Protéger les données personnelles sans freiner l’innovation

Données personnelles« Si vous faites des choses en souhaitant que personne ne le sache, alors vous devriez vous dispenser ». Cette phrase est celle d’Eric Schmidt président directeur général de Google en 2009.

Aujourd’hui, notre société moderne se base de plus en plus sur les données qui constituent les briques de la société d’information. Le volume de données ne cesse de s’accroître avec le développement du numérique. Leur quantité est en croissance exponentielle si bien que le spécialiste américain du stockage EMC a dévoilé les résultats de sa 7ème étude mondiale “Digital Universe”, réalisée avec le cabinet IDC. Il énonce que le volume mondial de données numériques sera décuplé entre 2013 et 2020, pour atteindre 44 zettaoctets (soit 44 milliards de teraoctets)[1]. Le volume de données augmente de manière exponentielle si bien que 90% de l’ensemble des données aujourd’hui disponibles a été créé ces deux dernières années[2].

Qualifiées de Big Data dans le monde anglo-saxon, ces données représentent des masses considérables et ont une valeur inestimable pour la société. Le site «Qmee» a réalisé une infographie en Juillet 2013[3] des données circulant sur le web en 60 secondes. Le résultat est édifiant, 2 millions de recherches Google sont effectuées, 200 millions de courriels sont échangés dans le monde ainsi que 1.8 millions de « like » sont réalisés sur Facebook.  Les individus produisent chaque jour de leur plein gré sur internet des masses gigantesques de données afin de communiquer avec l’extérieur aussi bien à titre personnel que professionnel.

Avec l’explosion du numérique dans tous les secteurs de notre société moderne, les données que nous produisons chaque jour ont acquis de la valeur. Chaque requête sur Google, chaque post sur Facebook, chaque tweet sur Twitter, chaque achat sur Amazon viennent grossir notre identité marchande virtuelle. Cette masse d’information fait la fortune des géants du net comme Google et facebook qui ont bâti leur business model sur ces données que nous fournissons gratuitement et qu’ils revendent ensuite aux annonceurs. Les marques et les publicitaires s’empressent de traiter et exploiter les milliers de traces laissées sur le net et les réseaux sociaux afin de mieux cerner nos habitudes consuméristes et sociétales dans le but d’adresser à l’internaute la bonne offre, au bon moment, au bon endroit. La chaîne américaine d’hypermarchés Target[4] est même capable de prévoir, presque au jour près, les accouchements de ses clientes.

De plus, avec l’émergence des sites de réseaux sociaux tels que Twitter, Facebook, Meetic, ou viadeo, les individus acceptent davantage de livrer des informations sur eux-mêmes dans le cadre de leurs loisirs. On assiste à une multiplication des données personnelles d’une nature beaucoup plus déstructurée et informelle comme les messages, les contacts, les expressions de l’individu, les relations, les commentaires, les images ect. Ces informations peuvent être fournies par l’internaute lui-même ou bien des tiers. On constate que les individus transmettent et publient volontairement des volumes croissant d’informations intimes aux entreprises ; informations qu’elles n’auraient jamais eu ni l’opportunité ni le droit de récolter en temps normal. Les réseaux sociaux ne cessent de se renouveler afin d’attirer toujours plus de clients. Ils offrent des services toujours plus innovants, et généralement gratuits, mais souvent en contrepartie d’une utilisation commerciale des données personnelles de leurs utilisateurs. Ce traitement des données personnelles peut être fait directement par les réseaux sociaux ou bien réalisé par des partenaires tiers, d’où la difficulté de savoir précisément ce qu’il advient de nos données.

Mais ce n’est pas seulement les réseaux sociaux qui sont concernés par ce traitement massif des données personnelles mais c’est tout « l’internet » à proprement parler. Les moteurs de recherche sont devenus un passage presque obligatoire dans notre utilisation d’internet. En effet, dès qu’une personne souhaite passer une commande ou réserver elle accepte par contrainte déguisée de fournir des données à caractère personnel (le nom, l’adresse, le numéro de carte de crédit, habitudes de consommation, types de produits ect), information qui circule de plus en plus rapidement sur la toile et pose de nombreux problèmes de protection et de contrôle. Plus grave, internet permet aussi de collecter toutes sortes de données indirectement ou directement personnelles sans aucune démarche volontaire et totalement à l’insu de la personne grâce notamment aux traces numériques comme les traces de navigations, les données de connexion, les cookies. Le géant du web Google a même annoncé publiquement qu’il scannait les emails des internautes[5] pour y trouver des mots-clés à des fins publicitaires. Mieux encore, Google mémorise l’adresse de l’ordinateur, son type de navigateur, son système d’exploitation pour pouvoir l’identifier facilement plus tard.

Cette tendance de diffusion massive de données personnelles va inéluctablement s’accentuer dans les prochaines années avec l’émergence de l’Internet des Objets. Les objets connectés (ou IOT « internet of think »[6]) représente une nouvelle étape de la numérisation du monde et font ainsi partie des 34 projets d’avenir[7] sélectionnés par François Hollande afin de relancer l’industrie française.  Ces nouveaux instruments technologiques permettant de stocker une quantité substantielle de données s’avère être une étape incontournable dans l’évolution du monde numérique. En effet, Le groupe d’analyse IBSG de Cisco estime que le nombre d’objets reliés à internet sera de 25 milliards dans le monde d’ici 2015 et 50 milliards, d’ici à 2020[8]. Les objets connectés sont difficiles à ranger en une seule catégorie car ils se caractérisent précisément par leurs diversités d’usages (télévision connectée, frigo connecté, fourchette intelligente, outils de santé connectés telle qu’une balance ou un tensiomètre) et par leurs différents secteurs d’application (le transport, la santé, l’électronique grand public (domotique, vidéo surveillance), l’énergie et l’industrie). Dans un futur proche, les objets connectés et leur technologie vont impacter directement nos vies en faisant évoluer la façon dont on vit et on interagit.  Les starts up spécialisées sur ce marché ne cessent de fleurir chaque jour. La France a d’ailleurs ses sociétés phares dans ce secteur très spécialisé. En effet, le made in France dans le domaine de la robotique et des objets connectés a été plus que remarqué lors du CES de Las Vegas[9] (Consumer Electronics Show). La société française Withings[10] spécialisée dans la conception d’objets connectés permet d’améliorer le bien-être et le physique des utilisateurs (balance, bracelet, thermostat connectés). Ayant reçu le prix innovation 2014 lors de la 5ème édition des Acsels du numérique[11], Withings annonce une nouvelle ère de la prévention de la santé. Le numérique offre l’opportunité de passer d’une médecine curative à une médecine de plus en plus préventive grâce à ces objets connectés qui facilitent l’observation des individus et permettent la transmission des informations de santé en temps réel. La société Parrot a quant à elle présenté Flower power[12],  le capteur intelligent pour plantes le plus avancé du marché,  permettant de surveiller les plantations en temps réel en informant leurs propriétaires des besoins (ensoleillement, température, humidité du sol) par message sur leur Smartphone. Concernant le domaine de la santé, même si les objets connectés permettent un suivi des caractéristiques de santé des individus, et une prédiction des maladies par détection des comportements, de nombreuses problématiques juridiques apparaissent. Comme ce secteur fait appel le plus souvent à des données sensibles alors l’enjeu majeur des prochaines années sera la protection des données personnelles ainsi que celle des systèmes d’informations.

Bien souvent, ces mêmes données renferment des informations personnelles voir confidentielles relatives aux individus comme le nom, prénom, numéro de téléphone, adresse, numéro de sécurité sociale mais aussi les habitudes de consommation, les données de santé, l’historique de ses achats, les rendez-vous ou les demandes d’informations, les navigations ou encore les recherches. Réelle source de convoitise, ce sont ces informations que les différents acteurs économiques (entreprises, organisations et administrations) veulent à tout prix obtenir. Chacun s’engage alors dans une course effrénée à la monétisation à prix d’or des données personnelles que les individus disséminent à longueur de temps. Ces données produites à la fois par les usagers et par les systèmes que nous utilisons souvent à notre insu, sont au cœur de l’économie de la société de l’information, et donc de l’économie. Ces précieuses ressources sont devenues le moteur de l’innovation et de la compétitivité de nos sociétés modernes.

Ainsi, un nombre incalculable de données comportant des informations à caractère personnel sont traitées chaque jour en faisant l’objet d’un traitement informatique ou manuel. C’est pourquoi les entreprises et administrations doivent se conformer à la loi du 6 janvier 1978 dite « informatique et libertés » modifiée par la loi du 6 août 2004, pour pouvoir collecter, utiliser, traiter, communiquer ces données personnelles qui constituent pour eux une matière première essentielle de l’économie de la connaissance. Cette loi a pour objectif de protéger l’individu contre le traitement informatique des données personnelles. Vieille de trente ans, cette loi a eu le mérite d’avoir anticipé un grand nombre de changements technologiques. Cependant, nous sommes arrivés à son terme. Les évolutions technologiques ne cessent de s’accroitre, les données provenant de plus en plus de sources différentes circulent sur la toile toujours plus rapidement et ne cessent de faire l’objet de mauvais traitements et de nombreux détournements à l’insu des personnes concernées. Nombreux sont les articles dans les journaux qui évoquent le non-respect  des entreprises aux obligations de sécurité informatique ou aux pratiques de protection des données personnelles contraires à la loi[13]. Le géant américain Google, a récemment fait l’objet d’une condamnation par la CNIL d’une amende de 150 000 euros[14] pour mauvaise politique de confidentialité des données sur internet.

L’individu et ses données n’ont jamais été autant au cœur des stratégies commerciales des entreprises et cette situation n’est pas prête de s’inverser. Les outils aujourd’hui disponibles permettent de croiser toutes les données d’un individu (habitudes de vie et de consommation, utilisations d’Internet, contenus des courriers électroniques, numéros de téléphone, etc.) aboutissant à une réelle transparence du citoyen (profilage du consommateur[15]). S’il est légitime de connaître ses clients et ses prospects pour mieux comprendre leurs besoins et leurs attentes, il est nécessaire de maintenir un équilibre entre la connaissance des comportements des consommateurs et la protection de leur vie privée. Or, ces techniques marketings aboutissent souvent à une inquiétante ré- identification des personnes au détriment de leur vie privée.

De plus, cette soif constante de données conduit à des capacités de surveillance et de traçage des individus par les autorités comme par les entreprises privées qui n’ont jamais été aussi développées, omniprésentes, puissantes et discrètes qu’auparavant. Les systèmes de fichage systématique des personnes sont aujourd’hui devenus incontournables pour accomplir tous les actes courants de la vie quotidienne. Les individus n’ont pas de contrôle sur ce que les organisations savent d’eux. Le déséquilibre de connaissances et donc de pouvoir entre les individus et les organisations ne cesse de s’élargir.

La chancelière allemande a même évoqué la problématique lors de l’ouverture du CeBIT (salon des technologies de l’information et de la bureautique) de Hanovre. Après avoir évoqué les changements induits par les nouvelles technologies, l’évolution des interactions entre homme et machines ainsi que l’arrivée de l’internet des objets, elle porte une attention toute particulière aux problématiques que tous ces changements opèrent. Elle précise qu’« Aujourd’hui l’individu peut recevoir des quantités d’informations, mais cela n’est pas sans conséquence sur la société. Il faut aussi réfléchir en terme de sécurisation, protection de la vie privée et de partage y compris avec les réseaux sociaux »[16]

Ainsi, la protection des données personnelles apparaît de plus en plus au centre des préoccupations des consommateurs, toujours plus nombreux désormais à se questionner au sujet du traitement et de la sécurité de leurs propres données et souhaitent bénéficier de plus d’informations à leur sujet. Dès lors, ce sujet de la protection des données personnelles, longtemps réservé aux spécialistes et aux militants a gagné depuis quelques années un cran de considération dans notre société moderne. Cette demande de régulation sur les données personnelles, qu’elles soient utilisées par des gouvernements ou des entreprises, recueille de plus en plus d’écho. De plus, le scandale des écoutes de l’agence nationale de la sécurité (NSA) américaine a donné un nouvel élan au débat sur la protection des données et des systèmes d’information. Depuis l’affaire Snowden, la protection des données revêt un caractère particulièrement sensible. Toutes les questions qu’elle suscite, y compris les aspects transfrontaliers, sont omniprésentes dans la vie de chacun, dans ses relations avec l’administration, dans son travail, dans le domaine de la santé, lorsque l’on surfe sur Internet ou lorsque l’on effectue des achats. Ainsi, l’explosion des données numériques circulant sur la toile couplée à l’accroissement du nombre de litige relatif au traitement illégal des données personnelles pose un défi à la fois politique, économique, géopolitique et juridique. Il est donc  essentiel d’agir.

Ce nouveau marché technologique des données personnelles ouvrant de nouvelles perspectives économiques prometteuses et étonnantes, doit cependant être accompagné dans sa structuration et son développement. En effet, pour garantir son développement harmonieux à moyen et long terme, et favoriser un nouvel écosystème économique innovant et créateur de valeur pérenne, il faut s’assurer que l’échange et l’utilisation massive des données personnelles se fassent dans le respect de  la vie privée de chaque individu. Il faut également favoriser les investissements des entreprises quant à la collecte et à l’organisation des données et enfin instaurer une saine concurrence économique.

Dès lors, comment garantir la protection de nos données personnelles sans freiner l’innovation et le développement économique ?

Ainsi, l’Etat se place naturellement comme le garant de la protection de nos données personnelles et encourage l’adoption du futur règlement européen sur la protection des données personnelles permettant de réduire la situation asymétrique entre les individus et les organisations. Si cette situation perdure, à terme, le citoyen choisira l’option de moins partager, ce qui pourra être néfaste pour notre économie moderne. En outre, il faudra être vigilant quant à l’équilibre à trouver entre d’une part, un renforcement de la protection des données personnelles de l’individu et d’autre part,  la sauvegarde de l’innovation et du développement économique.

Face à cela, d’autres modèles existent où la société civile peut se mobiliser afin de créer une relation gagnant-gagnant entre les organisations privées et le consommateur. En échange de données qu’il déclare et consent à partager, l’individu obtient des avantages en nature comme des services ou même de l’argent.

« Tout le monde s’accorde pour dire que les internautes doivent pouvoir mieux maîtriser leurs données », énonce Edouard Geffray, le secrétaire général de la Commission nationale de l’informatique et des libertés (CNIL)[17]. Mais cela doit-il passer par un renforcement de la législation existante (I), par de nouveaux droits ou bien par de nouveaux outils (II) ?

Cliquer sur le sommaire pour lire le rapport dans son intégralité

I. L’état garant de la protection de nos données personnelles

A. La loi informatique et liberté dépassée

B. Vers une harmonisation des droits nationaux par le règlement européen

II. La mise en œuvre par la société civile de compromis garantissant la protection des données personnelles

A. La propriété cédée

1. La Marchandisation des données personnelles

2. La restitution des données personnelles contre des services

B. La propriété partagée

CNIL

A l’heure de l’économie numérique, les données constituent le véritable « carburant » de notre économie du XXIe s, et s’avèrent être la clé de la croissance, de la compétitivité et de l’innovation de demain. Nos sociétés modernes s’appuient sur les technologies de l’information et les réseaux pour assurer le fonctionnement des territoires, organisations et services. Cependant, cette avancée technologique doit se faire avec prudence et réflexion concernant la gestion et la protection de nos données personnelles. En effet,  la protection des données personnelles est un droit à part entière, qui se trouve à la croisée d’autres droits fondamentaux, notamment le droit de la propriété, le droit au respect de la vie privée et la liberté d’expression. Elle interagit également avec des principes économiques et commerciaux et influe sur l’organisation des entreprises. C’est cette situation centrale pour l’économie numérique qui doit être regardée avec prudence et réflexion. Ainsi, l’encadrement de l’usage des données personnelles, vitales pour le citoyen, la société démocratique et les entreprises implique de mettre en place un dispositif susceptible d’atténuer les inquiétudes profondes des citoyens en suscitant la confiance de tous.

Si notre législation actuelle française et européenne nécessite une refonte pour son adaptation au monde d’aujourd’hui, notamment grâce à la future adoption du règlement européen, elle devra trouver un équilibre entre un niveau élevé de protection des données personnelles et une flexibilité suffisante pour que l’innovation et les entreprises puissent continuer à s’épanouir. Cette règlementation  constitue le minimum légal nécessaire pour que l’individu puisse obtenir une protection de ses données personnelles, mais cela est-il suffisant ? En effet, la société civile dispose de tous les outils permettant une véritable gestion et maitrise  des données personnelles des individus.

Différentes solutions existent aujourd’hui permettant d’améliorer notre situation insupportable d’asymétrie informationnelle avec les organisations privées et les administrations. Les citoyens aujourd’hui disposent de nombreux outils et leurs données personnelles constituent une ressource précieuse qu’il est temps de préserver, de gérer et d’utiliser à bon escient. Dès lors, il semble primordial de développer, à côté de la législation sur la protection des données personnelles, des outils prônant la liberté contractuelle et permettant au citoyen d’être actif dans cette économie mondiale basée de plus en plus sur les données. De la marchandisation à l’utilisation de service en passant par la propriété partagée, des solutions existent et sont à portée de main pour tous ceux qui souhaitent. Ces propositions rétabliraient l’équilibre entre les intérêts privés et publics, favoriseraient la diffusion de la connaissance, l’innovation, le collectif. Chacune de ces pistes vise à empêcher la construction d’une société de surveillance. Certaines sont déjà en cours d’exploration. A nous de multiplier les recherches et de faire se rencontrer les acteurs qui œuvrent à une sortie par le haut de la société des données de masse. Pour que données puisse rimer avec libertés.

Pauline Berdah (http://paulineberdah.fr/)

[1] http://www.itforbusiness.fr/news/item/4732-les-objets-connectes-vont-doper-le-volume-de-donnees-numeriques

[2] Brasseur C. (2013), Enjeux et usages du big data. Technologies, méthodes et mises en œuvre, Paris, Lavoisier, p.30

[3] http://www.mycleveragency.com/blog/2013/07/qmee-find-out-what-happens-online-in-60-seconds/

[4] http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=all&_r=0

[5] http://www.itespresso.fr/cgu-google-scanne-messages-gmail-74670.html

[6] http://fr.wikipedia.org/wiki/Internet_des_objets

[7] http://www.redressement-productif.gouv.fr/nouvelle-france-industrielle

[8] http://share.cisco.com/internet-of-things.html

[9] http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203228783978-cinq-innovations-made-in-france-en-vedette-a-las-vegas-641411.php

[10] http://vitrine.withings.com/

[11] http://www.acsel.asso.fr/2014/les-laureats-de-la-cinquieme-edition-des-acsel-du-numerique/

[12]http://www.lexpress.fr/actualite/high-tech/parrot-flower-power-l-appli-pour-avoir-la-main-verte_1318820.html

[13] http://www.legavox.fr/blog/maitre-anthony-bem/plainte-cnil-contre-facebook-pour-7084.htm#.U4C5Pfl_uQc

[14] http://www.lemonde.fr/technologies/article/2014/01/08/donnees-personnelles-la-cnil-sanctionne-google-de-l-amende-maximale-de-150-000-euros_4344846_651865.html

[15] http://www.senat.fr/rap/r08-441/r08-44112.html

[16] http://www.silicon.fr/cebit-2013-lallemagne-veut-encore-croire-a-la-croissance-84055.html

[17] http://www.cnil.fr/linstitution/actualite/article/article/edouard-geffray-est-nomme-secretaire-general/

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *