Protection des données personnelles : souriez, vous êtes traqués ! - La méthode scientifique


Nicolas Martin : Après avoir répondu assez évasivement aux questions du Parlement européen hier, notamment suite au scandale de détournement de données par Cambridge Analytica [1], le patron de Facebook, Mark Zuckerberg, a été reçu aujourd’hui avec les patrons d’autres géants du numérique comme Microsoft, IBM ou Uber par le président de la République Emmanuel Macron, ce à quelques jours de l’entrée en vigueur du RGPD [2], le nouveau Règlement général sur la protection des données censé protéger les citoyens européens contre l’exploitation abusive de leurs données numériques. Mais les États et les pouvoirs publics sont-ils en mesure de lutter à armes égales avec ces mégas trusts privés ?
« Données personnelles : souriez, vous êtes traqués ! », c’est le sujet auquel nous allons nous atteler dans l’heure qui vient. Bienvenue dans La Méthode scientifique.

Et pour comprendre les implications de ce nouveau RGPD qui est un règlement qui entre en vigueur vendredi et, plus généralement, de nos usages d’Internet et de l’emploi que nous faisons de nos données personnelles et d’une partie de notre vie privée, nous avons le plaisir de recevoir aujourd’hui Anne Debet. Bonjour.

Anne Debet : Bonjour.

Nicolas Martin : Vous êtes professeure de droit privé, droit des nouvelles technologies, droit de la santé et droit civil à l’université Paris Descartes et ancienne membre de la CNIL.
Bonjour Antoinette Rouvroy.

Antoinette Rouvroy : Bonjour.

Nicolas Martin : Vous êtes juriste et philosophe du droit, professeure à l’université de Namur, chercheuse FNRS [Fonds national de la recherche scientifique] au Centre de recherche en information, droit et société.
Vous pouvez suivre cette émission comme chaque jour en direct sur les ondes de France Culture et en complément avec un certain nombre de liens d’articles, de schémas, de graphiques s’il le faut, de vidéos, d’images, bref ! tout le toutim. Ce sera sur notre fil Twitter @lamethodeFC.

Extrait de l’audition au Congrès américain de Mark Zuckerberg

Voix off de la traductrice de la députée : Est-ce que vos données étaient incluses dans la fuite de Cambridge Analytica ? Vos données personnelles ?

Mark Zuckerberg : Yes !

Voix off de la traductrice de la députée : Seriez-vous prêt à changer votre business model dans l’intérêt de défendre la vie privée des usagers ?

Voix off du traducteur de Mark Zuckerberg : J’espère. On a déjà tenté quelques modifications afin de réduire…

Voix off de la traductrice de la députée : Non ! Avez-vous la volonté de changer votre business model afin de garantir et protéger la vie privée ?

Voix off du traducteur de Mark Zuckerberg : Madame la députée, je ne suis pas sûr de comprendre ce que vous voulez dire.

[Fin de l’extrait]

Nicolas Martin : Voilà. C’est un extrait de l’audition de Mark Zuckerberg, le patron de Facebook. C’était devant le Congrès américain et non pas devant le Parlement européen où il s’exprimait hier. C’est vrai que devant le Parlement européen, il a été un peu moins mis à mal qu’il n’y a quelques semaines où sa prestation devant le Congrès américain avait été jugée embarrassée et embarrassante.
Que faut-il retenir des auditions de Mark Zuckerberg devant le Parlement européen hier au premier chef et, plus généralement, devant ces assemblées représentantes des citoyens élus ? Annette Rouvroy.

Antoinette Rouvroy : Le format de l’événement, finalement, n’a pas nécessairement permis de faire toute la lumière sur, précisément, ce vis-à-vis de quoi on espérait que Mark Zuckerberg ferait la lumière. Pendant extrêmement longtemps, les représentants ont posé des questions, beaucoup de questions, pas toutes du même niveau, pas toutes aussi détaillées, pas toutes aussi pertinentes, certaines plus intéressantes que d’autres, et puis on a laissé à Mark Zuckerberg la liberté de choisir les questions auxquelles il répondrait.

Nicolas Martin : Vous parlez du Parlement européen là pour le coup, ce qui s’est passé hier.

Antoinette Rouvroy : Oui. Il a choisi de répondre relativement évasivement à certaines questions, en indiquant que ses services reviendraient éventuellement par écrit pour compléter ses réponses. Donc, c’était un peu décevant.

Nicolas Martin : Votre opinion Anne Debet ?

Anne Debet : J’ai la même opinion. Ce qu’on peut espérer c’est que, parallèlement à ces auditions, il y a quand même des enquêtes qui ont été ouvertes par les autorités de protection des données qui se sont saisies de la question. Le G29, qui est la super CNIL européenne a décidé de poser des questions. Et l’ICO, l’autorité de protection des données britannique, puisque la société était installée en Grande-Bretagne, a décidé de mettre en œuvre une procédure d’enquête.

Nicolas Martin : Cambridge Analytica, en l’occurrence.

Anne Debet : Oui c’est ça. Donc on peut espérer qu’à la suite de ces procédures, il y aura peut-être des sanctions, des modifications des pratiques liées aux sanctions. Donc on a une phase qui est une phase politique, et on peut espérer qu’une phase plus juridique devant les autorités de protection sera suivie d’effets concrets.

Nicolas Martin : D’ailleurs on va voir, on va en parler dans quelques minutes, que certaines associations, dont des associations en France, qui attendent que ce RGPD entre en vigueur pour intenter aussi un certain nombres d’actions en justice, je pense à La Quadrature du Net [3], on y reviendra tout à l’heure dans le détail.
Peut-être un mot sur la suite de cet agenda ou de cette partie politique de l’agenda, puisque, je le disais tout à l’heure, Mark Zuckerberg a été reçu, il n’était pas tout seul, avec les patrons de Microsoft, d’IBM, d’Uber, des représentants de Google, de Wikipédia, d’Intel, de Samsung et j’en passe, bref !, tout ce monde a été reçu à l’Élysée, pas exactement à l’Élysée, en tout cas par le président de la République, même dans des entretiens bilatéraux. On qualifie en général d’entretien bilatéral des entretiens avec d’autres dirigeants de grands pays. Que faut-il penser ? Est-ce-qu’on fait les gros yeux d’un côté et, de l’autre côté, on dit « venez tout de même chez nous créer des emplois et, si vous pouviez en plus payer quelques impôts, ce ne serait pas plus mal ». On a l’impression qu’on a un peu deux poids deux mesures dans ces différentes interactions entre ces géants du numérique et la sphère publique. Antoinette Rouvroy.

Antoinette Rouvroy : Effectivement, il y a là une sorte de reconnaissance implicite d’une puissance énorme de ces grosses entreprises, puissance tellement importante qu’effectivement elles acquièrent une sorte de statut diplomatique, ce sont de quasi-États avec lesquels les États entrent en discussion. De fait, ce sont ces GAFAM, aujourd’hui, qui structurent ce qu’on appelle, ce qu’on peut appeler, l’espace public mondial.

Nicolas Martin : GAFAM, on va juste rappeler : Google, Amazon, Facebook, Apple, Microsoft. On pourrait ajouter Uber, on pourrait ajouter Airbnb, bref !, c’est autre chose encore.

Antoinette Rouvroy : Voilà, c’est ça, les plus gros acteurs. Ces nouveaux acteurs.
Effectivement, il y a en même temps, comme vous le dites très bien, quelque chose d’assez contradictoire, d’assez paradoxal entre, d’un côté, on essaie de faire peur à ces GAFAM avec le RGPD et enfin l’Europe qui se serait munie de dents nouvelles pour mordre les mollets de ces GAFAM. Et, en même temps, les pays européens courtisent un petit peu ces entreprises pour les attirer chez eux, y compris notamment en France. On voit d’ailleurs des entreprises comme Google intervenir de plus en plus dans le paysage universitaire, dans le paysage de la recherche fondamentale, etc., en France. C’est assez paradoxal et c’est assez symptomatique de l’époque dans laquelle on est, qui est une époque qui est, je dirais, caractérisée par une pulsion d’optimisation, une pulsion d’optimisation tous azimuts à partir du moment où il y a moyen d’optimiser sa place concurrentielle. En fait, ces enjeux d’innovation sont des enjeux de compétitivité, bien entendu, et les États européens se rendent bien compte qu’ils sont en concurrence avec les pays asiatiques, avec les États-Unis et cherchent à se faire une place, à se tailler une place dans ce nouveau secteur qu’est l’intelligence artificielle. Et qui d’autre que ces grands groupes, qui possèdent les quantités les plus massives de données, sont à même de développer l’intelligence artificielle ?
Ce sont effectivement des débouchés pour les chercheurs européens et, pour des chercheurs, pour des universitaires, pour des gens des hautes écoles, que ce soit d’ailleurs en sciences dures ou dans les sciences humaines, il est extrêmement tentant et difficile de résister à la possibilité qui s’ouvre de collaborer avec ces grandes plateformes qui ont des quantités massives de données, qui sont de véritables eldorados pour la recherche, et des moyens aussi, bien entendu, démesurés. Donc on voit là la difficulté, si vous voulez, d’être tout à fait cohérent dans l’approche qu’on peut avoir ou dans les rapports qu’on peut avoir avec ces acteurs.

Anne Debet : Sur ce point, vous avez mentionné une concurrence entre l’Asie et l’Europe, mais il y a aussi, malheureusement, une concurrence en Europe, c’est-à-dire qu’il y a des pays qui accueillent des GAFAM à bras ouverts.

Nicolas Martin : Notamment du point de vue fiscal, on s’entend.

Anne Debet : Oui, mais aussi de la protection des données. Il y a des autorités qui sont moins regardantes que la CNIL sur la manière dont les données sont traitées.

Nicolas Martin : Par exemple ? Pour le point de vue fiscal de la même façon.

Anne Debet : Oui. L’Irlande, par exemple, où Facebook est installé, donc il y a quand même une concurrence. Il faut espérer, on verra si le RGPD peut résoudre toutes ces questions de concurrence et de divergence. Et enfin, je voudrais ajouter juste un deuxième point, c’est vrai qu’on parle beaucoup des GAFAM pour la protection des données et que c’est au centre de toutes les conversations, mais je pense qu’il ne faut pas oublier aussi que la surveillance publique c’est vraiment une question importante, qui peut être liée à toutes ces données que possèdent les GAFAM puisqu’on a vu dans les scandales Snowden [4] que ces données sont ensuite transférées aux autorités publiques. Il ne faut pas non plus oublier cette question de la surveillance publique, à mon sens.

Nicolas Martin : Un mot tout de même sur ce côté un petit coup de trique, une grosse carotte. C’est-à-dire qu’on vous dit « attention, on vous met le RGPD », mais tout de même, de l’autre côté, on vous reçoit avec les honneurs et sous les ors de la République, en espérant grignoter des parts de marché ou, en tout cas, des installations, des créations d’emplois, des installations de sièges sociaux et peut-être un peu moins de contraventions ou plutôt de contrevenances par rapport au fisc et au trésor public, en tout cas à la taxation.

Anne Debet : Je pense qu’il y a toujours une forme de divergence entre la volonté politique, parfois, et la volonté économique. On le voit aussi sur le RGPD et sur la CNIL. C’est-à-dire qu’on dit à la CNIL : « Attention, vous devez réguler en étant business friendly » ; il ne faut pas que le RGPD soit un frein pour l’activité économique et, en particulier, l’activité économique en France. Donc il y a toujours des logiques un peu différentes entre l’action politique, la volonté politique et les enjeux économiques et puis les questions juridiques.

Voix off : La Méthode scientifique, Nicolas Martin.

Nicolas Martin : Et à 16 heures 10 sur France Culture, nous parlons de données personnelles et plus, précisément, du RGPD, le Règlement général sur la protection des données qui a été voté, c’est une loi européenne qui a été votée par le Parlement européen le 14 avril dernier, qui entre en vigueur, vendredi, après-demain, le 25 mai 2018.
Peut-être, avant de raconter ce qu’il y a à l’intérieur, une question simple qui attend, qui espère une réponse finalement assez courte : simplement, est-ce que, selon vous, le RGPD peut inquiéter les patrons du numérique ? Anne Debet.

Anne Debet : C’est une question compliquée.
D’abord, le RGPD ce sont des nouvelles règles, néanmoins il y a quand même des règles qui existaient déjà, ce n’est pas tout nouveau.
Est-ce que ça peut inquiéter les patrons du numérique ? Ça les inquiète. En ce moment on voit, notamment dans le cadre de la publicité sur Internet, une grande inquiétude sur l’interprétation de certaines notions dans le RGPD. Je pense que ça peut inquiéter les patrons du numérique, mais on peut penser qu’eux sont sensibilisés à ces questions. Je pense que c’est aussi une source d’inquiétude très forte pour les petites entreprises, pour toutes les sociétés qui n’ont pas forcément les moyens de se mettre en conformité et qui vont devoir se mettre en conformité.
À cela s’ajoute aussi toute une forme de business lié à mise en conformité au RGPD, de manière pas toujours très honnête et très loyale, et une angoisse qui est suscitée chez tous avec ce nouveau texte. Alors que, on le verra peut-être, il y a quand même des principes qui existaient déjà et qui étaient déjà appliqués.

Nicolas Martin : On va le voir dans un instant.
Votre point de vue là-dessus, Antoinette Rouvroy : est-ce que, oui ou non, le RGPD peut inquiéter Mark Zuckerberg, par exemple ?

Antoinette Rouvroy : Je pense qu’une des nouveautés qu’apporte ce règlement, c’est le fait qu’il va être applicable. Il va être applicable dès lors que les données sont recueillies, collectées dans n’importe quel pays de l’Union européenne. À ce moment-là, effectivement, ça étend le champ d’application du RGPD, y compris à l’étranger, donc c’est une chose qui est assez nouvelle.
Par ailleurs, effectivement, il y a une sorte de panique liée au RGPD mais, comme vous le dites très bien, beaucoup des règles contenues dans le RGPD étaient déjà contenues dans la directive 95/46 de l’Union européenne qui date de 1995. Donc il n’y a pas non plus, disons, matière à tant paniquer que cela.
Cela dit, on voit quand même effectivement des marques de panique dans des demandes qui nous arrivent dans nos boîtes e-mail, par exemple, où on nous redemande notre consentement pour le traitement de nos données. On reçoit des mails, et, d’ailleurs, parfois, on a l’impression de n’avoir jamais consenti au traitement de données. On demande un renouvellement pour mettre en conformité le traitement de données au RGPD. Donc là c’est une manière, pour les entreprises si vous voulez, de nettoyer un peu leurs bases de données et de se mettre en conformité, mais d’une façon qui n’est pas nécessairement tout à fait loyale dans la mesure où elles vous contactent, effectivement, et, ce faisant, elles traitent des données à caractère personnel et vous n’aviez pas consenti à ce traitement de données à caractère personnel. Donc ça montre, quand même, une certaine panique.
Cela dit, je voudrais juste revenir un tout petit instant sur cette question malheureusement pas relativement à la concurrence fiscale mais à la concurrence tout court, un gros avantage de ce RGPD est quand même, du fait qu’il est d’application directe, c’est-à-dire qu’il n’a pas besoin de loi de transposition pour être applicable, il en a besoin pour être aménagé, en quelque sorte, du coup ça met tous les États, on appelle ça en anglais a common level playing field, c’est-à-dire sur le même pied.

Nicolas Martin : Sur un pied d’égalité sur un champ commun.

Antoinette Rouvroy : Sur un pied d’égalité dans un champ d’égalité et ça c’est tout à fait favorable, c’est quand même assez favorable à la concurrence, me semble-t-il.

Anne Debet : Sauf que ça c’est ce que voulait la Commission européenne et puis finalement, dans le texte qu’on a aujourd’hui, il y a quand même 50 marges d’appréciation qui sont laissées aux États, c’est-à-dire qu’il y a quand même 50 endroits où les États peuvent choisir, sont libres de leur législation.

Nicolas Martin : Au lieu d’adapter leur législation, sur 24 articles.

Anne Debet : Oui. La CNIL avait recensé 50 marges d’appréciation sur son site internet. Donc dire qu’on va avoir le même droit, ça ne sera pas tout à fait le cas, malheureusement, et ensuite les autorités de protection ne l’appliquent pas de la même manière, c’est ça aussi la difficulté.

Nicolas Martin : Peut-être faut-il, à 16 heures 15, parler de ce RGPD à proprement parler, c’est-à-dire savoir ce qu’il y a dedans, l’examiner un peu. Peut-être, pour commencer sur quelque chose que vous venez d’évoquer, Antoinette Rouvroy, qui est important, qui est un peu le pilier fondateur de ce RGPD, c’est le consentement express des personnes. C’est-à-dire qu’aujourd’hui, finalement, on va pouvoir continuer à exploiter les données de la même façon du moment que tous les citoyens, que tous les utilisateurs d’Internet disent qu’ils sont d’accord. Or tout le monde sait vraisemblablement, j’imagine que je parle au nom de 99 % des auditeurs qui nous écoutent, que personne, strictement personne, RGPD ou pas RGPD, ne lit les conditions d’utilisation des sites internet qui nous sont parvenues par mail, notamment ces derniers jours effectivement.

Antoinette Rouvroy : Oui. C’est effectivement une des grandes faiblesses, je dirais, de ce RGPD, c’est qu’il accentue encore l’individualisme méthodologique qui était déjà relativement inefficace sous le régime de protection des données antérieur, en exigeant davantage d’informations des personnes, etc., sachant que, de toute façon, les personnes ne lisent pas ou ne sont pas demandeuses de ces informations.
En plus de cela, comme vous le disiez effectivement, il y a énormément d’exceptions, y compris des exceptions à la nécessité du consentement, et ces exceptions peuvent être dans une toute une série de cas, déterminées par la loi nationale. Donc on a l’impression d’avoir, finalement, une régulation par exception, dans laquelle l’exception est plus large.

Nicolas Martin : Pour que ça parle à tout le monde, prenons des exemples, si vous en avez, par exemple sur les exceptions, sur l’exception au consentement par exemple. Anne Debet.

Anne Debet : En fait ce ne sont pas des exceptions, c’est-à-dire que le RGPD ne fixe pas une règle d’optime préalable comme peut le faire la directive ePrivacy pour la prospection commerciale automatisée. Le consentement est un des fondements possibles du traitement. La seule chose, c’est qu’il y a d’autres fondements comme l’intérêt légitime du responsable de traitement. En 2004, on pensait que tous les traitements du secteur privé pouvaient rentrer dans le cadre de cet intérêt légitime, on s’est rendu compte que les autorités de protection de données n’ont pas interprété le texte comme ça, parce que l’intérêt légitime c’est à partir du moment où cela ne porte pas atteinte aux droits des personnes. Par exemple Facebook a dit à la CNIL « moi je traite les données sur le fondement de l’intérêt légitime » et la CNIL lui a dit « non, ce n’est pas l’intérêt légitime puisque vous portez atteinte trop violemment aux droits des personnes , donc ce sera le consentement ». Donc le consentement n’est pas seul fondement possible de traitement des données, c’est un des fondements et progressivement, du fait de l’interprétation des autorités de protection des données, le fondement unique dans le secteur privé – enfin pas unique, cela dépend de quel type de traitement – en tout cas, pour Facebook et les autres acteurs du numérique ce sera le consentement.
Donc, il n’y a pas que le consentement, il y a l’intérêt légitime, il y a la mission de service public, il y a la sauvegarde de la vie de la personne, il y a l’obligation légale du responsable de traitement ; il ne faut pas penser que c’est une logique d’optime ; c’était déjà le cas dans la directive, en fait, ça, ça n’a pas changé. Ce qui a changé, en revanche, et là c’est quand même un plus, c’est la manière dont on va donner notre consentement et les exigences qui sont posées pour le consentement.

Nicolas Martin : C’est-à-dire ?

Anne Debet : C’est-à-dire qu’il faut un consentement libre, spécifique, éclairé, univoque. Ça veut dire – et c’est ce que dit aussi le G29 et le texte – qu’un consentement qui est noyé dans des conditions générales d’utilisation n’est pas un consentement, parce que ça n’est pas un consentement spécifique, vous n’avez pas consenti pour le traitement des données. Vous pouvez consentir au service que vous fournit le prestataire, mais vous devez aussi consentir pour le traitement des données.

Nicolas Martin : C’est-à-dire ? On va reprendre un exemple concret. Puisqu’on parle beaucoup de Facebook, on pourrait parler d’autres sites, on pourrait parler de Twitter, on pourrait parler de Google, bon !, prenons Facebook. Ça veut dire que le 25 mai, vendredi, je vais vouloir me connecter sur Facebook, il va falloir que j’autorise spécifiquement Facebook à utiliser mes données. Par exemple Facebook va me dire « si vous voulez continuer, moi je vais utiliser ça : votre date de naissance, votre mail, vos mensurations, vos goûts pour les canapés en cuir », j’en sais rien !

Anne Debet : Facebook a déjà changé ses conditions générales d’utilisation. Et en fait, ce qu’a dit la CNIL dans sa décision sur Facebook, elle a dit puisque le consentement doit être libre « la vraie liberté, c’est si vous pouvez choisir d’avoir Facebook sans avoir la publicité ciblée ». En gros, si vraiment vous voulez avoir un consentement libre, il faut que Facebook vous propose le même service sans la publicité ciblée. Comme l’a dit une des dirigeantes de Facebook, le modèle économique de Facebook fonctionne sur les données, donc c’est un peu compliqué. Les exigences du RGPD sont très fortes s’agissant du consentement et des caractéristiques du consentement.

Nicolas Martin : Donc cela veut dire que Facebook va développer deux versions : une version avec publicité ciblée et une version sans publicité ciblée ? On pourra souscrire à l’une ou à l’autre en fonction ? À quel moment va-t-on nous offrir ce choix-là ? Comment cela va se passer ? Antoinette Rouvroy.

Antoinette Rouvroy : Je ne pense pas. Je n’ai pas entendu que Facebook propose ce genre de modèle, au contraire, Facebook, a exprimé une fois de plus que, effectivement comme vous le dites, son business model présuppose qu’il est financé par la publicité. Or, pour faire de la publicité ciblée, il a besoin de nous profiler, donc il a besoin de nos données, d’ailleurs pas seulement les données à caractère personnel. C’est là une grande faiblesse aussi de ce RGPD c’est qu’il se focalise, une fois de plus, sur la donnée à caractère personnel alors que l’on sait très bien aujourd’hui qu’avec des données anonymes on peut faire de la personnalisation, on peut faire du profilage très fin, non pas des personnes mais des comportements.

Nicolas Martin : C’est-à-dire ?

Antoinette Rouvroy : C’est-à-dire que simplement avec des données qui ne se rapportent pas nécessairement à vous, qu’on peut avoir anonymisées mais qui relatent vos comportements, c’est-à-dire des phéromones numériques qui émanent de vos comportements sur la toile.

Nicolas Martin : C’est-à-dire ? Prenons les canapés en cuir. Par exemple mon goût prononcé pour les canapés en cuir. Comment est-ce qu’on peut anonymiser des données de canapé en cuir ?

Antoinette Rouvroy : Par exemple, on va suivre votre trajectoire, on va garder votre trajectoire. Si vous voulez, on va garder ces sortes de traces que l’on va désindexer, c’est-à-dire que l’on va enlever tout identifiant personnel.

Nicolas Martin : On va voir que je suis passé de tel site à tel site, à telle annonce, à telle photo de canapé en cuir.

Antoinette Rouvroy : Voilà. Simplement en reliant statistiquement ces données-là à des modèles comportementaux de potentiel acheteur de tel ou tel bien, eh bien on peut personnaliser ce qu’on va vous envoyer de manière à optimiser les ventes. C’est un système d’optimisation.
C’est pour ça que moi, une fois de plus, je regrette qu’on se focalise exclusivement sur les données à caractère personnel alors que la valeur, l’utilité, la signification d’une donnée, elle ne surgit et elle n’a d’intérêt économique, d’ailleurs pour les GAFAM et pour qui veut les utiliser, qu’à partir du moment où les données sont corrélées à des données qui émanent des comportements d’autres utilisateurs. C’est la raison pour laquelle on se focalise beaucoup sur la protection de l’individu et on néglige les aspects beaucoup plus collectifs, beaucoup plus structurels.

Nicolas Martin : A ce propos, Anne Debet.

Anne Debet : Ce qu’on peut dire quand même, c’est qu’à partir du moment où une donnée permet de vous ré-identifier indirectement, c’est une donnée à caractère personnel. Certains journalistes ont prouvé qu’à partir de cinq requêtes sur Google, on arrive à ré-identifier une personne. Après, le texte dit qu’il faut utiliser des moyens raisonnables pour ré-identifier la personne en fonction du coût, etc. Malgré tout, assez rapidement – et la CNIL a toujours eu une interprétation très large de la donnée à caractère personnel – vous êtes quand même rapidement dans de la donnée à caractère personnel ; sur le champ d’application du Règlement on peut juste ajouter cette nuance.

Nicolas Martin : Antoinette Rouvroy ?

Antoinette Rouvroy : Il y a deux problématiques tout à fait distinctes.
Premièrement, il y a la problématique de l’anonymat et effectivement la problématique de l’anonymat est celle-ci : quand vous avez des quantités massives de données, il suffit de croiser entre elles des données anonymes pour pouvoir ré-individualiser les personnes avec un degré de certitude plus ou moins important. Donc ça c’est une question statistique.

Nicolas Martin : C’est ce que vient de dire Anne Debet.

Antoinette Rouvroy : Et là, effectivement, le problème c’est qu’on n’arrive pas, en fait, à avoir une anonymisation certaine. Ça c’est un problème.
Un problème tout à fait différent, qui est celui que je visais pour ma part, c’est le problème du profilage, c’est-à-dire de la caractérisation des comportements possibles, de la prédiction des comportements qui ne nécessitent pas, à ce moment-là, d’identifier les personnes. En fait, ce qu’on vit, c’est un gouvernement des comportements et non pas des personnes. Et ça c’est quelque chose de tout à fait neuf. Le pouvoir, aujourd’hui, s’exerce à travers les algorithmes non pas en identifiant les personnes, il peut très bien ne pas identifier les personnes, mais simplement en caractérisant des comportements et en les reliant à des masses plus importantes de comportements qui ont été recueillis par ailleurs afin de, par exemple, produire des scores de crédit, de crédit social comme en Chine.

Nicolas Martin : Attendez, on va revenir sur le crédit social. Anne Debet.

Anne Debet : Ces scores, au bout du compte, sont quand même réappliqués à des personnes. Après, la manière dont ils sont construits, c’est sans doute un problème. Le problème concret qui se pose aussi pour les personnes, c’est quand les scores de crédit qui sont des mécanismes, je dirais, automatisés, fondés sur des statistiques qui vous permettent de déterminer si vous allez prêter de l’argent ou non à une personne en fonction du score qu’elle va avoir, en fonction de différents critères. Par exemple, la CNIL a accepté que le département soit un critère qui puisse être pris en compte, donc selon que vous êtes dans le 9-4 ou le 9-3, vous n’allez pas forcément obtenir une bonne note à votre score. Donc la construction de ces modèles, c’est sûr que c’est un problème, mais, de manière finale, ils sont quand même appliqués aux individus et là, le RGPD s’applique.

Nicolas Martin : On va rester là-dessus puisque c’est quand même intéressant cette question de scores et de crédit social. Vous faisiez mention, Antoinette Rouvroy, au crédit social en Chine, qui est en train de s’appliquer où, effectivement, un certain nombre de comportements publics qui vont de critiquer le gouvernement sur Internet à fumer dans un train, font réduire ces crédits sociaux et peuvent, du coup, conduire certaines personnes à ne plus avoir accès, par exemple, aux transports en commun, à l’avion ou au train. Ce sont des systèmes qui sont déjà en place aujourd’hui et qui vont être amplifiés par le gouvernement central chinois d’ici 2020. C’est une chose. Mais sur ces questions par exemple de crédit social pour nous, pour ce qui nous concerne ici en Europe, aujourd’hui, indépendamment de nos usages de Facebook, de Twitter, de Google, ça veut dire qu’un certain nombre de données personnelles comme des données de localisation – vous dites, par exemple, qu’on n’a pas le même score de crédit qu’on habite dans le 93 ou dans le 92, dans les Haut-de-Seine ou en Seine-Saint-Denis – aujourd’hui, est-ce que le RGPD va pouvoir avoir un impact, une influence justement sur ce type d’utilisation à destination des crédits, des assurances ?

Anne Debet : Le RGPD autorise. Il y a un article, l’article 22 sur la prise de décision automatisée et il l’encadre dans le sens où c’est possible si vous y consentez ou si c’est dans le cadre d’un contrat. Donc cela ne va pas changer fondamentalement les solutions antérieures.
Il y a des dispositions plus précises sur l’information de la logique sous-jacente du traitement. Après, les banques ont toujours refusé de livrer aux personnes qui faisaient une demande de droit d’accès leurs algorithmes en disant « c’est le secret des affaires, si vous connaissez nos grilles de scoring, nos concurrents vont les connaître aussi et les personnes vont essayer de frauder les grilles de scoring en les connaissant », donc il y a quand même une difficulté. Dans le RGPD, là-dessus, il y a une disposition, mais qui n’est pas plus protectrice, à mon sens, que ce qu’il y avait antérieurement.

Nicolas Martin : Antoinette Rouvroy.

Antoinette Rouvroy : Je voudrais revenir sur cette question : est-ce qu’il y a une identification ou pas de la personne in fine ? En fait, ce mode de gouvernement, que je décris comme gouvernementalité algorithmique, affecte d’abord les environnements. En fait, on gouverne les personnes en gouvernant quels sont leurs types d’accès, quels types d’opportunités dans la vie, quels types de biens, quels types de lieux, etc. Donc, pour faire cela, on n’a pas besoin d’avoir identifié la personne. Il suffit qu’il y ait une sorte d’alerte tout à fait automatique qui produise l’ouverture ou la fermeture d’opportunités.
Concernant cette question de la décision fondée sur le traitement automatisé de données, effectivement c’est une des grosses problématiques du RGPD, c’est une grosse problématique tout court d’ailleurs. Il y a une reconnaissance de cette problématique du profilage dans le RGPD et c’est une très bonne chose. Cela dit, il y a cette idée, quand même, que les personnes doivent pouvoir avoir accès à une sorte de logique du traitement, si vous voulez, pour savoir, pour pouvoir éventuellement contester la manière suivant laquelle elles ont été profilées. Elles doivent avoir accès à une logique du traitement. Le problème, c’est que cette logique de traitement algorithmique est extrêmement opaque. Elle est extrêmement opaque et elle est surtout difficilement traduisible sous une forme linguistique, linéaire, compréhensible par les êtres humains. Donc c’est une sorte d’utopie. Si vous voulez, on n’a pas pris en compte que nous nous trouvons dans le contexte des big data, des algorithmes, dans un contexte épistémique complètement différent. On n’est plus dans la logique de la causalité, on est dans la logique de la pure corrélation. On va demander à un algorithme d’expliquer pourquoi il arrive à un certain profilage. Mais précisément, le pourquoi est indifférent aux algorithmes puisqu’il s’agit d’une logique purement statistique, purement inductive et qui manie des quantités massives de données.
Pour moi, cette utopie ou cette idéologie de la transparence est problématique aussi, non seulement parce qu’elle est irréaliste mais davantage encore parce qu’elle est déresponsabilisante. Elle risque de faire en sorte que les personnes qui utilisent ces dispositifs de recommandation automatisée disent aux personnes qui viennent vers elles : « Je vais vous donner accès au code – il ne sera pas question de ça, bien entendu –, mais aux logiques de traitement » et vous verrez dès lors, s’il n’y a pas de biais visibles ou perceptibles, qu’on va considérer que la décision que je prends sur cette base est objective et incontestable. Or, il faut nécessairement que les décisions prises à l’égard des êtres humains restent toujours contestables au regard de la situation singulière de chaque personne et non au regard de son éventuel profilage statistique. Il me semble que ça, c’est une question de justice.

Nicolas Martin : Oui. Anne Debet, à ce propos, sur une sorte de nécessité de transparence de cette gouvernance algorithmique, de plus de transparence, de gestion, de possibilité de <em<testing de ces algorithmes ?

Anne Debet : Oui. Il y a quand même des éléments qui peuvent être donnés sur la logique d’un traitement. Je prends l’exemple des grilles de scoring, les banques pourraient dire comment elles pondèrent, quelle est l’importance pour elles de certaines données comme la situation patrimoniale, la situation matrimoniale, puisqu’elles « scorent » les différences d’âge entre conjoints, elles « scorent » le département. Il y a quand même des choses qui pourraient être dites, qui ne le sont pas aujourd’hui. Il y a une transparence plus grande même si, je suis d’accord avec vous, il y a un degré de compréhension, on le voit bien avec la communication de l’algorithme d’APB [Admission Post-Bac] et de Parcoursup qui n’est pas facile, néanmoins, il y a quand même des éléments de transparence à améliorer.
Le RGPD garantit quand même, en principe – c’était l’idée de l’article 10 de la loi informatique et libertés – que ce n’est pas la machine qui prend la décision. L’idée c’est que c’est quand même, en définitive, l’humain, l’homme qui doit prendre la décision, c’est-à-dire que vous avez le droit à un réexamen de votre dossier. La seule chose c’est que, par exemple pour le scoring des banques, les banques ont toujours dit « oui, on réexamine le dossier », mais elles n’ont jamais fourni de statistiques sur le nombre de fois où, avec un réexamen humain, elles changeaient de décision. Donc c’est sûr que, du coup, on ne connaît pas bien les conséquences de ce réexamen humain.

Voix off : La Méthode scientifique – Nicolas Martin.

Pause musicale : Strike on computers par Johnny « Guitar » Watson.

Nicolas Martin : We need to stricke on computers, « On devrait faire la grève aux ordinateurs ». C’est peut être ce qui va finir par nous arriver si le RGPD n’a pas les effets escomptés, c’est ce dont nous discutons tout au long de cette heure sur France Culture, à 16 heures 33, ce nouveau Règlement général sur la protection des données qui rentre en vigueur vendredi prochain dans toute l’Europe. Nous en parlons avec Anne Debet qui est professeure de droit privé, droit des nouvelles technologies, droit de la santé et droit civil à l’université Paris Descartes et ancienne membre de la CNIL. Et Antoinette Rouvroy, juriste, philosophe du droit, professeure à l’université de Namur, chercheuse FNRS au Centre de recherche en Information, droit et société.
On a parlé des données, des données qui sont collectées par les banques, des données que nous confions, volontairement ou pas tout à fait volontairement, aux réseaux sociaux, aux différents acteurs d’Internet. Il y a d’autres données qui sont particulièrement sensibles, ce sont évidemment les données de santé. Et le problème, dans le secteur de la protection des données de santé, eh bien ce n’est pas qu’un petit problème.
Bonjour Céline Loozen.

Céline Loozen : Bonjour Nicolas. Bonjour à tous.

Nicolas Martin : Vous vous êtes rendue à l’Institut Curie, pour comprendre comment ce RGPD va améliorer mais aussi nettement complexifier la protection des données de santé des patients.

Céline Loozen : Oui, parce que les acteurs de la santé doivent pouvoir s’adapter au RGPD tout de suite en ce qui concerne les données de leurs patients. Pour comprendre concrètement comment cela va se passer, je suis allée à la Direction des données de l’Institut Curie voir Alain Livartowski qui est médecin oncologue et Thomas Balezeau, ingénieur informaticien. Ils ont mis en place récemment une plateforme d’échange des données qui s’appelle mycurie.fr. Le but c’est de mettre à disposition les données des patients dans des espaces fermés et complètement protégés. Une entreprise qui a été très complexe à mettre en place sur le plan technique et humain.

Alain Livartowsi : L’idée de MyCurie [5] c’est quoi ? C’est de dire que les informations qui sont à l’hôpital, si elles sont utiles pour le patient, elles doivent lui être transmises et aujourd’hui les outils c’est quoi ? C’est Internet, ce sont les téléphones portables.

Céline Loozen : Comment assurer la protection de ces données qui sont transmises justement entre les patients et les hôpitaux ?

Alain Livartowsi : On a fait appel à des sociétés spécialisées en sécurité parce qu’il faut que cela soit facile à utiliser et, surtout, il faut que les données soient sécurisées. On parle toujours des assurances, mais les assurances ne chercheront pas à puiser les données, c’est trop dangereux pour elles. Par contre, il n’est pas normal pour un patient atteint de cancer que d’autres personnes ne l’apprennent pas par lui mais de façon anormale.

Thomas Balezeau : Nous, à la Direction des données de l’Institut Curie, on va fournir des données avec le consentement du patient, évidemment, pour des projets de recherche. En aucun cas les données ne doivent sortir, c’est-à-dire qu’on doit garder le contrôle sur ces données et, du coup, c’est la même logique que la législation européenne qui va être mise en place.

Céline Loozen : Le RGPD.

Thomas Balezeau : Le RGPD. Cette législation, en fait, nous oblige à garder un contrôle total sur ces données, c’est-à-dire à mettre à disposition, dans un espace sécurisé, ces données, mais que les données ne sortent jamais de cet espace. Cet espace, en fait, c’est une machine, c’est un ordinateur, et on doit mettre à disposition aussi les outils pour les traiter, pour que les gens puissent travailler sur ces données mais que les données ne sortent jamais de cet espace.

Céline Loozen : Quelles sont les contraintes au niveau technique pour assurer la protection des données des patients que peut traiter le docteur Livartowsi ?

Thomas Balezeau : Je pense qu’on ne se protégera jamais contre des hackers, des ransomwares, etc., complètement, mais nous on essaie de tout mettre en place. En fait on donne les autorisations minimums au minimum de gens. On va autoriser des machines à pointer vers d’autres machines, mais c’est vraiment le minium possible et nécessaire pour nous permettre de travailler aussi.

Céline Loozen : Concrètement en ce moment vous gérez des databases ?

Thomas Balezeau : C’est ça. Ces entrepôts de données ces databases sont gérées par la Direction des données et, en fait, on ne va jamais fournir des accès à ces databases. On va pouvoir fournir des accès temporaires, sur projet. La sécurité des données c’est avant tout un problème politique et de process, c’est-à-dire qu’il faut qu’on mette en place des process de validation légale, de validation éthique. On a mis un process qui s’appelle le CRITADA qui va valider chaque projet, chaque demande, que ce soit des médecins qui demandent, des chercheurs, des sociétés externes et évidemment on n’aura pas la même politique, mais le process va toujours rester le même, c’est-à-dire qu’on va valider ces projets et ensuite mettre à disposition des données dans un espace sécurisé, pendant une période de temps définie.

Céline Loozen : C’est-à-dire que vous uniformisez les processus de manière à rassembler les données, éviter qu’il y ait des systèmes parallèles ou qui coexistent et qui multiplient les données, donc les chances qu’il y ait des fuites ou des pertes.

Alain Livartowsi : Exactement. C’est à la fois un problème technique, comme vous le dites : il faut que les données soient sécurisées dans des entrepôts, comme des coffres-forts. Ça c’est le problème technique. Il y a aussi le problème humain dans lequel la prise de conscience doit être de tout le monde, l’ensemble des personnes qui interviennent dans le processus de soins pour qu’à aucun moment il puisse y avoir des fuites de données vers l’extérieur qui ne sont pas autorisées ou qui sont néfastes pour le patient. La sécurité des données c’est aussi être sûr qu’elles sont conservées au bon endroit et surtout qu’elles ne sont pas modifiables.

Céline Loozen : Sur mycurie.fr qu’est-ce qu’on trouve comme type de données ? Quand on arrive sur le portail est-ce qu’il y a deux entrées pour le patient et pour le médecin ? Est-ce qu’il y a le carnet de santé numérique ?

Alain Livartowsi : Nous, on appelle un carnet de santé électronique. On donne à la fois des informations pratiques, par exemple sur les rendez-vous, et puis il y a des informations médicales sur les traitements qui sont passés, qui ont été réalisés, sur des comptes-rendus médicaux qui peuvent être très utiles au patient de les avoir sur lui, sur les médicaments qu’on lui a prescrits avec des informations complémentaires, pourquoi on lui a prescrits, quels sont les effets secondaires qui peuvent survenir, comment les éviter, qui appeler en cas de survenue. C’est à la fois des données et puis des conseils. En fait, l’objectif c’est qu’il y ait un lien entre le patient et l’hôpital par les nouvelles technologies.

Thomas Balezeau : Je crois que dans MyCurie il y a des formulaires et le but sera aussi de faire remonter de la donnée. Ces formulaires vont grandement aider le soin, parce que je crois que tu m’avais parlé d’un exemple de formulaire sur le poumon.

Alain Livartowsi : L’exemple c’est l’équipe Dumont, le médecin Dumont, qui a testé une application qui est absolument remarquable mais qui est très simple. Le patient régulièrement, une fois par semaine, note quelques signes cliniques très simples et ce qui a été observé, c’est que lorsque le patient fait ça une fois par semaine, l’hôpital, le médecin s’aperçoit s’il a des signes anormaux qui doivent alerter, le patient est vu plus tôt, il est vu en consultation plus tôt, les examens sont faits plus tôt et le gain pour les patients est considérable. Il y a une augmentation de la survie de 25 % à un an, confirmée à deux ans.

Céline Loozen : Est-ce que ce genre de bénéfice ne serait pas possible s’il y avait trop de sécurité justement, si tout était verrouillé ?

Alain Livartowsi : Parfois on met des systèmes qui sont tellement sécurisés qu’en gros on ne peut pas y accéder parce que c’est trop compliqué, parce qu’on a mis des mots de passe partout. Donc l’enjeu c’est qu’à la fois les systèmes soient complètement sécurisés, le mieux possible, au niveau des banques, et en même temps que ça soit facile à utiliser. Ça, sur le plan technique, ce n’est pas toujours facile.

Thomas Balezeau : Je crois aussi que ça doit être transparent pour l’utilisateur. La sécurité doit être avant tout un problème back ground. C’est vrai que mettre en place tous ces processus de sécurité au jour le jour dans notre travail, c’est fastidieux.

Nicolas Martin : Voilà le reportage du jour, à l’Institut Curie, concernant ce problème épineux des données de santé qui, on vient de l’entendre, est tout autant un casse-tête qu’une protection supplémentaire pour les éventuels patients. Qu’en pensez-vous Anne Debet ?

Anne Debet : Les données de santé sont des données sensibles, comme d’autres données — les données relatives à l’appartenance politique, religieuse — qui sont spécialement protégées par le RGPD et par la loi informatique et libertés. En France, les médecins qui souhaitent mettre en œuvre ce type de système sont soumis à deux législations : il y a à la fois la loi informatique et libertés et le RGPD et aussi le Code de la santé publique qui pose des règles très strictes de traitement des données de santé. Donc vraiment les médecins en France sont extrêmement encadrés. On peut dire que parfois il y a deux poids deux mesures parce que vous avez, d’un côté, des médecins qui sont très encadrés et, de l’autre côté, des acteurs dont on a parlé, c’est-à-dire Apple, Apple HealthKit, ou Google, qui proposent aussi des systèmes de stockage de données, ça ne passe par un médecin c’est le patient directement, qui là partent aux États-Unis et qui ne font pas forcément l’objet de la même protection.

Nicolas Martin : Antoinette Rouvroy, sur cette question et sur ce reportage en particulier ?

Antoinette Rouvroy : C’est très intéressant. La difficulté, évidemment, c’est que dans un monde de données massives, la définition même de la donnée à caractère personnel, on parle plutôt de la donnée de santé, devient un peu floue. Par exemple le cabinet de conseil Deloitte expliquait qu’il leur est possible, sur base de données de consommation dans les supermarchés, rien à voir avec la santé à priori, de déterminer l’état de santé actuel et futur d’une personne avec une précision comparable à un examen médical. Donc ces profils de consommateurs qui ne sont pas recueillis dans un cabinet médical…

Nicolas Martin : Qui sont recueillis par qui ? Comment ?

Antoinette Rouvroy : Qui peuvent être recueillis tout simplement comme on recueille des données relatives aux achats que vous faites dans les supermarchés.

Nicolas Martin : C’est-à-dire avec les cartes de fidélité.

Antoinette Rouvroy : Avec les cartes de fidélité, par exemple. Avec les cartes de fidélité on peut voir, effectivement, que vous avez des propensions supérieures à la moyenne de la population de souffrir, par exemple, de maladies comme le diabète, certains cancers féminins, les cancers évidemment corrélés à la consommation de tabac – là on voit la causalité bien entendu – les maladies cardiovasculaires, des risques de dépression, etc. Donc il y a des enjeux qui dépassent très largement les enjeux classiques auxquels on pense lorsqu’on pense aux données de santé recueillies par son médecin. Alors que classiquement les candidats à l’assurance, par exemple, n’ont à déclarer à l’assureur que les conditions préexistantes, les maladies dont ils se savent souffrants, les maladies et handicaps dont ils se savent atteints, la possibilité aujourd’hui pour les assureurs de détecter des maladies ou des propensions à des maladies chez leurs clients, sans même que ceux-ci aient connaissance de leur état, induirait une asymétrie d’informations bien entendu très défavorable aux assurés.
Vous voyez que c’est tout un enjeu de justice sociale, éventuellement, qui se joue là.

Nicolas Martin : C’est vrai qu’on entend beaucoup cela concernant le RGPD, concernant les données personnelles en règle générale, cette idée de dire « oui, mais alors les assurances vont pouvoir vous assurer moins bien parce que vous mangez, parce que vous êtes fumeur ». En fait, la question qu’on se pose tout de même, Anne Debet, c’est par quels biais les assurances ou d’autres acteurs privés pourraient avoir accès à ce type de données comme la nourriture, les habitudes alimentaires, les habitudes de consommation de tabac ou d’alcool ? Ça paraît un peu Big Brother comme ça.

Anne Debet : Sur la nourriture il y a sans doute des possibilités que je n’imagine pas, mais ce dont je peux vous parler c’est des expériences, enfin des expérimentations, des propositions qui sont faites par les assureurs aux États-Unis. Il y a un assureur français qui a essayé de donner des bracelets connectés qui mesurent le nombre de pas que vous faites dans une journée et, en fonction de ça, vous fait une prime d’assurance qui est liée au fait que vous marchez 7000 ou 10 000 pas par jour comme le recommande l’OMS. Ça, clairement, c’est ce que la CNIL a appelé le pay as you walk.

Nicolas Martin : Payez comme vous marchez ?

Anne Debet : Oui, c’est ça, ça existe déjà dans l’assurance automobile. Dans l’assurance automobile il y a une personnalisation des primes en fonction de votre comportement au volant qui est quand même un suivi très précis de ce que vous faites au volant. On peut imaginer, au moins au départ là-dessus, qu’il y ait des possibilités pour les assureurs de vous demander, grâce à différents objets connectés qui produisent des données, par exemple votre frigo. Il y a des frigos connectés qui, par exemple, sont utilisés pour les personnes âgées, ça pourrait être un élément.

Nicolas Martin : Là on a tout de même l’impression qu’on est dans un monde futur, qu’on n’est pas tout à fait dans notre présent, c’est-à-dire qu’aujourd’hui les frigos connectés ou la carte de fidélité qu’on doit passer pour montrer ce qu’on achète au supermarché à l’assurance, ça paraît tout de même un peu fantasmatique, Antoinette Rouvroy.

Antoinette Rouvroy : Non, parce qu’il y a un acteur qu’on oublie souvent, et c’est un nouveau métier, le métier de courtier de données. Les courtiers de données font métier, précisément, de recueillir toute une série de données, sur toute une série de modes de vie par exemple et de fournir ce qu’ils appellent des solutions logicielles. Ce qu’ils appellent poliment des solutions logicielles ce sont des techniques de profilage qu’ils peuvent vendre, par exemple, aux assureurs.
Encore quelques chiffres. Dans notre société, d’après les calculs d’eBay lui-même, au cours d’une vie un individu devrait, sans nécessairement le savoir, produire plus d’un million de gigabytes, de gigabits ou de gigabytes ?, je ne sais pas, de données sur sa santé.

Nicolas Martin : Gigabits.

Antoinette Rouvroy : Vous voyez ! Si on ajoute à cela les données produites par le séquençage d’ADN, etc., et le fait aussi que peuvent être considérées notamment comme des données de santé chaque fois qu’on va sur Google et qu’on s’enquiert de la signification de nos symptômes, est-ce que ce sont des données de santé ou pas ? Par exemple Google Flux, l’algorithme de Google, a utilisé toutes ces requêtes sur les moteurs de recherche pour détecter, pour anticiper les épidémies.

Nicolas Martin : Pour anticiper les épidémies de grippe. Tout à fait.

Antoinette Rouvroy : Donc vous voyez que ce sont aussi des données de santé.

Nicolas Martin : Anne Debet.

Anne Debet : Le bracelet connecté existe déjà. La difficulté c’est que la CNIL, par exemple pour le <em<pay as you drive, a considéré qu’à partir du moment où on avait le consentement de l’assuré — et c’est là toutes les limites du consentement —, le système pouvait être justifié et fonctionner. C’est là qu’on voit dans une logique de protection, que le consentement des personnes n’est pas forcément le plus protecteur. D’ailleurs vous avez certaines personnes qui considèrent qu’on devrait interdire certains traitements, notamment Richard Stallman, le promoteur du logiciel libre qui dit qu’on devrait interdire certaines collectes de données. On ne devrait pas se fonder sur le consentement parce que les personnes le donnent trop facilement, à partir du moment où vous avez un avantage financier à consentir, vous allez consentir. La question de savoir si le consentement nous protège est vraiment une question fondamentale.

Nicolas Martin : Ce qui m’amène à la dernière partie, à ma dernière grande question, celle de, finalement, l’éducation au numérique. Est-ce que nous sommes tous, indépendamment de notre génération, qu’il s’agisse des générations au-dessus, de celle de mes parents, des générations en dessous, des milléniums, bien formés à l’utilisation de l’ensemble de ces objets numériques de notre quotidien, qu’il s’agisse des réseaux sociaux, qu’il s’agisse de nos montres connectées, de nos téléphones dans lesquels nous rentrons des données, bien protégés ? Est-ce qu’on sait suffisamment se protéger ? Est-ce qu’il faut mieux apprendre aux citoyens à se protéger plutôt que d’attendre que ce soit une loi européenne qui nous protège de nous-mêmes ? Anne Debet.

Anne Debet : Là-dessus on peut citer un sondage qui a été fait par la CNIL sur les photos qui montre que 50 % des personnes, des internautes, publient des photos sur Internet, 86 % des 18-24 ans, mais 73 % estiment qu’il sera difficile de les supprimer et 61 % des 18-24 ans ont déjà été gênés par la publication de photos sur Internet. Néanmoins, ça ne les empêche de continuer de publier.
Sur le scandale Facebook-Cambridge Analytica vous avez eu tout un mouvement Delete Facebook, « Supprimez Facebook », néanmoins, en avril 2018, plus 7 %, aux États-Unis, de personnes se sont inscrites à Facebook.
On a quand même la sensation que quoi qu’il arrive, quels que soient les usages ou les mésusages des données, les comportements ne changent pas, ce qui est vraiment problématique.
Ce que fait la CNIL et sans doute ce qu’il faut promouvoir c’est l’information des plus jeunes.
Ce qu’on voit dans les chiffres c’est que, assez souvent, les plus jeunes maîtrisent peut-être mieux que les plus âgés les paramètres de confidentialité des systèmes. Ils les connaissent peut-être mieux que nous. Il faut l’espérer !

Nicolas Martin : Peut-être. Je ne sais pas, je n’ai pas de données, mais ça me paraît comme ça, à priori, au doigt mouillé, ça me paraît surprenant.

Anne Debet : C’est sûr que l’éducation est quelque chose de fondamental, mais je ne sais pas si on peut, malgré l’éducation, limiter toutes ces publications et le fait que les personnes publient sur leurs propres amis des données qu’elles ne devraient pas publier.

Nicolas Martin : Et même à leur encontre puisque, Antoinette Rouvroy, il s’avère qu’aujourd’hui ce n’est pas juste nos données que nous publions quand nous postons ou quand nous créons un compte sur Facebook. Facebook peut reconnaître notre visage même si c’est quelqu’un d’autre qui poste la photo, reconnaître notre identité. Par ailleurs, même si vous n’êtes pas connecté sur Facebook, même si vous n’avez pas de compte sur Facebook, Facebook a certainement déjà des informations sur vous.

Antoinette Rouvroy : Tout à fait. Il faut prendre en compte le fait, effectivement, qu’il n’y a pas de données personnelles, il n’y a jamais que des données relationnelles et ce que postent mes amis est éminemment révélateur de moi-même, d’autant plus s’il y a des algorithmes qui me calculent, qui calculent mon comportement possible au départ des comportements de ceux que je fréquente.

Nicolas Martin : Pour être très concret, le Shadow profiling c’est-à-dire que quand on crée un profil on implique, avec soi, même des gens qui, eux, n’ont pas de profil Facebook et qui ne souhaitent pas en avoir.

Antoinette Rouvroy : Le Shadow profiling, c’est une autre histoire. C’est le fait que lorsque Facebook, par exemple, vous demande si vous êtes d’accord de communiquer toutes les données qui sont contenues dans votre carnet d’adresses et si vous dites oui par défaut parce que voilà, pourquoi pas, pour retrouver plus facilement vos amis, etc., effectivement vous mouillez, vous emmenez avec vous toutes les données personnelles de vos amis qui ne sont pas au courant nécessairement, qui n’ont peut-être même pas de compte Facebook. Ça c’est une chose.
Outre cela, il faut vraiment qu’on se rende compte qu’on a changé de monde, c’est-à-dire qu’on est passé d’une civilisation du signe et du texte à une civilisation du signal calculable et de l’algorithme. Donc si vous vous exprimez sur Facebook, sur Twitter, et vous croyez maîtriser les codes d’intelligibilité, c’est-à-dire que vous croyez savoir comment vous allez être compris, vous savez comment vous allez être compris de ceux qui vous sont proches, mais vous ne savez pas comment l’algorithme, sur base de ce que vous postez, va vous calculer et va, à partir de cela, détecter vos propensions, vos risques, les opportunités commerciales que vous représentez pour des entreprises, etc. On doit vraiment se rendre compte que nous avons changé. Il faut se rendre compte du nouveau contexte épistémique dans lequel nous sommes et se rendre compte des ambitions épistémiques tout à fait particulières de cette civilisation algorithmique. Ce dont nous manquons c’est d’une culture algorithmique, comprendre comment, finalement, ces algorithmes façonnent le visible, l’intelligible et la manière dont nous pouvons, éventuellement, devenir des sujets de droit.

Nicolas Martin : À 16 heures 52 c’est la fin de cet entretien puisque, comme tous les mercredis, nous recevons le futur de la recherche française. À ce micro des étudiants et des étudiantes viennent nous présenter leurs travaux de thèse. Nous avons le plaisir, aujourd’hui, d’accueillir Jòan Gondolo.
Bonjour.

Jòan Gondolo : Bonjour Nicolas Martin.

Nicolas Martin : Vous êtes en thèse à l’École doctorale de droit comparé de l’université Paris 1 Panthéon-Sorbonne, vous êtes également enseignant à la même université. Bienvenue à La Recherche montre en mains. C’est à vous.

Jòan Gondolo : Merci beaucoup. Bonjour à tous.
Je suis absolument ravi d’être ici pour vous parler de droit de la protection des données à caractère personnel, sujet d’actualité s’il en est, à l’approche de l’entrée en application du nouveau Règlement général sur la protection des données.
Bien sûr, l’ensemble des technologies liées notamment à la collecte et au traitement de données à caractère personnel pose des questions telles que : que peut-on faire ? Jusqu’où le progrès et l’utilisation de la ressource dite donnée personnelle peuvent-ils nous porter ?
À ce titre, un simple regard en arrière, une simple analyse de l’évolution de la technologie laissent imaginer un futur libéré de toute limite. Mais la protection des données à caractère personnel lève aussi la question qui intéresse mes travaux de thèse du que veut-on faire ? Comment nos sociétés souhaitent-elles exploiter, donc encadrer l’utilisation de ces données ?
Pour répondre à cette question j’étudie donc les réponses juridiques qu’apportent respectivement l’Union européenne et les États-Unis, sortes d’adversaires idéologiques en la matière. Cette opposition est, en réalité, plus profonde que le seul droit de la protection des données à caractère personnel puisqu’elle se trouve ancrée dans une conception fondamentalement différente de la vie privée.
D’un côté, celle-ci est un droit fondamental dans la lignée des philosophies aristotélicienne et kantienne qui amènent à considérer la vie privée, donc la donnée, comme dignes d’une protection très élevée. De l’autre, le droit au respect de la vie privée est aussi un droit fondamental, mais il est davantage teinté d’une logique de marché tel que l’explique, par exemple, Richard Posner, selon laquelle les individus pourraient plus facilement en aliéner certains éléments en échange d’un paiement, d’un bien ou encore d’un service.
De ces conceptions différentes naissent donc des droits différents à bien des aspects dont voici trois exemples.
Dans la forme des textes, d’abord, puisque le droit américain n’offre pas de texte général relatif à la protection des données à caractère personnel mais seulement des règles sectorielles applicables tantôt aux banques, tantôt au secteur des télécommunications par exemple, alors que l‘Union, elle, dispose d’un droit spécifique aux problématiques de données qui sera même d’applicabilité directe, c‘est-à-dire directement invocable par les justiciables devant le juge, comme l’a évoqué Antoinette Rouvroy tout à l’heure, grâce au Règlement sur la protection des données.
Deuxième exemple de ces divergences, l’applicabilité territoriale de ce droit. Le nouveau Réglement disposera d’une portée extraterritoriale, c’est-à-dire qu’il pourra s’appliquer à des responsables de traitement établis en dehors de l’Union européenne, signe de la volonté européenne de considérer le droit de la protection des données à caractère personnel comme un droit fondamental, avec une vision quasi droit-de-l’hommiste.
Troisième exemple, enfin, dans la substance de ces droits, avec une notion, par exemple de consentement, interprétée beaucoup plus strictement ou encore des sanctions plus élevées en droit européen qu’en droit américain.
Dès lors, les droits construits par chaque société servent des buts différents : laisser des individus décider librement de l’utilisation de leurs données tout en évitant d’imposer des contraintes excessives aux acteurs économiques dans des domaines au fort potentiel d’innovation ou alors, à l’opposé, protéger lesdits individus en les dotant de droits et en imposant des standards élevés aux responsables de traitement qui permettraient de sécuriser la confiance des utilisateurs dans ce que l’on appelle la « data économie » et ainsi d’en assurer un responsable.
Ce constat pourrait en réalité être résumé par lui-même en une seule question : dans quelle mesure le marché est-il capable d’apporter, seul, une solution satisfaisante aux dérives de l’utilisation des données à caractère personnel ?
L’objectif de mon étude est donc double.
Il s’agit, d’une part, de tenter de déterminer, notamment par une analyse économique du droit, quelle approche semble la mieux servir les différents intérêts mis en balance. Il s’agit donc de réfléchir au rôle que doit jouer le droit dans la construction d’une économie numérique à la fois innovante, respectueuse de la vie privée et emportant la confiance de tout un chacun.
Ensuite, et deuxièmement, puisque la vérité est peut-être quelque part entre ces deux approches, il s’agit de proposer des pistes d’harmonisation pour tenter d’offrir une réponse non plus locale et divergente, comme actuellement, mais unifiée à des problématiques dématérialisées et décidément sans frontières.

Nicolas Martin : Merci beaucoup, Jòan Gondolo, pour cette brillante présentation.
Une réaction peut-être, Anne Debet, en tout cas à cette comparaison entre ce que le RGPD va permettre aujourd’hui sur le sol européen par rapport au CLOUD Act aux États-Unis.

Anne Debet : La comparaison est vraiment passionnante mais c’est vrai que je ne sais pas si on va réussir à trouver des points communs et des points de rapprochement possible au vu des divergences existant entre nous.

Jòan Gondolo : C’est effectivement un travail ambitieux.

Nicolas Martin : Antoinette Rouvroy.

Antoinette Rouvroy : Effectivement, je trouve la comparaison très intéressante surtout qu’aux États-Unis le mouvement qui est notamment mené par Richard Posner et Isaac Ehrlich, le mouvement law and economics, soumet l’évaluation du droit, le critère d’évaluation de la réussite du droit c’est, en quelque sorte, la prospérité économique. Donc vous voyez là une approche qui est totalement en contraste avec l’approche des droits de l’homme, très déontologique et pas conséquentialiste du tout, européenne. C’est extrêmement intéressant et je trouve que vous arrivez, avec votre étude, à point nommé dans un paysage académique, politique et juridique qui n’attend que vous.

Nicolas Martin : Peut-être une place bientôt au FNRS pour vous Jòan.
Peut-être un dernier mot de vous deux, si vous aviez juste un conseil parce que, comme on voit, ces questions sont extrêmement complexes aujourd’hui, un conseil à donner aux auditeurs qui ont une vie numérique « classique », entre guillemets, pour juste protéger, faire attention, surveiller, un peu un conseil d’éducation numérique. Quel serait-il, Anne Demet ?

Anne Demet : Juste de réfléchir avant de publier quoi que ce soit sur les réseaux sociaux. Réfléchir à dans 10 ans, dans 20 ans est-ce que je souhaite que les informations que j’ai publiées restent disponibles et accessibles ?

Nicolas Martin : Une information temporelle.
Antoinette Rouvroy, en un mot ?

Antoinette Rouvroy : En un mot je dirais limiter au maximum la prolifération des données qui est mauvaise pour l’environnement.

Nicolas Martin : Mais comment faire ? Comment je fais, moi Nicolas Martin, pour éviter de proliférer ? En un mot.

Antoinette Rouvroy : Pour éviter de proliférer, déjà vous limitez le nombre d’applications. Se demander chaque fois : est-ce que c’est vraiment nécessaire ? Est-ce que je ne ferais pas mieux d’aller cultiver mon potager ?

Nicolas Martin : Voilà le conseil d’Antoinette Rouvroy, plutôt la tomate que Candy Crush sur Facebook !
En tout cas, si vous voulez retrouver Antoinette Rouvroy dans un format plus court, plus condensé, pour savoir exactement comment vous comporter sur Internet, vous pouvez puisque c’est mercredi. Retrouvez Les Idées claires sur les sites de France Culture et de France Info et sur les réseaux sociaux, les fameux Facebook de France Info et de France Culture. Les Idées claires, toutes les semaines, c’est une grande question que nous essayons de déconstruire, une idée reçue, un régime de fausse information. Aujourd’hui on va essayer de répondre à « Avons-nous cédé toute notre vie privées à Internet ? », c’est avec Antoinette Rouvroy et c’est sur Internet précisément.

Merci beaucoup à Jòan Gondolo. Merci Anne Debet. Merci Antoinette Rouvroy. Merci à toute l’équipe de La Méthode scientifique.
Dans un instant c’est le troisième épisode de la série documentaire L’art dégénéré par Christine Lecerf et Franck Lilin. Tout à l’heure à 18 heures 20, Du grain à moudre, « Les quartiers populaires ont-ils la solution à leurs problèmes ? » avec Hervé Gardette. Pour ce qui nous concerne, demain retour à la Préhistoire. Nous parlerons d’une liaison brûlante qui a certainement contribué à faire de nous ce que nous sommes, nous parlerons de l’histoire de la domestication du feu. Ce sera demain à 16 heures, jusqu’à preuve du contraire.