Opportunités économiques ou menaces à la vie privée ?

Entretien Frank Baudot

Interview de Franck Baudot

Membre du pôle technologique de la CNIL et expert sur les questions de Big Data

Dans la suite, A correspondra à Adrien, webmaître du groupe de controverses et F correspondra à Franck Baudot.

 

A : Dans le cadre de nos études aux Mines, on a un projet qui s’appelle Controverse, on étudie une question assez ouverte et on réfléchit en groupe, dans un groupe de 5, on étudie plein d’articles scientifiques, journalistiques et on réalise des entretiens pour essayer de cerner un peu plus la problématique. Donc nous notre thème, c’est les big data, comment les BD peuvent nous simplifier la vie, mais aussi comment les BD peuvent à terme être une menace pour notre vie privée. On est allé interviewé une start-up du BD. C’était important pour nous de voir la CNIL pour connaître un peu plus la position de la CNIL sur ce sujet. Donc tout d’abord est-ce que la CNIL a bien pris en compte l’arrivée des BD ou est-ce que c’est quelque chose qui est encore assez nouveau et que la CNIL découvre ?

F : Pour l’instant ce sujet est relativement prospectif pour la Cnil. Pour rappel, la Cnil est chargée de faire appliquer la loi du 6 janvier 78, modifiée en 2004, dite loi informatique et liberté, ainsi que toutes les dispositions légales touchant aux données personnelles qui existent dans les codes juridiques. Tout traitement doit ainsi être déclaré à la Cnil. Afin d’en déterminer la licéité, le principe qui prévaut est celui de finalité, en d’autres termes la première chose qu’on demande à tout responsable de traitement c’est: « qu’essayez-vous de faire ? »

A : Qu’est-ce que vous appelez « traitement » ?

F : Un traitement, c’est le terme de la loi pour toute mise en oeuvre d’un processus informatique qui vise à collecter des données ou les exploiter. Il convient de savoir que la simple collecte constitue un traitement. Une collecte ne peut être autorisée sans qu’une finalité claire lui soit associée. On sent que cette approche peut constituer un point de friction vis-à-vis du Big Data; certains acteurs disent avoir besoin de collecter les données d’une part sans délai, parce que la donnée qui n’est pas collectée est peut-être perdue à jamais et que d’autre part ils ne savent pas quel usage sera fait de ces données. Une telle approche peut paraitre en opposition avec les principes de la loi.

A : Concrètement, une entreprise est obligée de vous informer quand elle va collecter des données ?

F : C’est une obligation légale.

A : Et c’est à vous de dire si vous acceptez ou pas, conformément à la loi…

F : En simplifiant, disons que la loi a prévu deux régimes: un régime déclaratif et un régime d’autorisation. Le régime déclaratif s’applique dès lors que les données collectées ne sont pas des données sensibles notamment; il suffit de faire une déclaration précisant la finalité et les données collectées, et la mise en oeuvre du traitement est possible. L’autre régime, c’est le régime dit « d’autorisation ». Ce régime est beaucoup plus strict car pour mettre en oeuvre le traitement, il est nécessaire d’avoir obtenu l’autorisation de la CNIL. Ce régime concerne tous les traitements qui sont notamment liés aux données dites « sensibles » : les données de santé, l’appartenance religieuse, syndicale, politique etc. En l’absence d’autorisation, il y a une interdiction stricte de mise en oeuvre.

Il faut savoir par ailleurs que la Cnil peut contrôler ces traitements a posteriori. Si un contrôle établit qu’un traitement pose des difficultés vis à vis de la loi, par exemple quant à l’adéquation des données collectées, aux mesures de sécurité mise en oeuvre pour protéger les données, l’organisme encourt des sanctions.

A : Et donc ça, ça s’applique à toutes les sociétés implantés en France. Donc Google, Facebook… qui sont implantés à l’étranger

F : Quand la loi s’applique-t-elle ? Il y a 2 critères pour déterminer si la loi s’applique: si la personne morale qui veut mettre en oeuvre le traitement a une existence juridique en France, ou à défaut, si le traitement met en oeuvre des « moyens de traitement » en France. Ces moyens de traitement peuvent être interpréter au sens large: souvent on parle de serveurs, mais le dépôt d’un cookie sur un équipement présent sur le sol français constitue un moyen de traitement.

A : Votre rôle, c’est vraiment de faire appliquer cette loi particulière

F : Absolument, la Cnil a été créée pour ça.

A : Et vous êtes indépendant du gouvernement, comment ça fonctionne ?

F : La Cnil dispose d’une véritable indépendance dans les décisions qu’elle prend. Comment se prennent ces décisions ? Un collège de 17 commissaires se réunit pour délibérer sur les traitements sur la base de rapports élaborés par les services de la Cnil. Ces rapports présentent les enjeux juridiques naturellement, mais également en termes de sécurité informatique, ainsi que les conséquences sociétales de la mise en oeuvre d’un traitement; qu’il s’agisse d’autoriser ou d’interdire un traitement, toute décision ait ainsi motivée et explicitée. Les 17 commissaires viennent d’horizons relativement différents : il y a des magistrats, des professeurs en informatique, des hommes politiques, des personnalités qualifiées. Il faut savoir encore que c’est le gouvernement qui établit le budget de la Cnil. Le montant de ce budget est en progression ces dernières années, ce qui est plutôt un bon indicateur d’une volonté de renforcer le rôle de la Cnil.

A : Et ces membres du collège, il sont renouvelés tous les 3 ans… ?

F : Selon la règle qui prévaut pour les différents commissaires (certains sont élus, d’autres nommés, etc.), un renouvellement intervient à diverses échéances. Ainsi le collège a été renouvelé il y a un an, pour moitié environ.

A : Et donc quels sont les outils juridiques à la disposition de la CNIL pour défendre notre vie privée ?

F : La loi…

A : Vous allez porter plainte… ?

F : La Cnil dispose depuis 2004 d’un pouvoir de sanction et a été qualifiée depuis de juridiction. Lorsqu’un traitement présente des manquements à la loi, manquements constatés le plus souvent lors d’un contrôle, lui-même diligenté suite à une plainte par exemple, l’organisme qui en a la responsabilité peut être sanctionné. La Cnil effectue de l’ordre de 400 contrôles sur place par an. Depuis peu, la Cnil a également le moyen de faire des contrôles à distance à partir d’un ordinateur sécurisé et précisément qualifié pour réaliser des constats en ligne. Selon l’importance des manquements, la Cnil peut décider de mises en demeure, voire de sanctions financières pouvant aller jusqu’à 300 000 euros en cas de récidive. Toutefois, la Cnil n’a pas les moyens légaux pour faire cesser un traitement. Il est nécessaire de déposer une plainte au parquet, et la justice suit alors son cours.

Il faut savoir par ailleurs que les autorités européennes ont des périmètres assez différents quant à leurs missions. Certaines disposent de compétences judiciaires étendues, d’autres font payer les déclarations etc. Cette disparité est une des raisons pour laquelle un futur règlement est en cours de discussion au niveau européen. Pour rappel, la loi actuelle vient pour la majeure partie de la transposition de la directive. Avec un règlement, l’application est unilatérale, sans transposition.

A : Toutes les entreprises qui collectent des données doivent vous en faire la demande, une déclaration ?

F : Le responsable de traitement est celui qui définit la fin ainsi que les moyens. Sa détermination n’est pas toujours chose aisée. Considérons une application mobile accédant à une donnée. Si celle-ci reste confinée dans le téléphone cela ne constitue pas un traitement: c’est ce qu’on appelle l’exception d’utilisation personnelle. A contrario si elle est téléchargée sur un serveur, on considère qu’un traitement de données a lieu. Pour autant, est-ce l’éditeur de l’application qui a mis lui même en place les serveurs, qui collecte et processe la donnée, ou bien l’éditeur d’une librairie intégrée à l’application? Ce n’est pas toujours évident…

A : Pouvez-vous rappeler quelles sont les données privées, personnelles ?

F : Une donnée personnelle est toute information relative à une personne physique identifiée ou qui peut être indentifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Par exemple, une adresse IP est une donnée à caractère personnel, car elle est rattachée à la personne qui a souscrit l’abonnement au fournisseur d’accès internet.

A : Une entreprise a-t-elle le droit de faire certaines choses avec ces données.

F : Différents critères sont prévus pour établir la légalité d’un traitement. L’obtention du consentement des personnes peut suffire dès lors que les données collectées ne sont pas des données sensibles. Ce consentement doit être « éclairé ». Un autre critère est de disposer d’une base légale, ce qui est le cas lorsqu’une loi impose ou autorise à mettre en place un traitement. Un autre critère encore est lorsque le responsable de traitement peut démontrer qu’il dispose d’un intérêt légitime.

A : Donc par exemple quand Facebook cible très précisément ses utilisateurs et revend de manière anonyme ces données à des publicitaires, ça ils ont droit de le faire parce que dans les conditions utilisateurs….

F: Tout d’abord il convient d’être vigilant sur le terme anonyme. La CNIL a une acception très stricte de ce terme. Une donnée est anonyme s’il n’existe aucun moyen de la rattacher à une personne. A défaut on parle de données pseudonymisées.

A : C’est ça, FB ne va pas forcément dire à l’entreprise de pub que c’est M.Dupont, mais c’est un homme il 20 ans et il aime le foot. Voir un identifiant dont elle seule permet de faire un rapprochement avec le profil derrière. Ça c’est les données pseudonymisées

F: C’est cela. Si elles étaient anonymisées, il n’y aurait aucun moyen de faire le rapprochement entre les données et une personne.

A: Et ça Facebook a le droit de le faire ? Mais si on considère que les règles, que ce qu’a proposé Facebook était un peu flou et que au final on pensait donner nos données qu’à Facebook et Facebook les partage avec d’autres entreprises.

F: La difficulté avec des traitements comme le réseau social Facebook est que ce dernier a défini des conditions générales d’utilisation qu’il faut accepter pour pouvoir accéder au service. La Cnil est vigilante quant à la clareté de ces CGU, d’autant plus que celles-ci évoluent dans le temps. Un autre point de vigilance concerne la suppression des données lorsqu’on se désinscrit du réseau.

A : Vous pouvez imposer la durée de conservation des données ?

F: Effectivement c’est l’un des principes de la loi. Normalement toute collecte de données l’est pour un temps déterminé. Il est le plus souvent limité à la durée d’inscription au service.

A : Google a un moment gardé ses données pendant deux ans et la Cnil disait que c’était 6 mois maximum….

F: C’est exact: cela concerne la durée de conservation des requêtes faites sur le moteur de recherche. Google pseudonymise les données des requêtes en supprimant les derniers chiffres de l’adresse IP, ce qui permet de limiter l’identification des personnes…

Cela m’amène à évoquer deux autres points importants à considérer concernant la régulation du Big data. On voit que des entreprises sont en capacité d’utiliser des données dont elles disposent pour d’autres finalités que celles pour lesquelles elles ont été collectées. La question qui se pose alors est de savoir si la nouvelle finalité est compatible avec la collecte initiale. Si cette finalité n’a pas de parenté directe avec celle à l’origine de la collecte, le responsable de traitement devra obtenir le consentement des personnes. Et cela peut être non trivial si les données ont été pseudonymisées…En outre, en tant que régulateur, on doit rester attentif à ne pas privilégier certains acteurs. Ainsi, avec les quantités de données à sa disposition, Google a conçu Flu trends en ayant déterminé les requêtes faites sur leur moteur ainsi que les algorithmes les plus à même de rendre compte de l’évolution de la grippe. Google a donc conçu un service qui a une finalité épidémiologique et un caractère de santé publique à partir de données collectées pour une finalité toute autre, des données de requêtes sur un moteur de recherche. Or il est évident que les acteurs qui ont une base légale pour collecter de nombreuses données sont avantagés face à un nouvel entrant. Sauf à ce que quelqu’un fasse un moteur concurrent de Google, personne n’est en mesure de collecter des données équivalentes…

La difficulté est donc dorénavant d’estimer la pertinence et l’adéquation de données pour une finalité déterminée. Tant qu’on ne nous a pas démontré que ça marche, il est pratiquement impossible de nous prononcer sur la pertinence! Mais pour le démontrer il faut l’autoriser: c’est un peu un cercle vicieux.

A : Est-ce que vous pensez qu’on peut encore avoir une vie privée sous peu ? Parce qu’on voit que de plus en plus de services nous file…

F: La Cnil considère que, oui la vie privée est un droit fondamental qui doit perdurer quelque soit les évolutions technologiques présentes et à venir.

A : Et le droit à l’oubli il a été instauré en Allemagne, mais aussi en France je ne me souviens plus… ? Sur le big data vous m’avez signalé les deux grosses problématiques… est-ce que vous considérez que la Cnil n’est pas totalement armée pour faire face à ces problèmes-là, ne serait-ce qu’au niveau de la loi ; il y a encore des positions qui sont floues… économiquement.

F: Il n’existe aucune possibilité pour un traitement d’échapper à la loi. Cela ne veut pas dire pour autant qu’elle est la meilleure manière de réguler le Big data; la Cnil ne s’interdit pas de proposer des évolutions de la loi afin de mieux l’encadrer.

A : Avec l’arrivée des big data on a des énormes bases de données qui permettent de dresser le portrait assez complet d’un utilisateur, est-ce que la Cnil peut demander à ce que certaines données soient stockées à des endroits différents, ou non mélangées, ou non croisées… ?

F: La Cnil émet des recommandations, mais le responsable de traitement n’a pas d’obligation de résultats de par la loi, seulement de moyens.

A : Il y a des données qui sont stockées en France, d’autres non. Est-ce qu’il y a des règles concernant les flux de données entre pays ?

F: Oui, c’est une des modalités de la loi: s’il y a des transferts en dehors de France ou des pays de l’Union Européenne, le responsable de traitement doit le déclarer. Quand les données sont transmises dans des pays qui ont un niveau de sécurité juridique équivalent à la France comme le Canada, Israël, cela ne pose pas de problème. S’agissant des Etats-Unis, un accord appelé Safe Harbor conclu entre les Etats-Unis et l’Europe il y a quelques années impose aux entreprises américaines d’y adhérer. Charge au régulateur américain, la FTC, de s’assurer de mesures de sécurité adéquates pour la gestion des données. Il faut savoir que certaines autorités européennes considèrent que le Safe Harbor ne constitue plus une garantie suffisante. Un autre aspect en rapport avec les transferts que l’on peut évoquer est le « cloud », avec les difficultés inhérentes au stockage distant. En la matière la Cnil a émis des recommandations qui sont consultables sur le site Internet de la Cnil.

A : Et concernant la monétisation des données dans la loi il y a des choses qui… ?

F: La loi n’a pas été conçue en considérant que la donnée est la propriété de la personne. Certains avancent cette idée afin de donner une valeur monétaire aux données personnelles. Pour l’heure, cette notion n’existe pas dans la loi ni même dans le futur règlement.

A : Avec les Big Data, on a aussi une nouvelle tendance, c’est à partir de données les enrichir, et même produire des nouvelles données, on est capable de faire des pronostics de quelles personnes sont susceptibles de quitter le site internet en regardant les autres personnes qui ont eu un profil similaire. Donc on est capable de génerer de nouvelles données en les croisant, et ces données là, elles ne sont pas de caractère particulier ? enfin si on a accepter de donner les autres données, on accepte aussi que ces nouvelles données soient collectées?

F: A priori, je dirais que oui, puisque ces nouvelles données sont obtenues par déductions des autres, donc il n’y a pas à proprement collecte d’une nouvelle donnée et à partir de là je ne vois rien dans la loi qui interdit de le faire.

A: D’accord très bien. Je ne suis pas sûr d’avoir d’autres questions … Donc les Big Data ça fait combien de temps que la CNIL réfléchit sur le sujet ?…

F: depuis environ un an le sujet est activement considéré.

A : 1 an, d’accord. Et là, quelles sont les nouvelles tendances sur lesquelles réfléchit la CNIL?

F: la Cnil dispose d’un pôle inovation et prospective en charge de réfléchir aux enjeux à venir.

A: Les objets connectés …

F: Notamment, les voitures connectées, ou encore les questions de droits à l’oubli…

A: La CNIL est là pour accompagner un peu tous ces développements et vérifier qu’ils rentrent bien dans le cadre de la loi, et même adapter la loi si il y a le développement de nouvelles technologies … ?

F : Tout à fait. Un exemple de données dont on n’a sans doute pas anticipé l’importance et l’intensité de la collecte est la géolocalisation. Dans la loi de 1978 modifiée en 2004, on avait déjà anticipé que des données comme des données de santé, la biométrie étaient des données qui revêtaient une grande importance vis-à-vis des individus. La géolocalisation c’est clairement le cas aussi je pense, et il faudrait qu’à l’avenir, ces données soient bien encadrées.

A: Dans ce cas là, vous n’avez peut-être pas suffisament de matière dans la loi pour défendre …

F: Disons que cette donnée ne bénéficie pas du régime d’autorisation qui est plus protecteur. Afin de renforcer la loi, la Cnil propose des évolutions de la loi au législateur. C’est un peu le paradoxe car la loi a crée la Cnil, et maintenant la Cnil crée la loi en quelque sorte. En dernier ressort, c’est le législateur qui ratifie les évolutions.

A: D’accord, très bien. Est-ce que ça vaut le coup de sacrifier sa vie privée dans un intérêt économique ? C’est la question qu’on se pose aussi, c’est est ce que les utilisateurs sont prêts à renoncer à leur vie privée pour … ?

F: Un sujet qu’on n’a pas abordé est le rôle de sensibilisation de la Cnil. Il y a quelques années, le public n’était clairement pas conscient de l’intensité de la collecte dont il est l’objet. Je pense que sur ce point là les choses ont un peu changé. Et à partir de là, on peut éspérer qu’il y ait une prise de conscience qui émerge et qui vienne aussi infléchir certaines choses. Ce qu’il faut comprendre, c’est qu’on est moins de 200 à la Cnil, on a 100 000 déclarations par an, et c’est sans doute une partie des traitements qui sont mis en oeuvre. Comment 200 personnes peuvent réguler une technologie qui à l’avenir sera présente dans tous les sujets de notre vie? On voit bien que le problème qu’on a en tant que régulateur, c’est qu’on est parti de la loi de 1978, où à l’époque l’informatique concernait quelques administrations ou de très grosses entreprises. Il y avait effectivement un risque de concentration, de centralisation des identifiants des individus et des croisements de données. En 2015, la problématique c’est que l’informatique s’est diffusée partout, mais que la loi est restée inchangée pour l’essentiel…

T: Et vous vous inspirez de ce que font vos collègues européens? Y a t-il des échanges de bonne pratique?

F: Oui: le groupe article 29, dit G29 se réunit périodiquement pour prendre des positions communes sur des sujets tels que les réseaux sociaux, les moteurs de recherche, les objets connectés, le big data… Il y a eu un « statement big data » qui a été publié l’an dernier, mais qui se contentait de rappeler que le Big data ne devait pas déroger aux obligations légales en vigueur.

A: Donc internet devient de plus en plus une zone… Avant c’était peut-être une zone où tout est permis. Et maintenant on essaie de plus en plus de mettre des lois sur ce qu’il se passe en ligne aussi.. On arrive à définir un cadre juridique en ligne..

F: Les juristes ont l’habitude de dire que « le droit a horreur du vide », c’est à dire qu’il y a toujours un article de loi auquel on peut se rattacher. Parfois il faut considérer des articles très généraux comme l’article 9 du code civil. L’évolution des technologies et le fait que l’informatique est omniprésente oblige à progressivement affiner les lois afin que le droit reflète clairement ce qui est autorisé de ce qui ne l’est pas. C’est un reproche qui est souvent fait à la loi informatique et liberté dela lpart des informaticiens: elle est très juridique, c’est à dire que la plupart du temps l’informaticien ne la comprend pas. C’est le rôle de la Cnil d’expliquer la loi, un rôle de pédagogie.

A: J’ai aussi une question : Les gens voient aussi la CNIL comme un défenseur des dérives qui peuvent avoir lieu sur internet avec leurs données personnelles, et comment la CNIL reçoit des informations pour contrôler un minimum les entreprises qui jouent avec nos données, par exemple google avec street view?

F : Le déclenchement d’un contrôle peut se décider sur la base du programme défini annuellement, ou suite à un article paru dans la presse, ou encore suite à une plainte. Comme évoqué préceddement, la Cnil a la possibilité de faire des contrôles en ligne.

A: Qu’entendez-vous par contrôles en ligne?

F: Et bien, à partir d’un navigateur internet, on étudie la conformité de collecte de données à la loi. C’est assez limité comme application, mais par exemple pour la recommandation sur les cookies c’est parfaitement adapté. Il n’est pas nécessairement utile de se déplacer dans une entreprise qui par ailleurs a ses serveurs dans un datacenter situé à une autre adresse que son siège social. Lors d’un contrôle sur place, le responsable de traitement met à disposition des contrôleurs une console informatique qui permet d’accéder aux données hébergées pour son compte. Si on peut effectuer ce contrôle sans déplacement, cela permet notamment de réduire les coûts.