Europe, RGPD et GAFAM : la souveraineté de nos données en danger ?
Crée le 26/10/20
Le marché de la donnée, les GAFAM, l'Europe et la souveraineté des données, Jean-Marc Truffet , responsable Communication et Projets de la Fondation MAIF nous explique en images les enjeux liés aux objets connectés...
Une interview de Laure COLAS de www.pyguard.fr
Aujourd’hui nous voudrions parler des données personnelles, vous pouvez nous expliquer ce que c’est ?
Alors, pour moi une donnée personnelle, c’est une donnée qui va permettre d’identifier un individu. Donc évidemment la toute 1ère donnée à laquelle on peut penser, c’est l’identité de la personne : son nom, son prénom - ou des informations qui permettent de l’identifier d’une manière certaine - son numéro de téléphone, son adresse, sa date de naissance – ce genre de choses. Dans les données personnelles, il y a aussi toutes les informations que la personne va produire ou va utiliser sur l’Internet au sens large. En particulier sur les réseaux sociaux qui permettent de savoir quand une personne aime telle ou telle chose, qu’elle a telle ou telle préférence, qu’elle est dans tel ou tel groupe, dans telle ou telle communauté. Ce sont aussi des données personnelles selon moi. Et là, on est vraiment quasiment au cœur de l’intime, au cœur de la vie privée numérique.
C’est quoi l’intérêt pour la Fondation MAIF des données personnelles ?
La Fondation MAIF s’intéresse aux risques numériques. Les risques numériques recouvrent plusieurs aspects. L’axe que nous avons privilégié, depuis 4 ou 5 ans, c’est la protection de la vie numérique , et donc, la captation des données personnelles. Ce qui nous a préoccupé à la Fondation MAIF, c’est de constater le déséquilibre qui pouvait exister entre une personne qui utilise les services sur internet et les fournisseurs de ces services. Trop souvent les personnes sont peu conscientes de ce qu’elles donnent, de ce que l’informatique permet aujourd’hui de capter, de mémoriser en termes d’information. En revanche, les fournisseurs de services sont évidemment parfaitement au fait de ça, et donc vont capter un maximum de choses et les utiliser à leur profit sans bien souvent en avertir de manière formelle les utilisateurs.
Aujourd’hui, on travaille avec vous sur un projet qui s’appelle PY Guard. Est-ce que vous pouvez nous en dire plus ?
Tous les 2 ans à la Fondation MAIF, nous publions des appels à projets. En 2018, Panga était en train d’imaginer ce que pourrait être un boîtier dont la particularité serait de révéler les données qui sortent du domicile. De faire en sorte que les personnes utilisant soit d’un objet connecté, soit d’un smartphone, soit d’un pc, puissent visualiser de manière extrêmement simple toutes les informations qui sont captées par ces objets et envoyées vers les serveurs de services. PY Guard est un outil qui permet de rééquilibrer la position de l’utilisateur vis-à-vis des fournisseurs de services sur internet. Puisque, grâce à PY Guard, les personnes sont en capacité à naviguer de manière complètement anonyme et donc de ne pas fournir cette monnaie d’échange essentielle entre le service et l’utilisateur qui est la donnée personnelle.
Qu’est-ce que vous pensez d’état actuel du marché de la donnée ?
Le marché de la donnée pour moi est surtout un marché sous-terrain, un marché quasiment illicite, ou illégal, quelque part. C’est un marché qui existe, mais qui n’est pas au grand jour. C’est-à-dire qu’il n’y a pas une monétisation de l’utilisateur de ses données personnelles. Il existe des initiatives de monétisation, mais qui restent très modestes. L’immense majorité du marché de la donnée est un marché entre gros acteurs qui stockent de l’information et qui la revendent ensuite au plus offrant.
Est-ce qu’il pourrait y avoir une évolution vertueuse pour ce marché de la donnée personnelle ? Et si oui, comment ?
S’il doit y avoir un marché de la donnée, il faut ce soit un marché équilibré, un marché conscient. C’est-à-dire que si moi, individu, j’accepte effectivement que mes données personnelles soient captées par des acteurs industriels, voire éventuellement être revendues par ces mêmes acteurs à d’autres acteurs, il faut que je sois « partie prenante du contrat ». Tant que ce genre de transparence n’aura pas lieu, on sera dans un marché sous-terrain et illégal.
Pour vous le marché de la donnée tel qu’il existe, c’est illégal ?
Ce n’est pas condamnable en tant que tel car dans la plupart des cas, les utilisateurs donnent leur permission au travers des conditions contractuelles qu'ils ne lisent jamais. C’est là où c’est condamnable parce que les gens ne sont pas véritablement au courant de ce qu’il se passe. C’est ça qui est problématique aujourd’hui. Ce que je trouve intéressant, c’est que les informations à un moment donné servent les individus. Prenons l’exemple d’un GPS. Il est bien évident que le GPS va mémoriser un certain nombre d’informations qui m’appartiennent qui sont les données de localisation. Mais si grâce à ça il m’apporte un service additionnel - et un service additionnel que j’ai moi-même sollicité - je trouve qu’on est dans un marché respectueux. Il y a équilibre entre le fournisseur et l’utilisateur, le fournisseur et le client. C’est le maître mot, me semble-t-il, d’un marché respectueux ou d’un marché vertueux de l’information.
Vous pensez quoi des marketplaces des données personnelles ? Vous y croyez ?
Je trouve que c’est un peu illusoire, que l’individu puisse se dire, « mes données ont une valeur et je suis en capacité à les vendre ». Je crois beaucoup plus à l’idée que mes données, rassemblées avec d’autres, prennent de la valeur parce qu’elles participent à la formation de connaissance. Et si cette connaissance m’est restituée en termes de service, pour le coup, ça me paraît équilibré. Je n’ai pas besoin de vendre mes datas.
Revenons à votre cœur de métier, le risque. C’est quoi les risques associés à la donnée ?
Les risques liés à la donnée sont essentiellement des risques d’intrusion. D’intrusion dans sa vie intime, dans sa vie personnelle, dans sa vie privée numérique. Quand on navigue sur le web, on laisse beaucoup d’informations, on laisse plein de traces - quelques fois sans s’en rendre véritablement compte. On a l’impression d’être protégé au travers de mots de passe, ou de protection qu’on s’est donné. Et en même temps, on ne sait jamais ce dont sont capables les hackers. Et bien avant les hackers, les fournisseurs de services eux-mêmes qui emmagasinent des quantités colossales d’informations. Un jour ils peuvent décider finalement de les revendre ou de faire des transactions sur lesquelles on n’est pas averti. Des données très sensibles peuvent se trouver propagées sur le web sans que l’on en ait conscience. Lorsqu’elles ressortent, c’est beaucoup trop tard parce qu’à ce moment-là, il est quasi-impossible de les effacer.
Est-ce que vous pensez que la publicité ciblée peut représenter un risque ?
Un risque, non. Non, si on conserve son libre arbitre et si on sait faire la part des choses entre l’information qui nous est poussée et puis un besoin de consommation. En revanche, il existe un risque d’aliénation, créé avec le phénomène des réseaux sociaux au travers des bulles cognitives. On enferme progressivement les gens dans leurs certitudes parce qu’ils ne peuvent voir que ce qu’ils pensent. Donc, petit à petit, ils sont enfermés et la vérité se limite finalement à cette bulle qui a été créée autour d’eux.
Actuellement, c’est quoi les solutions existantes pour se protéger ?
Il n’y a pas grande chose en fait. Principalement des solutions logicielles. Comme, par exemple, des logiciels qui empêchent les publicités de se déverser sur les pages web qu’on visite. Il y a aussi des solutions de type VPN qui sont disponibles chez certains fournisseurs d’accès. Des solutions globales qui envisagent l’intégralité de tout ce qu’on peut mettre en place autour de l’utilisateur pour le protéger de ses accès, protéger de ses navigations. A mon sens, il y en a très peu, voire même pas du tout.
On parlait de solutions de protection, on peut peut-être parler de législation aussi. Vous pensez quoi du RGPD ? Est-ce que ça suffit à protéger nos données personnelles ?
Le RGPD est une excellente initiative. La captation des données se faisait de manière complétement obscure, en tout cas sans que le citoyen ait une vraie conscience de ce qu’il se passe derrière le rideau. Ce qu’a amené le RGPD, c’est effectivement une prise de conscience des utilisateurs parce que les gens se sont posé la question : est-il nécessaire de mettre une règle là où je ne vois rien, là où il ne se passe rien ? En revanche, le RGPD, à mon sens, n’a pas permis cette vraie régulation, tel qu’on en parlait il y a un instant. Aujourd’hui ce qu’on peut observer, c’est que la plupart de gens acceptent les cookies parce que ça prend beaucoup trop de temps de regarder quels sont les cookies qui sont créés par le site, ceux qui sont potentiellement dangereux pour la vie privée, ceux qui sont nécessaires dans la navigation du site.
Imaginons que vous êtes élu député européen. Vous êtes en charge de la protection des données personnelles. Qu’est-ce que vous mettriez en place comme régulation ? Quelle stratégie au niveau de l’Europe on pourrait imaginer ?
Le problème de l’Europe, c’est qu’elle a loupé la révolution numérique. Elle est complétement recroquevillée entre les deux grandes puissances digitales que sont les Etats-Unis d’un côté, et la Chine de l’autre. Elle n’a pas aujourd’hui d’entreprises de taille suffisamment importante, pour pouvoir être en capacité à rentrer en concurrence avec ces deux géants. Effectivement, l’Europe a essayé de légiférer. Elle a eu entièrement raison de le faire, puisque ça a permis la protection du consommateur. Et il y a quand même un manque cruel d’alternatives. On peut condamner l’hégémonie par exemple des GAFAM pour ne citer que ceux-là, mais ce serait compliqué de vivre sans eux. Ce serait compliqué de supprimer les Google, Amazon et autres consorts. Parce qu’il n’y a pas de véritable géant industriel en Europe en capacité de fournir le même service aujourd’hui.
On fait le constat qu’en Europe, on n’a pas de géant industriel. L’Union européenne, elle a quand même financé des projets comme Qwant par exemple. Vous en pensez quoi ?
Oui, ça m’a traversé l’esprit. C’est vrai, ça mériterait qu’on le mentionne au moins pour dire que c’est une initiative qu’il faudrait pousser, quelque chose à laquelle il faudrait adhérer. Mais c’est bien la seule. Il y a aussi FRAMASOFT. Chez FRAMASOFT, il y a une quinzaine de logiciels qui sont potentiellement concurrents de Google. Hormis le moteur de recherche. Il n’y a pas de moteur de recherche chez FRAMASOFT.
Vous pensez que c’est quoi qui empêche le citoyen lambda de l’utiliser ?
L’argent…qui permet de créer des fonctionnalités dans les solutions informatiques. FRAMASOFT est une association et Qwant pendant longtemps a été un outil complétement ignoré du grand public. Ça fait deux ou trois ans peut-être qu’il commence de sortir un peu la tête de l’eau, que des administrations ont décidé de l’installer sur leurs parcs de PC. Ce genre d’initiative - et la vôtre, c’est pareil – ne peut vivre que si elle séduit de nombreux utilisateurs ou si elle obtient des financements. Et que si elle apporte de la valeur aux gens qui l’utilisent. Comment est né Google ? il n’est pas né de subvention de l’Etat américain, ni Twitter ou Facebook, Ils sont nés de la libre entreprise, de l’imagination de leurs concepteurs et ensuite ils se sont imposés grâce à la mise en échelle. Une fois qu’ils ont installé leur hégémonie, c’est compliqué de venir gratter le monopole qu’ils ont. C’est super compliqué, il faut des moyens colossaux ou des idées démoniaques !
On va enchaîner sur la notion de souveraineté. Ça vous évoque quoi la notion de souveraineté des données ? De souveraineté du numérique ?
Déjà, le terme « souveraineté » ce que ça évoque chez moi, c’est l’Etat, l’institution publique. Pourquoi est-ce que c’est important qu’on ait la souveraineté des données ? Parce qu’aujourd’hui à partir des données on crée la connaissance, on crée le savoir. Et qu’un Etat ne peut pas dépendre en termes de connaissance, de savoir – et donc de progrès, d’un autre Etat. C’est juste impossible. Il faut véritablement que l’Europe soit en capacité à retrouver la souveraineté des données au minimum de ses concitoyens. Sinon, éventuellement de frontières plus larges en ayant des produits qui permettent la collecte organisée consciente et vertueuse des informations.
Du coup, selon vous, c’est quoi les enjeux politiques en matière de protection des données personnelles ?
Je crois que le principal enjeu pour les individus, c’est de vivre leurs vies numériques de manière libre. C’est d’être parfaitement en conscience de ce qu’ils font, pourquoi ils le font, des choix qu’ils opèrent, de conserver un vrai libre arbitre.
Imaginons si on continue dans une société où on ne se préoccupe pas de données personnelles. Vers quel type de société on se dirige ? Est-ce que ça paraît crédible qu’un Etat comme les Etats-Unis ou la Chine se servent de cette récupération de données personnelles pour nuire à nos Etats européens ? Ou bien est-ce qu’on pourrait imaginer que les GAFAM peuvent par exemple diriger…
Le Monde ? Ils le dirigent déjà !
Il paraît que Google voulait faire leur propre état, il me semble…
Oui, ils voulaient acheter une île, créer une île. Le fait est qu’ils sont sur certains aspects plus puissants que les états eux-mêmes. Ils n’ont pas de frontières. Ils s’installent où ils veulent, quand ils veulent. Ils déplacent les sièges sociaux, ils déplacent leur comptabilité, les bénéfices. Et les outils de toute façon se propagent. Les outils ne s’arrêtent pas aux frontières. Sauf en Chine. Ils se propagent de manière complément libre. C’est vrai que s’ils sont en capacité ensuite à manipuler les opinions – voilà, Google peut devenir le nouveau Dieu.
Là, on ne voit pas d’évolution très optimiste ?
Si on prend les deux pôles aujourd’hui de la planète qui occupent le digital, en l’occurrence les Etats-Unis et la Chine, on peut se demander dans quel sens ces deux sociétés vont évoluer ? On peut imaginer que la société américaine, qui est une société hyper-commerciale, hyperlibérale, évolue dans une espèce de mise en commun de l’information numérique et digitale d’une manière complétement libre, une espèce d’exhibitionnisme permanent. Il n’y a plus de vie privée, tout un chacun est capable de savoir ce que pense son voisin mais sans aucune appréhension et sans aucun interdit. Quelque part on peut se dire quand même que c’est aussi une négation de l’être humain dans son essence et dans, on va dire, son intégrité. Puis, de l’autre côté, il y a la Chine. Le schéma c’est : l’individu est au service du collectif. Et donc le numérique est utilisé pour asservir l’individu pour que le collectif puisse perdurer. Personnellement, je pense que c’est une négation des libertés individuelles, et une négation de l’être en tant qu’être unique. Pas très optimiste.....
Du coup, on arrive à la fin de cette interview. Est-ce que vous avez quelque chose à nous conseiller, un mot pour conclure ?
Je conseillerais d’être prudent. On a vu qu’il existe aujourd’hui peu de parades pour se prémunir contre le vol et le pillage de ses données personnelles. Donc si on veut se protéger, il faut d'abord être prudent. Il faut être conscient de ce qu’on fait. Il faut prendre des précautions quand on va sur les sites internet. Prendre encore beaucoup plus de précautions quand on utilise des applications. Non pas pour les décrier, pour dire qu’elles ne servent à rien – bien évidemment que non. Mais la monnaie d’échange, on le sait tous, ce sont les données personnelles.