La menace à la vie privée se trouve au cœur de la controverse puisqu’elle concerne chacun et que notre civilisation est fondée sur le respect de l’intimité et la vie privée. En effet, comme le déclare Hubert Guillaud, rédacteur en chef d’InternetActu, dans L’emploi à l’épreuve des algorithmes1, « la vie privée est la pierre angulaire de la démocratie ». Paradoxalement, alors que la démocratie est défendue par les grandes puissances occidentales, la violation en masse de notre vie privée numérique est engagée par ces mêmes nations. Comment des populations si attachées au respect de la vie privée et de la démocratie ne s’insurgent-elles pas contre de telles pratiques ?
Le point essentiel est le caractère « invisible » de cette surveillance, ainsi que le flou existant autour de l’utilisation des données et la définition des concepts employés.
Qu’est-ce qu’une donnée personnelle, sensible par opposition à une donnée publique ?
Selon la loi n° 2004-801 du 6 août 2004 1 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » Ainsi, une donnée est dite personnelle s’il est possible de remonter par quelque moyen que ce soit, à l’identité de la personne sur qui portent ces données. Une donnée peut donc être à caractère personnel même si elle n’est pas explicitement nominative.
Franck Baudot de la CNIL nous a précisé lors de notre entretien 3 que cette notion est relativement extensible. « Par exemple, une adresse IP est une donnée à caractère personnel, elle est forcément rattachée à l’abonné, au fournisseur d’accès internet et à ce titre, s’il y a des logs sur un serveur de ces adresses IP, on pourra toujours se retourner vers l’abonné pour lui dire “c’est vous qui avez fait cette requête”. Ça permet d’identifier de manière indirecte cette personne. »
Au contraire, une donnée publique est caractérisée comme :
• Donnée collectée par les organismes publics
• Donnée non‐nominative
• Donnée ne relevant pas de la vie privée
• Donnée ne relevant pas de la sécurité
En 2007, le groupe de travail « Open Government Data » définissait les 8 principes d’accessibilité des données. Les données publiques sont considérées ouvertes si elles sont :
• Complètes
• Primaires
• Opportunes
• Accessibles
• Exploitables
• Non discriminatoires
• Non propriétaires
• Libre de droits
A quel point les utilisateurs sont-ils au courant de la collecte et du croisement de leurs données personnelles ?
Un point largement évoqué dans ce débat est la nécessité d’une véritable sensibilisation et éducation du public à l’usage des Big Data. Les révélations d’Edward Snowden ont eu l’effet d’une bombe dans l’opinion publique, mais seuls les initiés sont capables de cerner les enjeux réels portés par ces révélations. En effet, le public se retrouve noyé dans un flot d’informations inquiétantes qu’il est incapable de maîtriser ou de synthétiser, faute d’en comprendre les rouages. Ainsi comme le pointe Miko Jensen au Congrès International du Big Data 2013 : « Non seulement il est nécessaire de révéler les dangers de la rétention de données personnelles, mais il faut surtout fournir des détails et une éducation sur les mécanismes et algorithmes qui entrent en jeux dans le traitement des données. »
Notamment, l’utilisateur est trompé par le caractère « invisible » de la surveillance et de cette collecte d’informations sur lui. Aujourd’hui, l’univers des objets connectés défie l’entendement et trompe les utilisateurs sur la réalité des données récupérées. Lors de recherches internet, l’utilisateur se rend compte qu’il saisit des informations qui seront ensuite susceptibles d’être interceptées et exploitées. Cependant, les objets connectés deviennent de véritables mouchards dans la vie privée. Ainsi, sans même avoir recours au GPS, la localisation de son téléphone est constamment activée et exploitable. Si la plupart des informations que l’on fournit alors nous semblent anodines, pour Fabrice Epelboin 4 , professeur à Science-Po, l’intrusion des objets connectés est alarmante : « Mais là encore, le soucis n’est pas tant d’avoir des mouchards chez soi – après tout, mon frigo ne va pas vous apprendre grand chose (ou pas) – que de ne pas être en mesure d’appréhender intellectuellement le champ des possibles ouvert par les données mises à disposition par l’internet des objets. »
Pour illustrer le fait que la puissance du Big Data réside bien dans le croisement des données, nous avons utilisé le site DoNotTrack.fr, destiné à sensibiliser sur les enjeux de la vie privée sur internet. Ainsi, en sélectionnant deux sites que nous consultons régulièrement (lefigaro.fr et lequipe.fr), nous obtenons le diagramme suivant.
Figure 6 – Intersection de trackers entre deux sites web, crédit DoNotTrack.fr
Autour de chaque site, l’ensemble des autres sites immédiatements alertés de notre visite sur le site concerné. Au milieu en rouge, les sites étant au courant de notre visite sur les deux sites. Ainsi, en répétant ce mécanisme, il est possible de dresser le portait d’un utilisateur par croisement de données.
Antoinette Rouvroy 5 , chercheur du fonds national de la recherche scientifique, affirme dans ce sens : «Les internautes pensent qu’ils maîtrisent la signification de ce qu’ils mettent en ligne. Mais, derrière les écrans, les machines interprètent et appliquent des codes qui échappent à notre maîtrise». Car encore, si une information peut nous sembler anodine, le principe même du BigData est de jouer sur le croisement d’informations. Or c’est dans ce croisement d’information que réside l’essentiel de la menace à la vie privée. Il ne faut pas oublier le caractère imparfait de ce croisement de données. Marcus Wigan, dans Big Data’s Unintended Consequences, dénonce le fait que la quantité prédomine face à qualité des informations traitées. Or l’utilisation des Big Data se fait dans tous les domaines et de plus en plus dans l’emploi. Ainsi, on peut imaginer un profil erroné remontant à votre futur employeur, basé sur des données croisées de manière erronée. De même, une fuite de données donnerait lieu à des conséquences désastreuses.
La vie privée sera-t-elle la valeur rare du XXIème siècle ?
La protection de la vie privée est consacrée depuis fort longtemps au travers de l’article 9 du code civil qui dispose que « chacun a droit au respect de sa vie privée ». Mais l’irruption d’internet dans notre quotidien bouleverse la donne. Nombreux sont les internautes qui décident volontairement de partager toute ou partie de leur vie privée sur internet et particulièrement au sein de leurs blogs ou via les réseaux sociaux. Ainsi, des données privées sont rendues publiques, sans que l’utilisateur ne se rende compte de l’importance de la donnée qu’il vient de révéler. Cependant, la réelle menace sur notre vie privée est que celle-ci soit révélée alors même que l’on ne cherche à la dévoiler à personne. Ainsi, en simples utilisateurs « passifs » et ne souhaitant que profiter de la technologie proposée, nous devenons fournisseur d’informations malgré-nous. Par exemple, profiter des services offerts par un frigo qui fera les courses automatiquement révèlera des informations sur les habitudes familiales, que l’on aurait jamais partagé ou posté sur les réseaux sociaux. Encore une fois, l’aspect invisible justifiant le terme de « mouchard » est inquiétant.
La question d’une définition de la vie privée se pose à nouveau, et chacun y répond à sa manière. Ainsi certains seront ravis de recevoir des services plus personnalisés grâce à un fichage en base de données. Pour d’autres, le respect de la vie privée se limite à ne pas diffuser d’images d’eux même et leur proches sans consentement, ou d’informations bancaires et médicales. Cependant, à ceux qui ont pour habitude de répondre « moi je m’en fiche, je n’ai rien à cacher », Jean Marc Manach, journaliste spécialisé dans la surveillance, répond 6 : «Sauf que nous ne sommes pas dans le meilleur des mondes, et que si la loi est censée empêcher ce genre de détournement de fichiers et d’atteintes à la vie privée, elle est rarement appliquée, d’autant que ceux qui sont ainsi espionnés, surveillés, à leur insu, sont souvent en situation d’infériorité hiérarchique face à ceux qui abusent ainsi de leurs pouvoirs. Nombreux sont ceux qui n’ont rien à se reprocher, mais qui, pourtant, se voient suspectés, voire mis en accusation, par des surveillants, contrôleurs et représentants de l’administration ou de l’autorité agissant en-dehors de tout cadre judiciaire. […] Ce n’est pas parce que vous n’avez rien à cacher que rien ne vous sera, un jour, reproché. Quand on cherche, on trouve, toujours.»
Une inquiétude grandit face au peu d’intérêt porté par les jeunes à la vie privée. Francoise Roure5, présidente du groupe de travail sur les nanotechnologies de l’OCDE estime qu’en 2020, il n’y aura plus de demande sociale en matière de protection de la vie privée parce que les gens ne seront plus en capacité intellectuelle de le faire, ne comprenant plus le sens d’une telle protection. Ce constat est très inquiétant et semble annoncer un phénomène social irréversible. La logique de contrôle social semble pour certains acceptée, voire appropriée par les individus pour des raisons de confort ou de sécurité. Une position qui pousse Antoinette Rouvroy à déclarer : «La surveillance, mercantile ou policière, résulte du choix collectif d’un mode de vie irresponsable. Elle est inévitable tant que les individus accepteront que des organisations géantes administrent leur existence.»
S’il est semble-t-il impossible d’échapper aux trackeurs, il existe de plus en plus d’outils qui permettent de savoir qui nous « track » et proposent d’adopter une nouvelle « hygiène numérique ». Lightbeam est une extension de Firefox développée par Mozilla, qui permet de voir qui vous suit sur les sites que vous visitez. Cookies, tierce partie, liens entre les trackers, Lightbeam donne un aperçu de ceux qui vous surveillent. Disconnect.me a été fondé par des anciens de Google et des avocats. Il permet, entre autres, de bloquer les traqueurs et d’améliorer la navigation sur le net. La CNIL (Commission Nationale Informatique et Liberté) a développé en France Cookieviz, qui identifie en temps réel les cookies qui transmettent des informations à d’autres sites.
Notes :
1. Guillaud Hubert, L’emploi à l’épreuve des algorithmes, La Tribune, publié le 21/10/2014, http://www.latribune.fr/opinions/tribunes/20141021trib663aec2a8/l-emploi-a-l-epreuve-des-algorithmes.html, consulté le 07/12/2014.
2. Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
3. Source : Entretien Franck Baudot, 24/03/2015. Voir http://www.controverses-minesparistech-2.fr/~groupe7/?page_id=237.
4. Epelboin Fabrice, Atteintes à la vie privée : l’horreur que nous prépare l’essor de l’Internet des choses, Atlantico, publié le 19/05/2014, http://www.atlantico.fr/decryptage/atteintes-vie-privee-horreur-que-prepare-essor-internet-choses-fabrice-epelboin-1568651.html, consulté le 07/12/2014.
5. Mounier Frédéric, Quelle vie privée ?, La Croix, publié le 20/01/2014, http://www.la-croix.com/Ethique/Sciences-Ethique/Sciences/Quelle-vie-privee-2014-01-20-1093735, consulté le 12/04/2015.
6. Manach Jean-Marc, Lettre ouverte à ceux qui n’ont rien à cacher, Internetactu, publié le 21/05/2010, http://www.internetactu.net/2010/05/21/lettre-ouverte-a-ceux-qui-nont-rien-a-cacher/, consulté le 15/04/2015.