portabilité 

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre (…)
2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
3. L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.
(source : privacy-regulation.eu)

Le RGPD redéfinit les droits des utilisateurs quant aux plateformes qui recueillent leurs données. Il sera désormais possible de demander à consulter, télécharger, transférer, les données que vous aurez confiées à une plateforme. C’est une avancée par rapport à la situation actuelle, un confort pour l’utilisateur et cela améliore la transparence globale de ces plateformes-services.
Mais allons plus loin. Encore une fois, nos données personnelles ne prennent leur valeur que corrélées avec des masses d’autres. L’intérêt pour les utilisateurs d’exercer ce droit est donc limité. Il faudrait qu’ils choisissent de faire massivement usage de cette « portabilité » pour provoquer une réelle « hémorragie de données » sur les grandes plateformes. Une hémorragie susceptible de vider ces géants de leur substance au profit d’alternatives.

Imaginons maintenant que ce droit puisse être exercé par un collectif (une association, un syndicat…), ceci au nom d’individus. Ces groupes pourraient demander la portabilité COLLECTIVE d’un groupe entier d’utilisateurs, comme c’est le cas quand ils opèrent dans le cadre du « monde du travail » ou de la « défense des libertés fondamentales ». On changerait alors d’échelle et d’effet. Des champs entiers du « graphique social » élaboré par la plateforme pourraient être récupérés collectivement. Les données conservant leurs valeurs « sociétales », leurs corrélations. L’effet vertueux sur les pratiques de collectes et de traitement serait bien plus fort, en accord avec les équilibres et luttes en action dans « le monde physique ».

Si l’on reconnait aux données personnelles une valeur d’ »intérêt public » (paragraphe 4), le principe de portabilité devrait lui aussi pouvoir être collectif. C’est l’une des propositions très intéressantes de plusieurs observateurs du monde numérique: la Fing et le projet « Mesinfos.org« , la CNIL (et ici aussi) et même le rapporteur sur le monde digital de Mr Macron: Cedric Vilani (évoqué rapidement par le journal La Libre Belgique dans son article du 28 mars dernier) .

Comme le précise Lionel Maurel sur son blog dédié aux questions collectives à l’ère numérique :

Nos données personnelles sont produites dans le cadre de comportements qui, par ailleurs, sont identifiés du point de vue du droit comme appartenant à des espaces de la vie civile, là où nous exprimons notre citoyenneté et où nous vivons ensemble. On pourrait donc considérer que les traces numériques relèvent de l’intérêt général en tant que données « citoyennes ». Il y a bien lieu de parler à leur sujet d’intérêt général, parce que les plateformes ne devraient pas avoir le droit d’utiliser ces données sans nous demander un consentement individuellement, mais aussi et surtout, collectivement. (source : S.I.Lex)

À la fin de son article, Lionel Maurel précise que le plus difficile sera de faire émerger ce « droit social des données », de donner à ce pouvoir collectif une forme institutionnelle. Face à des algorithmes aveugles qui brassent des masses de données pour des décisions potentiellement lourdes de conséquences, l’émergence d’un contre-pouvoir agissant au nom des utilisateurs agrégés semble plus que souhaitable..

2.4.2 Usages de nos données et renforcement des Intelligences Artificielles

Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; (…) (source : privacy-regulation.eu)

Si le citoyen bénéficiera dorénavant d’un plus grand contrôle de son image, de son profil, ce n’est pas le RGPD qui encadrera les usages de nos données. Cette récupération de plus en plus vaste, de plus en plus croisée, est destinée à être exploitée non pas par des êtres humains, mais par des machines évidemment.

Elles entraînent notamment les IA des plus gros acteurs du numérique: Google, Facebook Apple, Amazon, plus celles des quelques états qui se sont lancés dans cette course. En ce sens, les IA ont «besoin» de nous pour les « nourrir ». Poursuivant les buts définis par leurs concepteurs, elles sont (encore) de simples outils conçus pour exécuter des tâches que nous jugeons « utiles », à « finalités déterminées, explicites et légitimes ».

Légitimement, on peut s’interroger sur cette relation de dépendance qu’entretiennent actuellement nos « données personnelles » et les AIs des Gafas… (Cfr la description faite par Laurent Alexandre de cette situation).

On peut redouter, de concert avec certains grands acteurs du numérique (voir E.Musk Vs Facebook, etc), de voir les IA générer leurs propres jeux de données pour se «nourrir» et se passer de nos «données personnelles», poursuivant alors peut-être des objectifs autres que ceux jugés « explicites et légitimes »… Le fameux moment M de la Singularité ?

Au regard du développement de l’intelligence artificielle, on peut même se demander si la notion de données à caractère personnel peut tout simplement conserver un sens.

Les travaux pionniers d’Helen Nissenbaum nous enseignent par exemple que les données sont des objets contextuels, qui peuvent renseigner simultanément sur plusieurs individus ou questions. Cela d’autant plus que, dans le cadre du deep learning, les données sont exploitées à grande échelle pour produire des corrélations qui peuvent concerner des groupes d’individus. (source : S.I.Lex)

2.4.3 Usage de nos données bis : you’re in the army now!

Le RGDP précise qu’avant chaque collecte de données personnelles, la finalité de celle-ci doit-être connue et définie. D’autre part, l’utilisateur doit y consentir de manière « spécifique » et « éclairée ». Pourtant, lorsqu’il s’agit de données que nous produisons mais dénuées de caractère personnel, nous ne pouvons plus, en tant qu’utilisateur, choisir l’usage qui sera fait de ces informations.

Prenons lexemple récemment soulevé par les journalistes du site Guizmodo :

En certifiant à Google que nous ne sommes pas un robot via son interface Captcha-reCaptcha, nous entraînons une IA de Google à mieux reconnaître les voitures, les panneaux, les couteaux, les animaux… Les journalistes du site Guizmodo ont pu prouver que cette IA était engagée dans l’amélioration des drones de combat américains. Sans le savoir (et sans possibilité de refus), nous entraînons donc les drones américains à frapper mieux qu’hier et moins bien que demain. (Suite à ces révélations, des centaines d’employés de Google signent une pétition pour l’arrêt de ce programme baptisé Project Maven).

Alors oui une nouvelle fois, la question de la traçabilité, mais surtout celle de l’intentionnalité des régimes de collecte est essentielle. Si nous ne voulons pas sombrer dans un monde où tout le monde pourrait être reconnu comme co-responsable ou coupable de frappes militaires en ayant contribué à améliorer la technologie qui les a rendues possibles. Ou pire encore : un monde où tout le monde se foutrait complètement de savoir si ses données et les algorithmes que nous entraînons chaque jour peuvent être utilisés pour nous vendre des crèmes hydratantes, pour visionner des vidéos, ou pour faire la guerre. (source : affordance.info)

Dans l’ancien règlement comme dans le nouveau RGPD, on accorde aux individus (informés correctement et donc libres de choisir de façon « éclairée ») le droit de refuser de collaborer à une collecte d’informations ou au traitement de données personnelles. Mais quand les données ne permettent pas l’identification, ce consentement n’est plus nécessaire.

Le pouvoir de décision et de contrôle est intrinsèquement rattaché au caractère personnel des données et les individus le perdent dès lors que les informations ne permettent plus l’identification d’une personne donnée. 

Un « droit social des données »devrait permettre de travailler la question de l’intentionnalité des régimes de captation, de collecte et de réutilisation des dites données. Or, cette notion est tout à fait absente du RGPD.

En revenant un instant sur le scandale Facebook-Cambridge-Analytica, on comprend la nécessité de recours collectif sur les entreprises du Big Datas. À titre d’exemple, les propos de Mark Zuckerberg sont vertigineux :

With important elections coming up in the US, Mexico, Brazil, India, Pakistan and more countries in the next year, one of my top priorities for 2018 is making sure we support positive discourse and prevent interference in these elections.

Si le RGPD avait été d’application en 2015, on peut supposer que le « syphonage » des données personnelles de 87 millions de comptes n’aurait pu s’opérer. Néanmoins, le vrai scandale n’est ni celui de la captation de nos données personnelles ni le fait qu’on influence l’opinion. Le vrai scandale est celui de l’intentionnalité cachée et perverse qui fait de ces plateformes d’authentiques menaces pour les démocraties.

François Chollet, l’un des ingénieurs en intelligence artificielle chez Google, a déclaré sur son compte Twitter :

Le problème avec Facebook n’est pas « uniquement » la question de la privacy et le fait qu’il puisse être utilisé comme un panoptique totalitaire. L’aspect le plus inquiétant à mon avis est son utilisation de notre consommation d’information comme un outil de contrôle psychologique (The more worrying issue, in my opinion, is its use of digital information consumption as a psychological control vector). […]

En bref, Facebook est en capacité de simultanément prendre la mesure de tout ce qui nous touche et nous concerne, et de contrôler l’information que nous consommons. Quand vous avez à la fois accès à ces dimensions de perception et d’action, vous faites face à une situation classique en Intelligence Artificielle. Vous pouvez établir une boucle logique optimisée pour le comportement humain. […] Une boucle dans laquelle vous observez l’état actuel de vos cibles et déterminez l’information avec laquelle il est nécessaire de les alimenter, jusqu’à ce que vous observiez les opinions et les comportements que vous voulez obtenir. Une bonne partie du champ de recherche en Intelligence Artificielle (particulièrement celle dans laquelle Facebook investit massivement) concerne le développement d’algorithmes capables de résoudre de tels problèmes d’optimisation, de la manière la plus efficace possible, pour pouvoir clore la boucle et disposer d’un niveau de contrôle total sur le phénomène (source : liberation.fr)

3. Le long chemin vers des droits collectifs des données ?

Au-delà du caractère personnel, la finalité de nos données nous échappe et des tensions restent irrésolues pour la définition et l’application d’un «droit collectif» pour les données.

Parmi les acteurs qui œuvrent activement et sans conteste au débat démocratique, relayons les voix de Richard Stallman et du conseil des archivistes du CNRS . Tous deux ont émis des demandes complètement opposées en réaction au RGPD.

3.1 Stallman : Forbidden by design 

 Il y a tellement de façons d’utiliser les données d’une manière préjudiciable pour les individus que la seule base de données sûre est celle qui n’en aura jamais collecté. (…)

C’est pourquoi, au lieu de l’approche européenne qui consiste seulement à réguler comment les données personnelles peuvent être utilisées (avec le Règlement Général de Protection des Données), je propose une loi qui interdirait aux systèmes de collecter les données personnelles.

La manière la plus efficace d’arriver à ce résultat, sans que cela puisse être contourné par un gouvernement, est de poser en principe qu’un système doit être construit de manière à ne pas collecter de données sur une personne. Le principe fondamental est qu’un système doit être conçu pour ne pas collecter les données s’il peut remplir ses fonctions principales sans recourir à celles-ci. (source : theguardian.com)

3.2 Archives :Tension entre droit à l’oubli et devoir de mémoire

Les archivistes ont dû batailler ferme au niveau européen durant tout le processus d’adoption du RGPD afin que certains de ses principes ne s’appliquent pas aux archives publiques, une fois qu’elles sont devenues définitives.

Denis Peschanski, historien et directeur de recherche au CNRS :

Je ne peux pas dire aujourd’hui quelles archives vont être utiles aux historiens dans trente ans ! Je ne sais pas quelles questions ils vont poser, avec quels outils. Tout ça implique des capacités de calcul inconnues aujourd’hui. Pour analyser la blogosphère, l’INA développe actuellement des outils destinés à balayer le Web. Et pour comprendre la jeunesse de 2012, il faudra bien que l’historien des mentalités de demain analyse l’usage massif des réseaux sociaux. (source : lemonde.fr)

4. Conclusions provisoires

Quelle que soit l’attention que l’on y porte individuellement, les grandes entreprises du digital sont très habiles pour décontextualiser le processus du résultat, le chemin de la destination…. Face à l’utilisation massive de données tant personnelles que contextuelles, il est impossible de contrôler l’usage que font les géants du net de nos données.

Malgré la mise en application du RGPD, de grandes zones d’ombre règnent dans le paysage des Big Datas. Une asymétrie persiste notamment entre d’un côté de grosses entreprises qui modèlent notre quotidien en utilisant les données et l’intelligence artificielle (les Gafa’s mais aussi les administrations ou les journalistes…), et de l’autre le citoyen, défini dans l’équation comme souverain mais intrinsèquement seul face aux géants.

En laissant les individus seuls face à leurs responsabilités digitales et citoyennes, le RGPD passe à côté d’une dimension collective essentielle dans le nouveau monde dématérialisé des data’s.

Le « droit social des données », qui reste pour l’essentiel à penser, est pour l’instant phagocyté par les appétits suscités par la définition d’un droit commercial de ces mêmes données.

Au quotidien, les citoyens devraient peu à peu prendre conscience de la valeur de leurs données. Dans nos ateliers d’éducation aux médias, les notions de « droit à l’oubli », «droit de portabilité», « droit à l’information », « droit de rectification » devraient s’imposer peu à peu.
Malheureusement, la finalité de ces droits et la valeur collective de ces données risquent bien de rester l’apanage des sociétés les plus fortes. Aucune dimension citoyenne ou collective n’est pour l’instant reconnue dans le nouveau régime qui entre en vigueur.

L’histoire risque donc de se répéter pour nos participants, souvent exclus symboliquement du jeu économique parce que sans emploi, ils seront exclus (techno)logiquement de la prochaine « lutte des classe algorithmique  » qui aujourd’hui fait rage dans le milieu de la pub mais qui sera dès demain un instrument politique d’une efficacité redoutable (voir Les algorithmes menacent-ils la démocratie ?)

Malgré des avancées en matière de transparence, le RGPD ne sera pas, à lui seul, l’instrument de régulation idéal concernant la collecte et le traitement de données dans le champ de la société. Néanmoins, il permet de placer chacun devant ses responsabilités, que l’on soit utilisateur « spécifique et éclairé » ou service « spécifique et identifié ». Que l’on soit employé chez Facebook ou assistant social au CPAS…

Bernard Fostier
 
 
 
 
Articles supplémentaires ayant servi à la rédaction de cette analyse :
*voir aussi nos archives : Les Assises du Big Data : Souriez vous êtes fichés ! (2013) , We believe, ils assistent (2015)Mesures liberticides pour lutter contre le terrorisme? 2015 , Big Data ou la tyrannie du réel – Entretien avec Antoinette Rouvroy 2015 , Surveillance Self-Defense 2015, Moteurs de recherche : le règne des Cyclopes à œillères 2015 , Blockchain 2016, … )