Les entreprises scrutent à la loupe nos données. Un constat qui n'est pas nouveau mais qui revêt aujourd'hui un tournant. Alors qu'une loi sur les données, portée par l'UE, devrait à nouveau encadrer l'usage de nos informations personnelles laissées dans le cyberespace, comment une donnée personnelle devient-elle publique ?
C'est un domaine encore flou. Alors que de nombreuses entreprises ont été, et sont encore, épinglées pour une exploitation parfois frauduleuse de nos données personnelles, la définition même de ces informations dans un cadre légal n'a jamais vraiment été tranchée clairement. Un flou, donc, dans lequel cybercriminels, petites entreprises mais aussi géants de l'industrie d'engouffrent pour exploiter un maximum d'informations.
Le grand public a notamment en mémoire le scandale Cambridge Analytica, mettant en cause Facebook (devenu Meta) en 2018. Et si depuis, de nombreux garde-fous comme le RGPD ont été mis en place, les failles sont encore présentes et exploitées. Le 28 juin dernier, l'Union européenne a vu la conclusion d'un accord politique entre le Parlement européen et le Conseil de l’UE sur la législation sur les données. Un volet qui doit notamment donner un cadre à l'usage des données collectées par les objets connectés.
Afin de mieux comprendre comment une donnée personnelle peut devenir publique et être exploitée «librement», on peut rappeller qu'une donnée privée n'a pas vocation à être divulguée au plus grand nombre. «Lorsqu'on parle de données privées, les gens ont généralement conscience que leur état civil, une information médicale ou encore une déclaration d’impôt en font partie, mais il y a aussi des données dont on n’a pas forcément conscience. On laisse des traces comme la localisation de nos déplacements sur un GPS, les achats dans un commerce en ligne...», rappelle pour CNEWS Jean-Marc Lazard, président et cofondateur d’Opendatasoft, société spécialisée dans l'usage des données.
Un cas plus complexe qu'il n'y paraît
Un point qui tombe sous le sens mais qui, nous allons le voir, est plus complexe qu'il n'y paraît. C'est le cas notamment lorsqu'une donnée privée peut être collectée de manière anonyme pour intégrer d'autres données dans le cadre de l'Open Data. Par exemple, lorsqu'un objet connecté récupère des informations sur votre rythme cardiaque et que cette information servira à connaître le rythme cardiaque du Français moyen. On parle ici de Big Data, lorsque de petites données privées sont rassemblées et étudiées à grande échelle. La donnée, bien que privée au départ, s'anonymise dans le processus.
«Une même donnée peut être utilisée selon différents cercles de partages», poursuit Jean-Marc Lazard. L'exploitation de ces données-là est encadré et il faut aussi que le client accepte de la partager. «Ces informations intéressent des sociétés et des institutions, comme par exemple le monde médical mais aussi les fabricants d’autres objets connectés. On entre ici dans une zone intermédiaire. Où la donnée privée devient d'utilité publique», souligne-t-il.
«Avec Tous Anticovid, on en a vu l’exemple. Ce sont dans des situations de crise que l’on cherche des solutions. Dans le cas d'une épidémie, il y avait un besoin de connaissances autour de la maladie pour comprendre comment elle se répand et comment la contrer. L’analyse en masse des données personnelles a servi. Les données de santé pouvaient venir aussi bien d’acteurs public (vaccination, dépistage…), que d’acteurs privés notamment pour avoir connaissance des ventes dans les pharmacies», illustre ici Jean-Marc Lazard.
Cependant, tous ces cadres sont en cours de construction avec des lois assez éparses selon les pays, même si l'Europe tend à trouver des terrains d'entente pour avancer. «La difficulté à l’échelle européenne est de trouver un accord entre tous les pays. Certains n’ont pas la même vision ni le même modèle de société», rappelle-t-il, tout en prévenant que la technologie évolue plus rapidement que les lois : «Le cadre est-là mais on n’a pas toujours les moyens d’aller aussi vite dans la mise en place de toutes les précautions». Même si sur le plan de l'UE, les lacunes sont souvent compensées par le principe de précaution pour protéger les citoyens.
Vers un modèle vertueux ?
Le cœur de la tourmente se développe principalement autour des réseaux sociaux. «On a beaucoup de déclarations d’intention qui sont peut-être sincères de la part des réseaux sociaux. On apprécie aussi ce que les plates-formes sociales peuvent apporter. Mais elles vont parfois au-delà du simple service en reposant sur un modèle économique qui monétise les données personnelles. Je pense que tout cela va contribuer à faire des citoyens éclairés. On met en lumière les mésusages de ces plates-formes alors qu’il y a un potentiel pour utiliser certaines données de manière vertueuse. Ce que nous avons réussi à faire pendant le Covid, nous pouvons le faire aussi avec d’autres projets positifs. Certaines marques vont par exemple partager leur data sur l’impact environnemental de leurs procédés de fabrication. Récemment, Waze a créé un programme «Waze for cities», qui agrège les données de circulation. Ces dernières sont mises à dispo gratuitement auprès des villes pour nourrir les statistiques des trajets, par exemple», conclut Jean-Marc Lazard.
En France, la mise en place d'intermédiaires de confiance, pour servir d'écran à l'usage des données est l'une des solutions envisagées, à l'instar de France Connect par exemple.