Et s’il fallait livrer nos données personnelles pour protéger notre vie privée ?
Le mois de mai approche. Ça flâne dans les rues, ça prend le soleil, ça se détend. Cette année, d’autres signes annoncent ce joli mois. Depuis quelques semaines, les paramètres de confidentialité des services numériques se mettent à jour, expliquant plus précisément l’utilisation qui est faite des données, proposant de nouveaux outils pour vérifier la visibilité et l’accès à nos données, etc. Cette attention soudaine pour le respect de notre vie privée s’explique en quatre lettres : RGPD.
En effet, le règlement général européen sur la protection des données entre en application le 25 mai 2018. C’est évidemment moins sexy que les minishorts et les sorbets au pistou, mais parmi le flot de notifications, Facebook a osé un message pour le moins inattendu et croustillant : « Si vous activez la reconnaissance faciale, cela nous permet de vous protéger contre l’utilisation de votre photo par des personnes que vous ne connaissez pas ». Outre le caractère contre-intuitif, voire absurde, d’une telle affirmation qui postule que générer plus de données personnelles protège nos données personnelles, il est étonnant que Facebook, après le scandale « Cambridge Analytica », puisse encore penser qu’on lui fasse confiance pour protéger la vie privée de ses utilisateurs. Cependant, cette démarche de consentement n’en est pas moins savoureuse au royaume du Big Data, où elle se résume d’habitude à un contrat vague et sans option. Par exemple, lorsqu’une application mobile demande l’accès au carnet d’adresses de l’utilisateur, qui sait (et qui se demande vraiment) s’il s’agit d’activer une fonction ou d’aspirer les contacts ? La présidente de la CNIL, Isabelle Falque Perrotin, déclarait après le vote du RGPD au parlement européen que la « période du chèque en blanc sur les données » était terminée. C’était peut-être aller un peu vite en besogne, cependant, ce règlement européen sur la protection des données n’en fait pas moins bouger les lignes.
Ainsi, dans un communiqué officiel du 18 avril , Facebook s’est engagé à aligner la protection de la vie privée de l’ensemble de ses utilisateurs sur le droit européen : « Nous souhaitons non seulement nous conformer à la loi, mais également aller au-delà de nos obligations pour créer des expériences nouvelles et améliorées pour tous en matière de protection de la vie privée sur Facebook ». Cependant, Facebook craint visiblement les risques financiers et les contrôles associés au RGPD. Rappelons que les amendes peuvent atteindre jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise, soit 1,6 milliard pour Facebook. En effet, le lendemain de cette annonce, l’agence Reuters nous apprenait que les utilisateurs sud-américains, africains, asiatiques de Facebook, au nombre de 1,5 milliard, qui étaient, jusqu’à présent, gérés par le siège social irlandais de la firme allaient être rattachés, d’ici un mois, donc avant le 25 mai, au siège californien. Seuls les utilisateurs européens resteront donc juridiquement protégés par le RGPD. Tous les autres dépendront du droit américain, moins contraignant. Cette décision confirme le caractère dissuasif de ce nouveau règlement, en regard de la directive européenne sur la protection des données personnelles de 1995 qui le précédait et qui comportait déjà l’essentiel des mesures votées.
Si les Européens ne sont pas les seuls à légiférer sur le sujet, ils sont les premiers à poser des principes généraux applicables à tous. Les données concernées par le RGPD sont dites à caractère personnel, c’est-à-dire qu’elles permettent d’identifier une personne physique de façon directe (nom, numéro de sécurité sociale, etc.) ou indirecte (géolocalisation, historique de navigation, adresse IP, etc.). Cette définition large permet d’anticiper le développement des capacités de calcul (intelligence artificielle) et de croisement de données (Big data) qui pourrait faire émerger une « gouvernementalité algorithmique » que décrit, depuis plusieurs années, la chercheuse Antoinette Rouvroy. Elle craint qu’à l’avenir nos décisions soient de plus en plus influencées par les algorithmes, sans contrôle réel et à une échelle inédite. La façon dont Cambridge Analytica aurait influencé le vote du Brexit et l’élection de Donald Trump pourrait en être un avant goût. En outre, Guillaume Chaslot, ex-ingénieur de Youtube et fondateur d’Algo Transparency, explique dans l’hebdomadaire Vraiment « qu’il est clair qu’avec des milliards de vues sur des contenus politiques, Youtube a eu un impact sur les élections américaines. (…) L’algorithme [de recommandation vidéo de Youtube] n’est pas un miroir neutre, il amplifie certains messages et pas d’autres ».
C’est dans ce contexte brûlant que le RGPD vient renforcer le droit des personnes, en permettant par exemple des actions groupées auprès de la CNIL et de la justice. Il vient aussi réaffirmer un ensemble de mesures comme celles du consentement éclairé, de la sécurisation des données, du droit à l’oubli, etc. « Ce qui change vraiment avec le RGPD, explique Suzanne Vergnolle, doctorante en droit sur la protection de la vie privée et des données personnelles à l’Université Paris 2 Assas, c’est que nous passons d’une logique déclarative (déclaration CNIL) à une logique responsable. Les entreprises devront être en mesure d’apporter à tout moment la preuve de leur conformité avec le RGPD, d’expliquer pourquoi telles données ont été collectées et pour quelles finalités. »
Le RGPD instaure, en outre, un nouveau droit, celui de la portabilité des données. Il s’agit de pouvoir exporter ses données dans une forme lisible par une machine (données structurées) afin de pouvoir les utiliser sur d’autres services numériques. Par exemple, un livreur Deliveroo pourrait théoriquement récupérer son profil ainsi que ses données d’expérience (activité, notation) et les mettre sur Foodora. Cependant, lors d’un atelier de réflexion sur les travailleurs des plateformes organisé par Sharers and Workers, le 13 avril dernier, la portabilité des données, notamment les données de réputation, a soulevé de nombreuses questions. La notation des travailleurs s’avère, en fait, très subjective. Sur quels critères notons-nous un chauffeur Uber ? Et qui note-t-on : le chauffeur, la plateforme, l’ensemble des expériences passées ? Aussi, faudrait-il pouvoir s’assurer que la portabilité des données, qui s’automatisera probablement dans le futur, ne devienne pas un marquage au fer rouge pour les travailleurs en cas de mauvaise note.
50 ans après le joli mai qui mit le monde en désordre, nous voilà à espérer qu’un règlement y remette un peu d’ordre en s’érigeant contre ce qui pourrait devenir une servitude numérique volontaire.