Le 21 novembre 2019, Avenir Jeunesse et le foraus ont convié à l’EPFL trois experts de la protection des données pour une conversation multidisciplinaire sur cet enjeu fondamental : Christophe Legendre, CTO de Bits about me, Frans Imbert-Vier, CEO d’UBCOM ainsi que Livio di Tria, doctorant à l’Université de Lausanne. Ils dressent un panorama des enjeux et esquissent des réponses pour ce sujet aux multiples facettes.
L’enjeu économique
Les données sont souvent présentées comme le pétrole du XXIème siècle. En l’espace de deux décennies, leur exploitation a métamorphosé des projets de fond de garage en certaines des entreprises les plus riches et les plus influentes du monde. Si les Gafam (Google-Apple-Facebook-Amazon-Microsoft), constituent les figures de proue de ce nouveau paradigme économique, la tendance est globale. En 2020, l’exploitation des données représentera près de 4% du PIB européen. Sur la plateforme de formation en ligne Coursera, sept des dix cours les plus suivis portent sur les données.
L’ascension fulgurante des entreprises numériques est d’autant plus remarquable que nombre de celles-ci se sont enrichies en offrant des services gratuits à leurs utilisateurs. Mais l’artifice est désormais bien connu, et c’est Christophe Legendre qui se charge de le rappeler : «Si c’est gratuit, c’est vous le produit !» En général, la valeur des données tend à être sous-estimée par leurs propriétaires, qui les cèdent facilement en échange de l’accès à un service et finissent par «travailler gratuitement» pour ces sociétés en générant constamment des données monétisables. Bits about me, qui propose un «eBay des données personnelles» sur lequel les utilisateurs peuvent vendre leurs données, est le parfait exemple qu’un modèle d’affaires plus respectueux de la propriété privée des utilisateurs est possible, avance Christophe Legendre, son co-fondateur. De telles idées sont aussi développées outre-Atlantique, notamment par l’économiste en chef de Microsoft, E. Glen Weyl, mais restent encore à l’état d’ébauche, tant les services gratuits en ligne continuent de connaître un succès phénoménal.
L’émergence des GAFAM pose également la question de la concurrence. Aujourd’hui, près d’un tiers de l’humanité utilise au moins un de leurs services. Cette concentration s’explique aisément par les multiples effets de réseau de l’économie des données. Mais elle a des effets préjudiciables pour les consommateurs, puisqu’elle entrave l’entrée de nouveaux concurrents sur le marché. Or, plus de concurrence pourrait encore accroître la capacité d’innovation du secteur, contribuer à réduire les «prix» ou encore offrir davantage de choix. Malgré des esquisses de réponse à cet enjeu, l’Europe et la Suisse demeurent toutefois dépendantes du bon vouloir politique des Etats-Unis, qui n’ont aucun intérêt à voir de nouveaux concurrents européens rivaliser avec leurs poules aux œufs d’or.
L’enjeu informationnel
Ce dernier constat est d’autant plus valable que ce nouvel «or noir» n’a pas seulement une valeur marchande, mais également une valeur informationnelle. Cet aspect a des implications significatives pour toutes les sociétés contemporaines, notamment vis-à-vis du principe très ancien de protection de la sphère privée (qui remonte à la dichotomie oikos-polis de la Grève antique). Pour les entreprises, une question similaire se pose concernant le «droit du secret des affaires» et, plus largement, pour le droit de la protection intellectuelle. Comment ces droits, consubstantiels à une société libérale, peuvent-ils être garantis à l’ère numérique ?
Cette question est d’autant plus sensible que la numérisation a profondément bouleversé la nature et l’ampleur du renseignement. Il y a trente ans, la Suisse se scandalisait des 900 000 fiches produites par les autorités suisses durant la guerre froide. Aujourd’hui, la généralisation des téléphones intelligents (dont disposent près de sept millions d’individus en Suisse) offre des possibilités jusqu’ici inimaginables pour accéder aux données privées des citoyens et tracer leurs déplacements (#PRISM). Ces pratiques ne sont pas seulement réservées aux Etats ou à de puissantes organisations criminelles : pour quelques centaines de dollars, n’importe qui aujourd’hui peut contracter un cyberpirate sur le dark web pour infiltrer le compte WhatsApp ou Messenger d’une tierce personne.
De manière générale, la numérisation a aggravé la lutte des Etats pour le contrôle des flux d’information, par exemple pour prendre l’avantage dans des campagnes électorales (#CambridgeAnalytica) ou se livrer à de l’espionnage. Les débats en cours en Europe sur l’intégrité des infrastructures 5G (#Huawei) doivent être lus à l’aune de cette lutte géopolitique pour le contrôle des flux d’information. Selon Frans Imbert-Vier, l’Europe a perdu la bataille technologique ; son offre d’antennes se développe trop tard et coûte significativement plus cher que chez la concurrence. Elle doit maintenant choisir de deux maux le moindre – du matériel états-unien ou du matériel chinois – avec un risque extrêmement élevé de portes dérobées dans chaque cas.
Cependant, garantir la protection des données lors de leur transmission ou traitement ne suffit pas. Car, paradoxalement, un des enjeux fondamentaux de cette protection ne concerne pas tant les données elles-mêmes que leur mise en relation. Cette dernière a pour but d’identifier des corrélations et des rapports de probabilité, notamment pour prédire le comportement humain. Le maître-mot en la matière est profilage.
Lors de la discussion, les risques du profilage ont immédiatement fait consensus. Certes, bénéficier de recommandations musicales personnalisées sur Spotify parce que ses algorithmes «apprennent à nous connaître» sur la base des morceaux écoutés antérieurement n’est pas problématique en soi. Ce qui l’est davantage, c’est le manque de transparence vis-à-vis des critères mobilisés par l’algorithme et l’absence de contrôle sur la personnalisation ou la correction de cet algorithme par l’utilisateur final. «Minority Report, c’est pas dans vingt ans, c’est maintenant !» s’est exclamé Frans Imbert-Vier (en référence au film dans lequel un protagoniste innocent est pourchassé par la police après que le système a prédit qu’il allait commettre un crime). De manière plus large, c’est toute la question du libre choix et du libre arbitre qui se pose. Pourquoi l’algorithme me propose-t-il tel article de journal plutôt qu’un autre ? Sur la base de quelles informations à mon sujet les moteurs de recherche mettent en avant tel contenu – et pas un autre ?
La réponse réglementaire
Comment répondre à ces enjeux de manière adéquate ? Les experts sont unanimes sur la légitimité d’une réponse réglementaire : les moyens techniques étant quasiment illimités, il revient au juridique de poser des limites. Reste encore à déterminer lesquelles.
Car la notion de protection des données a une longue histoire. Comme l’a rappelé Livio di Tria, le sujet est discuté en Suisse au moins depuis l’adoption, par le Conseil de l’Europe (dont la Suisse est membre) en 1981, de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. En 1992, la Confédération a adopté sa propre loi sur la protection des données (LPD). Ainsi, la réponse réglementaire existe déjà dans une certaine mesure mais requiert des adaptations pour rester efficace, au vu des évolutions techniques induites par la numérisation.
Aujourd’hui, le nouveau standard international en matière de protection des données est le Règlement Général sur la Protection des Données (RGPD) de l’UE, entré en vigueur en 2018 dans les 31 Etats de l’Espace économique européen (EEE). Avec le RGPD, l’UE a envoyé un message fort et s’est positionné en leader de la protection des données à l’échelle globale. Reste encore à voir si elle pourra appliquer ses règles de manière extraterritoriale, comme le prévoit le RGPD, pour protéger efficacement ses citoyens. «On attend encore la jurisprudence,» précise Livio di Tria.
En Suisse aussi, le RGPD imprime sa marque dans les actuels débats sur la révision totale de la LPD. Garantir la compatibilité du nouveau dispositif réglementaire avec le RGPD sera crucial pour ne pas désavantager les entreprises suisses sur les marchés européens. Dans le même temps, il faudra s’assurer que les solutions retenues soient supportables pour les PME et ne créent pas, par ricochet, des nouvelles barrières à l’entrée protégeant les géants du Web – un reproche souvent adressé au RGPD selon Frans-Imbert Vier.
Enfin, des réponses doivent encore être apportées à ce qui convient d’appeler l’hermétisme algorithmique. L’enjeu est délicat, puisqu’il faut remédier au manque de transparence des algorithmes (les anglophones parleraient également d’accountability) tout en ne divulguant pas les détails de leur conception, qui doivent à juste titre être protégés par le secret des affaires. L’autoréglementation des géants du Web – par exemple l’engagement de développer une palette d’outils à disposition des utilisateurs pour affiner le comportement de l’algorithme – est une des options possibles. Dans tous les cas, des compétences numériques accrues seront de plus en plus requises pour gérer ces algorithmes dans nos quotidiens, par exemple dans les entreprises d’audit ou les milieux judiciaires.
Les réponses individuelles
La question des compétences occupe d’ailleurs une place centrale dans la réflexion, avec les trois experts y revenant à maintes reprises au cours de la discussion. Car aussi essentiel qu’il soit, le développement d’un cadre règlementaire adapté ne peut pas se substituer à un changement profond et durable des attitudes individuelles en matière de protection des données.
Tirant parti de son expérience professionnelle, Christophe Legendre raconte par exemple comment de nombreux clients individuels de Bits abouts me s’empressent de vendre l’intégralité de leurs données alors que sa plateforme leur offre justement la possibilité de garder le contrôle sur leurs données les plus sensibles. Pour lui, les utilisateurs sous-estiment largement la valeur non-monétaire de leurs données. La mentalité du «je n’ai rien à cacher» est encore fortement ancrée au sein de la population. Dès lors, faudrait-il protéger l’utilisateur contre lui-même ? Non, selon Christophe Legendre, pour qui le choix doit être personnel et relever de la responsabilité individuelle.
Néanmoins, ce choix gagnerait à être plus informé. «Idéalement, on apprendrait à protéger ses données comme on apprend aujourd’hui aux enfants à traverser la route», préconise Livio di Tria, pour qui le développement d’une véritable «hygiène numérique» est nécessaire. De nombreux citoyens méconnaissent en effet leurs droits, comme par exemple celui d’accéder à ses données ou d’en demander la suppression totale. Une première étape sans doute nécessaire, mais qui ne résoudra pas le problème de fond, tant les coûts actuels d’une hygiène numérique restent élevés en comparaison du bénéfice personnel attendu.