Avez-vous lu les conditions générales ?

LOUVAINS

Le 25 mai 2018, le Règlement général sur la protection des données – RGPD ou GDPR en anglais – est d’application au sein de L'Union européenne. Toute entreprise qui manipule des données est bien informée puisque le mot d’ordre est : s’adapter. Le couperet touche des pans entiers de l'économie, en particulier les grandes entreprises de l'Internet qui aspirent les données à travers le monde. L'individu est-il concerné ? Bien plus qu’il ne le pense. Des juristes, un cryptographe, un anthropologue philosophe vous disent pourquoi.

Un droit fondamental

« En Europe, la protection des données personnelles est un droit fondamental à large portée », explique Alain Strowel, professeur de droit à l' UCL et à l'Université Saint-Louis. « Ce n’est pas le cas aux États-Unis où il n’existe que quelques législations spécifiques (elles visent, par exemple, les enfants ou les données financières ou médicales). » Le nouveau règlement général tient compte des développements du numérique survenus depuis la directive de 1995, ainsi que de la valeur croissante des données personnelles. Les individus jouiront d’un nouveau droit à la portabilité de leurs données lorsqu’ils changent de plateforme. Nouveauté : les sanctions pécuniaires seront potentiellement lourdes pour les entreprises, jusqu’à 4% du chiffre d’affaires mondial.

Si ce cadre réglementaire vaut pour l'Union européenne, la problématique est mondiale et les enjeux géopolitiques… avec des approches très différentes. Les grandes entreprises de l'Internet, souvent américaines, veulent aspirer les données personnelles à travers le monde. Les géants chinois font de même dans un pays où la vie privée et l' anonymat en ligne n’existent pas. Le ‘David’ de la vie privée, Max Schrems, cet étudiant en droit autrichien, s’est attaqué à Facebook : la Cour de justice européenne lui a donné raison en invalidant le Safe Harbor qui réglait le transfert de nos données vers les États-Unis.

Depuis 2016, le Privacy Shield, négocié par la Commission européenne, définit le nouveau cadre entre l'UE et les États-Unis. « Les Européens – ainsi que le Canada – ne veulent pas qu’à travers les accords de commerce (TTIP, NAFTA) soit imposée une libre circulation intégrale des données », souligne Alain Strowel. Le GDPR est toutefois loin d’être la panacée. Il impose une lourde organisation interne, poursuivant ce qu’Alain Strowel appelle une vision bureaucratique de la vie privée. Avec une faille énorme : une fois le consentement ‘éclairé’ donné, les données ne vous appartiennent plus... L'essor de l'intelligence artificielle qui est alimentée par des données nécessitera de changer le paradigme de la protection.

Le 26 avril prochain, de 9h à 18h, l' Institut JUR-I de l'UCL et Avocats.be organisent une journée sur le thème ‘Des voitures autonomes aux robots, les défis de l'Intelligence artificielle’.

> uclouvain.be/les-defis-de-l-intelligence-artificielle

Dominique Hoebeke
Cheffe info UCL

If you are not paying, you are the product

Vous souvenez-vous de la poupée Cayla ? Fabriqué à Hong-Kong, ce jouet interactif associé à une application répond aux questions de l'enfant… mais il présente toutes les qualités d’un système d’espionnage. Non seulement les données obtenues sont centralisées aux États-Unis mais de plus, les conversations de l'enfant et de son entourage peuvent être captées par n’importe quel smartphone dans un rayon de 9 km via Bluetooth... En France, la Commission nationale de l'informatique et des libertés a mis le fabricant en demeure de corriger ces infractions tandis que la poupée s’est vue interdite à la vente en Allemagne. « Cet exemple », expliquent Anne-Lise Sibony, professeure en droit européen de la consommation à l'UCL, et Nikitas Michail, doctorant, « montre que la protection des données est fondamentale pour la protection des consommateurs ».

Consentement éclairé ?

Le GDPR reste dans la logique du consentement de la personne au traitement de ses données. Or des études empiriques ont montré que moins d'une personne sur mille lit les fameuses ‘conditions générales’. Quel consentement sera vraiment éclairé ? Certes le GDPR souligne qu’il faut un accord distinct pour la protection des données et pour les autres conditions générales, mais il n’est précis ni sur l'information à donner ni, surtout, sur comment elle doit l'être.

Ces données dites personnelles

Sans vouloir abandonner les obligations d’information du consommateur, nos juristes plaident pour des réglementations plus intrusives qui reposent moins sur le consentement supposément éclairé. La Protection by design est à cet égard prometteuse (voir p. 13). Anne- Lise Sibony et Nikitas Michail ont un autre motif d’inquiétude : le GDPR traite uniquement des données personnelles. Or il est probable que des développements technologiques qui présentent potentiellement des risques pour les consommateurs peuvent fonctionner tout en traitant uniquement des données qui ne sont pas considérées comme personnelles au sens du règlement. Ce pourrait entre autres être le cas des techniques de pistage des émotions (emotion tracking). Celles-ci peuvent par exemple servir à rendre un panneau publicitaire ‘intelligent’ en l'équipant d’une caméra qui capte les indices d’expression sur le visage, données qui sont traitées par un algorithme qui adapte les publicités à l'état émotionnel de la personne qui côtoie le panneau.

Long est le chemin...

Autre volet qui nous concerne tous : Nikitas Michail* étudie les règles qui décident de quel droit dépend un individu lorsqu’il est en litige avec une entreprise dont le siège se situe à des milliers de km de chez lui. Le GDPR prévoit bien une disposition mais « les questions posées sont très nombreuses », insiste le chercheur.

Si vous voulez (ou devez) le lire, le GDPR fait 90 pages, « ce qui appuie l'idée que la vraie protection ne peut pas reposer sur le mécanisme libéral du consentement éclairé », soulignent Anne-Lise Sibony et Nikitas Michail qui font leur l'affirmation If you are not paying, you are the product being sold**. D.H.

*La thèse de Nikitas Michail, doctorant au Centre Charles De Visscher pour le droit international et européen (CeDIE) s’intitule ‘Protection, traitement et circulation des données personnelles au sein du marché intérieur et au-delà : comment l'Union européenne assure le droit fondamental à la protection des données personnelles grâce au droit international privé’. **Source : MetaFilter Network Inc., ‘one of the oldest online communities’

Protéger les données... by design

« Toute personne qui manipule des données personnelles devra se poser des questions sur ce qu’elle fait, pourquoi et comment elle le fait. Et, vu la hauteur des sanctions, s’inquiéter si elle le fait mal », affirme Olivier Pereira, professeur à l'Institute of Information and Communication Technologies, Electronics and Applied Mathematics (ICTEAM) et l'un des leaders du groupe de recherche Crypto.

La Belgique est un pays paradoxal : la cryptographie y a toujours été libre d’usage alors qu’elle était contrôlée, voire considérée comme armement ailleurs, contribuant à un essor exceptionnel de la recherche : la Belgique compte deux groupes de chercheurs, dont l' UCL, dans le top 15 mondial. Corollaire, un contrôle relativement faible du bon usage des méthodes de protection en matière de cybersécurité, ce qui a sans doute contribué aux déboires auxquels la Belgique cherche aujourd’hui à remédier.

Le Groupe Crypto de l'UCL a toujours fait de la Protection by design (veiller à la protection des données dans la conception d’un système) « mais ces technologies ne sont souvent adoptées que sur des marchés spécialisés, les autres voyant peu de raisons de se protéger efficacement ». Le règlement pourrait changer la donne tout en soulevant un défi : « jusqu’où pouvons-nous apporter des solutions qui répondront pleinement aux ambitions du GDPR ? »

Un écosystème digital

« Imaginons qu’on doive contrôler les droits d’accès de personnes à un service payant. La cryptographie permet de déterminer si une personne a payé son abonnement, sans qu’elle doive s’identifier ou communiquer aucune donnée personnelle. Cela limite les données à collecter et, dès lors, l'impact d’un éventuel piratage du système de contrôle. »

Autre exemple : les entreprises veulent établir des statistiques sur base des données qu’elles possèdent, c’est le big data. Si on protège ces données en les chiffrant, on ne peut plus les manipuler. Or, des méthodes de cryptographie permettent de calculer avec des données chiffrées.

Anodin, le stockage de données personnelles ? Le vol de données est la source, parfois indirecte, de beaucoup d’abus et de fraudes, il détériore notre écosystème digital. Le GDPR cherche à établir une proportionnalité courante en matière d’environnement : « Nous stockons tous des produits d’entretien, dans des bouteilles à ouverture sécurisée, qui peuvent s’avérer polluants. Si j’en stocke 10 000 litres, je devrai prendre d’autres précautions. En matière de données personnelles, on doit aussi évaluer l'impact ‘écologique’ d’un accident, et accepter de prendre des mesures si on décide d’en stocker une quantité importante. » D.H.

Protection des données... et relation homme-machine

« À l'INRIA, la ‘ Mecque’ de l' informatique et de l'automatique en France, où j’étais post-doc, on m’appelait l'Humain, tout mon environnement étant dédié aux ‘sciences dures’ », sourit Christophe Lazaro, professeur au Centre de philosophie du droit de l'UCL, qui y a approfondit les notions de consentement et de contrôle, par les citoyens, de leurs micro-droits subjectifs : l'accès aux données, l'information sur ce qu’elles deviennent, la possibilité de s’opposer, etc. « La théorie du consentement remonte à l'après-guerre, dans la foulée du nazisme, quand le droit médical a commencé à systématiser de façon formelle le consentement », explique celui qui est docteur en droit et qui a aussi étudié la philosophie et l' anthropologie.

Information et liberté

« La notion de consentement et le principe fondamental d’autonomie qu’elle sous-tend s’engagent sur deux voies, poursuit-il, l'information et la liberté. Même si l'obligation est faite aux providers (Facebook, Proximus,…) d’informer le client, on ne peut attendre du citoyen qu’il comprenne tout. » Bien plus, le courant behaviorial economics souligne que le comportement humain présente des biais comme l'inertie – sur le web, on ne décoche pas les cases ‘par défaut’ – ou le fait de ne pas mesurer les conséquences à long terme d’un acte surtout s’il y a gratification immédiate (Un bon cadeau ? Une affaire !). Or les entreprises mais aussi l'État – pour le bien commun – utilisent ces biais cognitifs.

L'autre volet du consentement est la liberté puisque celui-ci ne peut être contraint. « On touche là au mythe de l'individu qui ferait des choix sans être influencé. Mais on ne pose pas la question des rapports de force qui l'oppose à des sociétés comme Facebook, Microsoft ou Google qui détiennent plus de savoir et surtout plus de pouvoir. »

Boîte noire technologique

Au-delà, insiste Christophe Lazaro, auteur de ‘La prothèse et le droit. Essai sur la fabrication des corps hybrides’, « on ne peut réfléchir à la protection des données sans réfléchir aux relations homme-machine. L'être humain est aliéné par l'effet ‘boîte noire technologique’ quand il utilise sa machine (ordinateur, smartphone,…). Il l'est aussi par la routine ‘vicieuse’ de l' emploi de la technologie, au sens où il demeure ignorant alors que la machine travaille à son insu et que sa présence s’efface. »

Sa collègue Antoinette Rouvroy (Université de Namur) dit, elle, qu’il faut arrêter de fétichiser les donnes personnelles. « Ce qui intéresse les grands groupes, poursuit Christophe Lazaro, ce n’est pas l' individu mais bien ce qu’il poste et les traces de son passage dans les flux numériques. Ces données sont ‘nettoyées’ afin de construire des profils qui prétendent à l'exhaustivité et qui, en fin de compte, s'imposent à lui. ‘Comment ne pas se laisser assujettir à un profil qu'on impose ?’ demande Antoinette Rouvroy. C’est très concret, qu’il s’agisse d’obtenir un prêt bancaire, une police d’assurance ou, comme en Chine, un système de scoring de tous les citoyens dans un but sécuritaire. »

Passionné, Christophe Lazaro lève un coin du voile sur un article à paraître d’ici quelques mois dans la revue 'Anthropologie et sociétés' : il s’y demande si la logique des signaux numériques n’est pas en train de prendre le relais de la logique des signaux divins pour nous permettre de prédire l'avenir… D.H.

‘La prothèse et le droit. Essai sur la fabrication juridique des corps hybrides’, de Christophe Lazaro, IRJS Éditions, 2016. Ce livre a reçu le Prix du livre juridique (Paris) considéré comme le ‘Goncourt juridique’.

> uclouvain.be/cpdr

Partage

Ils sont juristes , économistes , informaticiens… : une vingtaine de chercheurs de l'UCL et de l'Université Saint- Louis ont créé un groupe de discussion baptisé Big Data Law : management and governance. Objectif ? Partager l'état de leurs recherches sur tous les angles de la gestion des données. Leur souhait ? Élargir le groupe à des chercheurs d’autres disciplines au sein ou en dehors de l' UCL et de l' USL-B.

Contact : Enguerrand Marique, enguerrand.marique@uclouvain.be


Griffe

GDPR, une occasion manquée ?

Le GDPR entrera en vigueur fin mai. Que certaines sociétés risquent de ne pas être prêtes, cela ne fait aucun doute. Mais la question qu’on ne pose pas assez est : le professionnel en tant qu’individu, l'utilisateur, le citoyen, le consommateur lambda, est-il préparé, conscientisé, informé ? N’a-t-on pas loupé le coche ? Après tout, les mots-clés sont bien protection et données personnelles.

Pourquoi n’a-t-on pas saisi cette occasion pour une information pragmatique de chacun•e sur la ‘valeur’ de ses données, les implications qu’il y a à les laisser en pâture à des acteurs cupides, peu regardants ou trop futés ?

En dégainant le GDPR, l'Union européenne nous veut du bien ? Encore faut-il que le commun des e-mortels connaisse quelques ficelles. Sait-on que les cookies ne pourront plus être aussi sournoises ? Que l'on a le droit de regimber, d’exiger une rectification voire l'effacement ? Que toute collecte de données par une marque, un site, un réseau social, une appli mobile passe par un consentement préalable, donné en pleine connaissance de cause ? Qui sait ou est soucieux de savoir que telle donnée collectée par X sera combinée à telle autre de Y et que le résultat sera un Z qu’il aurait refusé ?

Toute société sera censée informer l'utilisateur, de manière explicite et compréhensible, sur les finalités de la collecte et du traitement de ses données. Soit. On peut y croire. Mais quid, demain, quand les algorithmes, déjà opaques, s’auto-optimiseront ? Des algorithmes que bien peu peuvent décrypter…

Le consentement n’aura guère de pertinence sans une compréhension de ce qui se cache derrière la formulation de la finalité. Or, nul doute que les orfèvres du marketing déploient encore des trésors d’habileté.

Face aux progrès de l' intelligence artificielle, du machine learning, au désintérêt croissant de tous les moutons sacrificiels, tondus gratos, que nous sommes trop souvent, n’aurait-on pas pu saisir l'alibi du GDPR pour une sensibilisation de grande envergure ?

Brigitte Doucet
Rédactrice et éditrice du média en ligne Régional-IT

Crédit photo : Alexis Haulot

Article paru dans le Louvain[s] de mars-avril-mai 2018