L’ère de l’insouciance numérique est révolue. Fini le temps où l’on se mettait à nu sur le web, au sens propre comme au figuré. Selon la dernière étude réalisée par Norton Lifelock et l’institut Harris Poll, 67% des Français s’inquiéteraient désormais de la protection de leurs données personnelles. Ce n’est pas trop tôt, mais c’est peut-être trop tard…

(TW : mention de cyberharcèlement / suicide)


Donne-moi tes datas, je te dirai qui tu es


Aux Etats-Unis, si vous êtes un citoyen un tant soit peu concerné et que vous souhaitez voter, tout se passe comme en France : vous vous inscrivez sur les listes électorales. Ces listes comprennent donc vos noms, adresse, date de naissance et j’en passe : autrement dit, des données sur vous. Des données personnelles donc. Vous suivez? Bon. 

Quand vous vous inscrivez sur Facebook, vous renseignez votre nom, votre âge (si vous êtes honnêtes, vous indiquez la véritable année de votre naissance), votre visage en photo de profil, la ville où vous vivez. Vous pouvez vous livrer davantage, c’est très tentant : renseigner quel lycée vous avez fréquenté (utile pour retrouver vos anciens camarades), suivre une page anti-vaccins si c’est votre kiff, ou vous inscrire à un événement, type concours de moto cross ou manifestation contre un dictateur en place. Ce que vous choisissez en dit déjà long sur vous.

Enfin et surtout, vous avez une liste d’amis qui comprend votre famille, vos collègues, vos potes, et de sombres inconnus pour gonfler le compteur narcissique de votre popularité en ligne.

Tout ce que je viens d’énumérer, ce sont des données. Une toile d’araignée, un schéma, en quelque sorte, qui cartographie qui vous êtes. En informatique, ce que l’on appelle les datas est la représentation mathématique d’une information : c’est convertir en lignes de code, en pulsations électriques qui transitent par des circuits, l’idée que vous aimiez le chocolat, ou que vous mesuriez 1m80, les bras levés.  

La CNIL, dont le job en France est de se préoccuper de ces problématiques, définit la donnée privée comme : “Toute information identifiant directement ou indirectement une personne physique (ex. nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).

Revenons à Facebook. Quand vous y souscrivez, vous donnez ces informations, que la plateforme n’utilise, selon ses termes et conditions, que pour permettre aux annonceurs de mieux vous cibler. Le réseau social offre un service gratuit, vous ne payez pas mais il faut bien une contrepartie, jusque là rien de bien déroutant.

Mais, il était une fois une entreprise qui voulait réaliser un “test”, celui de comprendre, selon votre profil Facebook, les liens statistiques, mathématiques, logiques, entre vos données (cette carte géographique de vous) et votre intention de vote pour la prochaine élection présidentielle. Un panel de personnes consentantes, signant un accord en bonne et dûe forme, participa à cette étude. L’entreprise se mit donc à ratisser leurs données sur le social network de Zuckerberg, mais prise dans le feu de l’action, elle se mit à moissonner aussi les données de tous les “amis” des participants. A partir d’un petit échantillon de sujets, par vases communicants, ce sont les données de 50 millions de profils Facebook de votants américains qui furent analysées. Ces données glanées furent ensuite partagées avec une autre entreprise, sans aucun encadrement, comme si vous envoyiez des nudes à votre petite ami.e et que le lendemain, il/elle les montraient à tous ses collègues en salle de réunion, et par dessus le marché, à toute sa famille pendant le réveillon chez tata.

Les données agglomérées dans la database ainsi créée incluaient des courriers électroniques, des factures, des transferts bancaires etc. Surtout, elles ont nourrit un algorithme pour qu’il puisse cibler les citoyens hésitants entre Hillary et Donald (on aurait franchement préféré qu’il soit question du canard, c’aurait été plus crédible), et leur adresser ainsi des “pubs” et des “messages” via des bots, pour définitivement faire pencher leur main, devant l’urne, vers le funeste papier “Trump”. On leur a dit exactement ce qu’ils voulaient entendre, puisque que grâce à leurs datas privées, on savait leurs inquiétudes, et comment promettre que le candidat y répondrait.

La première entreprise en question, c’est Global Science Research. La seconde, c’est Cambridge Analytica. La chèvre entre les deux piquets, c’est Facebook. Et le visage ahuri de son fondateur, expliquant que non, ce n’est pas sa faute, ce scandale des Zucky Leaks. Que le réseau social a respecté les termes et conditions, à savoir, ne donner accès qu’à votre listes d’amis. Le reste, il s’en éponge le front.

La manière dont les données privées fournies par les utilisateurs ont été traitées, transmises aux uns et aux autres, analysées et manipulées pour faire élire un fou furieux, c’est une dystopie orwellienne devenue réalité.

 

Cela aurait pu ne jamais se reproduire. Cela aurait dû ne jamais se reproduire.

 

Mais ensuite, même logique avec Whatsapp (danseuse de Facebook), pour l’élection de Bolsonaro au Brésil. Pour les initiés, ceci n’est qu’une suite logique après le Brexit et l’élection de Junior au bureau oval). What’s next?


Nos datas sont le pétrole du 21ème siècle, leur manipulation massive pourrait faire collapser nos démocraties?


Parlons-en. La base d’un état de droit, c’est le contrat social selon Rousseau. A savoir : je renonce à un certain nombre de mes droits (celui de porter une arme pour défendre ma vie, de me faire justice moi-même etc.) contre la protection de l’Etat (police, justice, Etat-nourricier).

Toute mesure gardée, le contrat social autour de nos données privées, c’est un peu pareil. J’accepte de fournir des informations sur moi, contre des services gratuits ou contre l’amélioration d’un service payant.

Meilleur exemple : Waze. Pour que l’application GPS me guide, qu’elle m’avertisse du trafic ou de la présence d’un radar, je lui donne en temps réel ma position, ma vitesse, mes habitudes d’itinéraires entre mon domicile, mon bureau et mon barbier.

 

Plus les algorithmes me connaissent, plus ils me chouchoutent et me facilitent la vie.

 

Netflix connaît mes goûts et me recommande la nouvelle série qui, pour sûr, me scotchera. AirB&B doit savoir que j’aime les chalets en haute montagne, et éviter de me faire perdre mon temps en me proposant des maisons style année 70 dégueulasses en centre ville. J’attends d’UberEats qu’elle sache quel type de cuisine je préfère, et que partout où je voyage, l’appli me propose le meilleur resto népalais dans le secteur.

Tout cela implique un traitement de mes données personnelles, mais raisonné, encadré, dans le but pratique de satisfaire mes attentes. Hormis l’exemple de Waze, je rappelle que nous payons ces services. Nous sommes donc en droit d’exiger des entreprises qu’elles prennent un soin particulier à la sécurisation des datas que nous, clients, leur fournissons. Nous cliquons sur “accepter les termes et conditions” sans jamais les lire, ces conditions doivent rester strictes quant à l’usage de nos données, dans un esprit de contrat de confiance, et d’échange de bons procédés. Je consens à fournir mes datas pour un usage précis et pas pour autre chose. Amazon echo doit écouter ma voix pour capter que je veux commander un bon livre à lire au coin du feu, elle n’est pas censée enregistrer mes conversations personnelles et en déduire mes orientations politiques. L’Etat n’est pas supposé pouvoir un jour y avoir accès, pour savoir si je peste ou pas contre le gouvernement en place le matin en buvant mon café.


Si c’est gratuit, vous êtes le produit


Quand les applications ne font pas payer leurs services, demandez-vous quel est leur modèle économique. Elles font certainement commerce de vos données, mais pourquoi s’en étonner?

Néanmoins, accepter de fournir certaines de nos données personnelles peut permettre, à l’échelle d’une ville, de la rendre plus smart, c’est à dire plus agréable à vivre, moins congestionnée etc.

Le quotidien Vedomosti a ainsi révélé que Moscou pistait en temps réel les déplacements de plusieurs millions d’habitants grâce à leur téléphone portable. La ville a investi des milliards pour acheter aux opérateurs mobiles russes les données de localisation des abonnés, dans le but d’améliorer la mobilité et de fluidifier le trafic.

A terme, une application fournie par votre mairie pourra vous conseiller de privilégier le bus ou une plateforme VTC en cas d’encombrement ou d’incident sur les lignes. De la même façon, crowdsourcer les datas relatives à nos déplacements peut définitivement servir à nous indiquer une place de parking libre dans Paris, et par conséquent à nous faire économiser du temps et beaucoup de jurons.


Les limites éthiques sont claires : il ne faut pas lier ces données à notre identité


Que Moscou veuille décongestionner les transports publics, c’est une bonne chose, pas besoin de connaître nos noms pour ça. Que la ville en parallèle couple données de mobilité et technologie de reconnaissance faciale, et on bascule dans une surveillance de masse. A Moscou, 174 000 caméras scrutent les espaces publics, le métro et les gares. Les big datas collectées sont comparées en temps réel avec la base de données du Ministère de l’intérieur. La reconnaissance faciale est utilisée pour traquer les individus endettés, ce dont se vante l’huissier en chef.

Nos données doivent être anonymisées, car si les métropoles peuvent scruter en temps réels vos déplacements pour les fluidifier, c’est un tout autre enjeu si les autorités repèrent, par le même biais, que vous fréquentez régulièrement tel lieu de culte ou tel bar gay.

 

Céder nos données ne doit pas signifier renoncer à la préservation de notre identité, de notre vie privée et de nos libertés fondamentales.

 

Notre société 4.0 est toujours sur le fil du rasoir des pires dérives. L’Europe a fait un grand pas en avant législatif avec le RGPD. Mais la problématique est toujours la même: dans quelle mesure l’Europe peut-elle tordre le bras aux GAFA, et à plus petite échelle, aux entreprises basées hors EU.

Que vous utilisiez Tinder (basée aux USA) pour trouver le grand amour ou un plan cul, histoire d’avoir un shoot d’endorphines après une semaine à supporter des cons au bureau, grand bien vous fasse. L’algorithme de l’application enregistre vos conversations, vos photos, vos goûts en matière de partenaires. Il vous attribue également un score de désirabilité en fonction de votre nombre de matchs, probablement aussi de votre salaire annuel et de votre beauté physique selon les critères d’Instagram.

Si Tinder n’a pas encore connu de leaks, ce n’est pas le cas du canadien Ashley Madison, site de rencontres adultères insulté de “Briseur de ménages SAS” (mais qui enregistre néanmoins 124 millions de visites mondiales par mois). En 2015, des corbeaux 2.0 le hackent et téléchargent les données très sensibles de 33 millions d’utilisateurs : noms, numéros de téléphone, adresse physique, historique de recherche, préférences sexuelles. Ils menacent de rendre ces données publiques si le site ne ferme pas immédiatement. Chevaliers blancs de l’ère numérique, garant de la bonne morale ? Que dalle. Les hackers ont racketté les victimes par mail. Ces dernières ont payé, pour sauver leur réputation, leur vie privée, leurs familles. D’autres ont perdu leur emploi. Trois anciens utilisateurs se sont suicidés.

Le site porte une lourde part de responsabilité. Sa politique était de conserver, sans en informer les membres, toutes les données les concernant, y compris après suppression de leur profil, y compris après avoir souscrit à l’option payante “oubli définitif”.

Qu’il s’agisse d’Ashley Madison ou de Facebook, le traitement des données personnelles a été outrageusement désinvolte, inconscient et même cynique.

Nous ne pouvons plus tolérer cela.


L’addition, c’est pour qui ?


La solution toute trouvée proposée par certains : louer nos datas, ou les vendre (à prix d’or s’il vous plaît : pas 100 € mais plutôt 50k pour toute une vie). Faire payer les GAFA, puisqu’après tout, elles sont à nous, ces données.

Je suis sceptique quant à cette solution : difficile d’estimer la quantité et la qualité des datas, va-t-on définir un prix au kilo comme pour les asperges? On peut opposer bien d’autres bémols : nos données ne sont pas un bien matériel que nous posséderions, comme un patrimoine, et que nous pourrions estimer, revendre, céder ou transmettre.

Mon nom, mon mail sont des données privées, mais je ne vais pas demander des royalties à chaque fois que je les fourni pour m’inscrire à une newsletter. On n’en finirait plus.

Le RGPD nous donne un droit de regard sur nos données et l’usage qu’en font les entreprises, c’est un bon début mais ce n’est pas assez. Quels moyens concrets de signaler et de sanctionner les utilisations incorrectes de nos datas personnelles? Qui d’entre nous a le temps de s’amuser à vérifier? Qui est à l’abri des hackers quand même le site du Pentagone a des failles?

Les fournisseurs de services doivent s’engager auprès de leurs usagers, mais de leur côté, ces derniers doivent maîtriser davantage leurs comportements sur internet.

 

Nous devons impérativement éduquer les jeunes générations à ce principe simple : tes données privées ont de la valeur, ne les cède pas au tout venant.

 

Il semble que nous soyons sur la bonne voie, et même que nos jeunes aient des leçons à nous donner, à nous, générations qui avons fait n’importe quoi sur Facebook : l’étude citée en début d’article mentionne qu’un tiers des 18-38 ans ont supprimé un de leurs comptes sur les réseaux sociaux au cours de l’année écoulée (contre 15 % des 39-53 ans et 8% du des 54 ans et plus).

Nos enfants ont probablement compris que le “tous à poil sur le net” est révolu. Ils avancent désormais masqués sous des pseudonymes et des avatars, ce qui pose d’autres problèmes, mais cela mes amis, est l’objet d’un prochain article.