Différences entre les versions de « RM2016 - BigData GAFA : nos données nous appartiennent-elles »

Titre : Big data, GAFA : nos données numériques nous appartiennent-elles ?

Intervenants : Corinne Morel-Darleux,Benjamin Bayart, Lionel Maurel,Thomas Champigny

Lieu : Remue-Méninges du Parti de Gauche - Toulouse

Date : Aout 2016

Durée : 1 heure 17 min 28

Pour visionner la vidéo

Pour télécharger la vidéo

Licence : Verbatim

Statut : Transcription MO

00’ 13

Corinne Morel-Darleux : Si je parle de tout ça, c’est parce qu’on a souvent tendance à penser que parler de données numériques, d’algorithmes, de big data, comme on va le faire aujourd’hui, est un sujet technique réservé aux geeks informaticiens zélés. En réalité, non ! Ça nous concerne tous, et de plus en plus, et de manière de plus en plus prégnante dans notre quotidien. Et donc en tant que parti politique, en tant que militants, en tant que citoyens éclairés, nous ne pouvons pas passer à côté de ce sujet. Je suis donc très heureuse qu’on puisse le faire aujourd’hui. Je suis d’autant plus contente que nous avons des intervenants, pour ce débat, qui sont des personnes qui travaillent depuis longtemps et de manière sérieuse et approfondie sur ces questions. Nous allons donc pouvoir écouter, pour nous aider à décrypter tout ça, Benjamin Bayart, qui est militant pour les libertés fondamentales sur Internet, qui est président de la Fédération des fournisseurs d’accès à Internet associatifs et qui est également membre du Conseil d’orientation stratégique de La Quadrature du Net. Il nous parlera, donc de big data. Ensuite, je passerai la parole à Lionel Maurel, qui est blogueur, juriste et bibliothécaire. Qui est également membre du Conseil d’orientation stratégique de La Quadrature du Net et qui est également le fondateur du collectif SavoirsCom1. Ensuite nous aurons un éclairage d’Isabelle Attard qui est députée, citoyenne écologiste du Calvados, particulièrement engagée dans les domaines de la culture, patrimoine et numérique, des libertés publiques et du fonctionnement des institutions politiques et qui participe activement au débat sur la loi République numérique et qui, je me permets de le rappeler, fait partie des très peu de nos députés qui ont voté contre l’état d’urgence.

Applaudissements

Et enfin, je passerai la parole à notre camarade Thomas Champigny qui est le nouveau co-animateur avec Mathieu Faure que je salue également, qui est dans la salle, de la commission numérique du Parti de Gauche et qui nous présentera un peu l’état des lieux de nos réflexions et de notre travail sur ces questions, sachant que ce débat, cet atelier parce que je ne suis pas sûre qu’il y ait un débat vraiment très contradictoire, c’est plutôt un atelier, va nous permettre, à nous aussi, et il faut le dire en toute humilité, de progresser sur notre propre réflexion au sein du Parti de Gauche sur ces questions. C’est aussi l’objectif de ce Remue-Méninge estival. J’en profite, derniers remerciements, pour saluer le travail de Laurence Pache qui a passé son été à organiser ce Remue-Méninges et qui fait partie des personnes pour qui ce débat sur le numérique était une chose essentielle dans notre parcours politique.

Applaudissements

Voilà. Je n’en dis pas plus. Je passe tout de suite la parole à Benjamin Bayart pour un premier éclairage. Concrètement, de quoi on parle quand on parle de big data, de traçabilité, et puis quels sont les usages positifs et moins positifs, voire franchement négatifs, du big data ?

03’ 50

Benjamin Bayart : Là, comme ça, ça va marcher. Bonjour. Le premier élément compliqué c’est d’essayer d’enlever l’épais vernis de marketing que vous avez pu lire dans la presse, pour revenir à des choses normales. Des données, vous en manipulez et vous en émettez tous, tous les jours, si vous êtes doté d’une forme d’ordinateur. Ceci est une forme d’ordinateur (Benjamin montre son téléphone portable, NdT). Il y a des choses qui vont vous venir assez spontanément comme étant vos données et que vous considérez comme étant personnelles. Les messages que vous envoyez, que ce soit des mails, que ce soit des SMS, que ce soit de la discussion sur une appli ou sur une autre, sur Facebook, ce sont des données, vous les considérez comme personnelles. Ça c’est la partie évidente. Vos photos de vacances, ce sont des données, vous les considérez comme personnelles. Je ne parle même pas des textos qu’on peut s’échanger ou des truc. Juste toutes les photos que vous faites, vous les considérez comme personnelles.

C’est la partie la plus petite et la moins intéressante de vos données personnelles, parce que c’est une partie qui est épouvantable à analyser. Quand j’ai envoyé un SMS à Isabelle Attard en disant « c’est de la bombe », si on faisait une analyse sémantique, ça pouvait allumer plein de warnings dans les services de renseignement. Rendez-vous compte, deux gauchistes échangent un message où il y a écrit bombe dedans. Il devrait y avoir des ???. ,C’est effroyable à analyser, il faut comprendre, il faut parler la langue. On a tous lu ça dans la presse, quand les organisateurs des attentats se sont mis à parler en arabe entre eux au téléphone, les policiers n’arrivaient plus à suivre. C’est très compliqué d’exploiter des données.

En revanche il y a ce qu’on appelle les métadonnées, ce sont, en fait, les données à propos des données, et qui elles, sont beaucoup plus riches et sont très faciles à exploiter. Ce que j’ai dit dans le SMS à Isabelle ne présente aucun intérêt. En revanche mon téléphone était localisé à Toulouse. J’ai émis un SMS à 10 heures 22. Isabelle a émis un SMS, depuis Toulouse, une localisation très proche : c’est la même antenne relais, donc on est manifestement dans le même bâtiment, ou pas loin. Puis j’ai réémis un autre SMS derrière.

On peut avec les données qu’on a sur mon téléphone savoir que ce matin, tôt, j’étais devant la gare de Toulouse-Matabiau, que cependant je n’ai envoyé un SMS à Isabelle que quand on s’est retrouvés racrochés à la même antenne GSM, c’est-à-dire qu’on était proches. Donc manifestement on voulait se rencontrer, il n’y a même pas besoin de lire le contenu. En fait, cette information-là est très facile à exploiter, elle est déjà structurée. Elle est très facile à analyser pour un ordinateur : deux personnes échangent des messages, donc elles se connaissent. Point. Elles sont raccrochées à la même antenne, donc elles sont au même endroit. Point. Il n’y a besoin de lire le contenu. Essayer de trouver la même information en lisant « Je suis arrivée. Dans quel bâtiment tu es ? Est-ce que tu es dans une conférence ? », c’est super compliqué de comprendre ce qu’on se raconte. Alors que les données à propos des données, disent beaucoup plus de choses.

Ce qui est intéressant, ce n’est pas le contenu de l’article de presse que vous avez lu. C’est l’identifiant de l’article. Vous et tous vos potes d’extrême gauche avez lu le même article de presse. Ça vous classe politiquement. Il n’y a même pas besoin de connaître son titre. Son numéro de matricule dit que vous êtes manifestement de la même opinion que les autres gens qui ont lu ça. Si on sait qu’ils sont majoritairement situés, disons qu’ils sont socialistes, donc d’extrême gauche de nos jours — il faut s’adapter — alors vous êtes de la même couleur politique. Donc les métadonnées sont une information beaucoup plus riche sur vous. Les métadonnées disent beaucoup plus de choses et elles sont plus faciles à lire.

Si on veut regarder la photo pour essayer de comprendre ce que vous avez pris en photo, c’est épouvantablement compliqué. Dedans, s’il y a votre position GPS qui dit que vous étiez dans les Alpes, s’il y a l’heure qui dit si c’est le jour ou la nuit, s’il y a le type d’appareil photo utilisé, s’il y a… En fait, on sait déjà beaucoup de choses et on sait déjà bien assez de choses. On est capable de dire si vous étiez en vacances ou si vous étiez au travail. On est capable de dire si vous étiez en train de photographier les étoiles ou de photographier le paysage, sans avoir à regarder l’image !

La fréquence à laquelle vous prenez des photos et à qui vous les envoyez, ça dit plus de choses que le contenu de la photo. Hier j’ai pris une photo d’un truc ridicule, je l’ai envoyée à un copain, ce n’est pas la peine qu’on sache que c’est un truc ridicule. C’est quelqu’un à qui j’envoie des photos quand je me promène, donc c’est manifestement un proche, ce n’est pas une relation professionnelle. Ça suffit, en fait, à qualifier la relation, il n’y a pas besoin de lire.

Telle personne avec qui je ne correspondais jamais, on s’est mis à échanger vingt à trente textos par jour, de manière soutenue et continue. Il n’y pas besoin de savoir qu’on est en train de flirter. La fréquence des messages nous le dit. L’heure des messages nous le dit. Le dernier message est à minuit, on doit se souhaiter bonne nuit, ça suffit à le savoir, il n’y a pas besoin de lire le texte.

Donc ça, c’est pour que vous ayez une idée de ce qui est intéressant dans vos données.

L’autre élément, c’est la partie dont vous ne vous doutez pas, qui sont les données que vous créez sans le savoir. J’ai envoyé un message à Isabelle, l’opérateur de téléphonie a noté dans ses petits papiers que j’ai envoyé un SMS. D’ailleurs ce sera décompté de mon forfait illimité pour vérifier que je n’ai pas dépassé la limite d’illimité. Mais c’est quand même noté dans ses petits papiers : c’est une obligation légale. Il y a plein de données que vous émettez sans le savoir.

Qui parmi vous sait que son téléphone émet une position géographique en permanence ? En fait votre téléphone mobile est accroché à une antenne. Par la partie radio, il parle en radio à une antenne précise. Votre opérateur sait sur quelle antenne vous êtes accroché, même quand vous ne téléphonez pas, puisque quand on vous appelle ça sonne. Donc toutes les antennes radio du pays ne cherchent pas le téléphone de Benjamin Bayart quand quelqu’un m’appelle. Mon téléphone, quand je me déplace, parle en permanence avec l’antenne pour dire : « Je suis là ! Je suis là ! Je suis là ! » Et du coup, quand quelqu’un me téléphone, l’opérateur sait sur quelle antenne je suis. Donc en fait l’opérateur de téléphonie mobile sait en permanence sur quelle antenne radio je suis. C’est -à-dire qu’il a un tracé. En fait il sait même, s’il fait un petit peu attention, quelles sont les antennes avec lesquelles mon téléphone parle, puisqu’il parle avec plusieurs antennes en même temps. Les antennes répondent, il y en a une qu’il entend plus fort que les autres et donc il va décider que c’est avec celle-là qu’il échange s’il a un appel à passer. Mais il a discuté avec les autres antennes pour savoir où elles étaient à quelle distance et s’il entendait bien ou pas. Savoir s’il avait une barre ou quatre barres. Ça l’opérateur le sait. Donc l’opérateur sait que mon téléphone était à cinq cents mètres de telle antenne, à deux kilomètres de telle autre et à trois kilomètres cinq de telle autre. Il a tracé les trois cercles, il sait au mètre près où je me suis. Au mètre près ! Quand on décide de suivre la géolocalisation d’un téléphone, du moment qu’il est allumé, on sait où il est au mètre près. Et ça, ce sont des données dont vous n’êtes pas conscient.

Quand vous faites de la navigation en ligne, vous affichez un article, alors vous savez que le journal que vous êtes en train de lire sait qu’un internaute est venu et a lu. Bien ! Il se trouve que sur la page il y a un like de Facebook. Même si vous n’avez pas de compte Facebook, le petit bouton like de Facebook vient de chez Facebook. Donc Facebook sait que vous avez lu cet article, même si vous n’avez pas de compte Facebook et même si vous n’êtes pas connecté sur Facebook. Alors il ne sait pas que c’est moi, Benjamin Bayart. Il sait qu’un internaute, qu’il y a déjà vu il y a une demi-heure sur tel autre article, est maintenant en train de lire ça, et que dans vingt minutes je serai en train de lire autre chose où il y a un bouton Facebook.

S’il y a un petit bouton Twitter, même punition. Twitter sait que j’étais en train de lire ça, puis que je suis en train de lire ça. Il ne sait pas forcément qui je suis, parce que je ne suis peut-être pas connecté sur mon compte Twitter avec le même navigateur. Mais si dans l’onglet d’à côté il y a mon compte Twitter, il sait qui je suis, il sait que je suis Benjamin Bayart !

Si je navigue en navigation privée, donc je ne suis connecté à rien, il sait quand même que le même navigateur est passé par plusieurs endroits. Alors il ne sait pas que c’est moi formellement. Il sait que j’ai lu tel article, puis que j’ai lu tel autre, puis que j’ai lu tel autre, puis que j’ai lu tel autre. On estime qu’à partir de six ou sept métadonnées, on peut savoir qui vous êtes de manière absolument unique. Sans avoir besoin d’identifiant formel, juste la métadonnée !

C’est en fait très simple : le téléphone qui fait tel trajet le matin à la même heure, c’est-à-dire le téléphone qui part de telle adresse le matin et qui arrive à telle adresse, le matin, eh bien c’est celui du salarié de la boîte qui habite là. Il n’y a même pas besoin de savoir que c’est son numéro de téléphone. Le type qui fait le trajet de chez moi à mon boulot tous les matins, c’est moi ! C’est plus fiable que ma carte d’identité, quasiment ! Si je fais le même trajet avec un autre téléphone, on sait très vite que c’est moi. Il y a un téléphone qui est parti de chez moi qui est arrivé à mon boulot. À priori c’est moi, même si j’ai piqué le téléphone de ma mère. Et du coup, tous les messages qui pendant ce trajet sont émis, à priori ils sont émis par moi. Il n’y a pas besoin de mon identité.

Donc même quand vous êtes le plus anonyme possible sur Internet, il y a des traces. Il ne peut pas ne pas y avoir de traces. Au mieux, le site que vous visitez, ou les sites qui sont cachés derrière, si vous regardez un site de presse un peu grand public qui fait de la publicité — ce que j’appelle caché derrière, c’est comme le like Facebook, vous voyez, le truc qu’on ne sait pas en regardant la page, il y en a une cinquantaine. Entre la régie publicitaire qui veut savoir qu’on a vu sa pub, l’annonceur qui a vendu la pub et qui veut savoir qu’on l’a vue, les systèmes de statistiques et de suivi, le site web lui-même, ses partenaires, les Facebook, Twitter, machin, truc et bidule : en gros, l’ordre de grandeur, c’est une cinquantaine de personnes qui vous suivent à la trace. Donc voilà.

Ce dont on parle, quand on parle des données personnelles, c’est de au moins tout cela.

Votre montre connectée qui vous dit que vous avez de la tension, qui vous dit que vous avez de la température ou qui mesure votre rythme cardiaque quand vous êtes sportif – il y a des tas de bracelets qui font ça pour savoir si on a bien fait du sport, combien on a marché et tout — tout ça ce sont des données personnelles. Mais la donnée personnelle ce n’est pas seulement j’ai marché. C’est j’ai marché tel jour à tel endroit. C’est très fin, en fait, comme données ce qu’ils ont. Ça aussi, ça permet de vous identifier. La personne qui a fait tel parcours en courant tel jour à telle heure, il n’y en a pas cinquante. Avec deux ou trois parcours, on sait qui vous êtes.

Voilà. Quand on parle de données personnelles, on parle de tout ça. On ne parle pas seulement des photos de vacances que vous avez mises sur Facebook.

Corinne Morel-Darleux : Merci. On était en train de se dire avec Isabelle, que toute la salle avait changé de couleur de visage à l’écoute de cet exposé introductif.

Rires

Mais c’est bien parce que du coup, je pense que tout le monde est maintenant en appétit pour mieux connaître la législation et l’état des lieux en la matière, les différentes controverses, les différents rapports de force qui peuvent exister aujourd’hui. Et pour nous en parler je vais donner la parole maintenant à Lionel Maurel.

15’ 55

Lionel Maurel : C’est bon ? Oui, c’est bon. Moi, pour traiter la question qui est complexe et très vaste, je ne vais pas vous faire un cours de droit, mais je vais reprendre l’énoncé de cette table ronde : Nos données numériques nous appartiennent-elles ? Vous allez voir, c’est une question qui est très intéressante et assez complexe, mais qui dit beaucoup de choses.

C’est vrai que vis-à-vis des données personnelles, quand tu fais ce genre de tableau, on a très fort sentiment de dépossession. C’est-à-dire que, effectivement, il y a une importance cruciale des données personnelles, mais cette capacité qu’on a à les émettre sans s’en rendre compte et à ce qu’elles puissent être captées par de grands acteurs qui sont dans le titre de la conférence : on avait les GAFA, Google, Amazon, Facebook et Apple. Moi je rajouterai GAFAM, d’ailleurs, il est important de rajouter Microsoft. J’ai rencontré des gens qui m’ont dit que l’acronyme GAFA a été inventé par Microsoft pour se faire éjecter du truc. Mais c’est très important de rajouter Microsoft.

Donc on a un sentiment de dépossession, on a un sentiment de perte de maîtrise parce que ces données, par recoupements notamment, elles peuvent dire tellement de choses sur nous, qu’on a beaucoup de mal à contrôler ce qui peut en être fait. Et on peut avoir aussi un sentiment de spoliation, parce que ces données sont génératrices de valeur économique à une échelle qui est vertigineuse. Là je voyais, en préparant un petit peu cette intervention, que les cinq plus grandes capitalisations boursières aujourd’hui ce sont les GAFAM. Ça y est. L’année dernière il y avait encore quatre compagnies pétrolières et Apple, et cette année on a les cinq GAFAM qui sont devenues les cinq plus grandes capitalisations boursières.

Alors ils n’utilisent pas tous les données personnelles au même niveau. On peut dire que Google et Facebook, sans doute, sont ceux qui vont le plus loin, mais tous quand même ont un pied très fortement planté dans cette question de l’exploitation de nos données personnelles. Et vous avez peut-être vu récemment aussi, que Microsoft a racheté le réseau social professionnel Linkedin pour une valeur de vingt-six milliards de dollars, ce qui est complètement incroyable — elles sont spéculatives aussi là-dessus — mais bien sûr, sans aucun retour vers les utilisateurs qui ont pourtant créé la valeur et participé très fortement à la création de la valeur. Parce que, ce qui fait la valeur d’un opérateur comme celui-là, c’est le fait d’avoir collecté nos données personnelles et de les avoir reliées. C’est le graphe que le réseau trace qui révèle, en fait, la structure de nos rapports humains entre nous, qui fait la valeur de ces données. Les données, à titre individuel, ont peu de valeur, en fait. Elles ont de la valeur quand elles rentrent en réseau et cette valeur est exponentielle à mesure que le réseau croît. Donc on a ces sentiments-là.

Mais c’est une très mauvaise façon de poser le problème que de chercher à se dire s’il faudrait qu’on ait une propriété sur nos données personnelles. Juridiquement, ce n’est pas du tout comme ça que la loi envisage les choses. Vous savez que la loi en France, c’est la loi de 78, la loi informatique et libertés, qui n’était pas du tout, à la base, créée dans une optique de rendre propriétaire de nos données. C’est une loi dont on dit souvent qu’elle est une loi plutôt d’inspiration humaniste qui veut protéger nos données pour protéger notre vie privée, qui est conçue comme un droit fondamental de la personne humaine. Et cette loi, en fait, elle ne nous donne pas un droit de propriété sur nos données, elle ne dit pas que les données sont des biens qui peuvent être appropriés et dont on serait titulaire d’un droit de propriété, elle nous donne des facultés pour contrôler l’usage qui est fait de nos données.

Et dans ces facultés, il y a un droit, notamment d’information : on doit être informé quand les données sont utilisées.

Il y a un droit d’opposition : on a le droit de contacter un opérateur pour lui demander d’arrêter de faire un traitement de nos données personnelles.

On a un droit de rectification : c’est-à-dire une fois qu’on a eu accès à nos données, s’il y a des choses qui sont fausses, on peut demander à ce qu’elles soient rectifiées, et ces droits ont évolué.

Vous savez qu’il y a eu tout un débat sur le droit à l’oubli, notamment propulsé par la Cour de Justice de l’Union européenne qui est ce droit qui serait de pouvoir faire en sorte qu’une page web qui contient une information personnelle puisse être désindexée par les moteurs de recherche, pour qu’on puisse ne plus être retrouvé et avoir ce droit à ne plus apparaître sur Internet, ce qui pose des tas de problèmes. On pourra peut-être en reparler, parce que c’est très dur à organiser. Et donc voilà. La philosophie de la loi c’est de ne pas donner un droit de propriété, mais des facultés aux individus pour qu’ils puisent contrôler.

Et alors la grosse différence avec la propriété, c’est que, par contre, il y a une faiblesse, c’est qu’on n’a pas un droit d’autorisation préalable. Quand un opérateur veut faire un usage de nos données personnelles, il n’a pas à nous demander notre autorisation : il peut le faire. Parfois il va devoir aller voir la CNIL, la Commission nationale Informatique et libertés, qui, elle, va regarder le traitement de données qui est envisagé et qui va pouvoir le refuser ou l’accepter ou le conditionner. Mais il n’y a pas un droit pour les individus à avoir un consentement préalable pour qu’il y ait un usage de leurs données personnelles. C’est après coup que les individus, déjà il faut qu’ils soient informés, et après ils peuvent exercer ces droits.

On en parlait en préparant cette conférence, un des gros problèmes c’est que ces droits sont dans la loi, mais les conditions d’exercice effectif de ces droits de contrôle sur les données sont très lacunaires. Par exemple, quand un site présente des cookies, c’est-à-dire des systèmes pour tracer notre navigation sur le site et récolter des informations, il y a un droit d’information, mais le droit d’information, vous allez la première fois sur le site, il apparaît comme ça dans une fenêtre. En général on les lit à peine, on clique et en fait, la plupart des gens ne sont pas informés et ils n’exercent pas le droit effectif, donc là d’opposition donné par la loi.

On en parlait aussi, vous savez que sur les sites internet, quand vous vous inscrivez, vous acceptez les conditions générales d’utilisation, vous cochez une croix. C’est censé matérialiser le droit à l’information. Il y a quelqu’un qui avait estimé que quand vous allez sur un service d’Apple, si vous vouliez lire les conditions générales d’utilisation, c’est à peu près lire un roman de trois cents pages. Ce droit à l’information il est là. C’est dérisoire et donc, en fait, le contrôle n’est pas effectif.

Alors du coup, il y a eu des gros débats sur « et si on créait finalement un droit de propriété sur les données personnelles ? » Il y a un débat qui est très ancien dans l’histoire de l’internet. Il y a des gens qui très tôt l’ont dit, notamment un Américain qui s’appelle Jaron Lanier, qui est une espèce de gourou aux États-Unis, très connu, qui disait : « Les firmes font de l’argent sur les données personnelles, pourquoi est-ce que chacun ne serait pas propriétaire de ses données et aurait donc, avec ce droit de propriété, non seulement un droit de contrôle mais un droit à toucher une rémunération pour l’exploitation de ses données, et que Facebook, même s’il est censé juste nous donner quelques centimes, eh bien qu’il soit quand même obligé de rémunérer l’utilisateur pour l’exploitation des données. Et il disait ce serait un moyen, comme ça, d’éviter cette évasion de la valeur et d’avoir un retour vers les individus sur la valeur qu’ils créent ».

Et cette idée a fait son chemin en France. Vous avez eu, notamment un peu en amont du débat sur la loi République numérique, pas mal de gens assez connus qui ont commencé à prôner cette idée. À un moment donné, il y a eu une personne qui s’appelle Pierre Bellanger, le fondateur de Skyrock, qui a écrit un livre qui s’appelle La souveraineté numérique qui est, ma foi, assez intéressant — une personne un peu iconoclaste et qui dit de choses assez intéressantes — et qui disait : « Oui, le problème c’est que les données n’appartiennent à personne, donc elles se font capter par les grands opérateurs. Si on veut éviter ça, créons un droit de propriété sur les données, auprès des individus. Peut-être même créons une sorte de droit d’auteur sur les données, parce qu’après tout est-ce qu’on ne peut pas être considéré étant auteur de ses données et réglons le système comme ça. »

Ce n’est pas l’option qui a été retenue dans la loi mais c’est allé assez loin, notamment quand Montebourg était au ministère de l’Économie, il avait engagé des travaux pour essayer de le formuler et ça failli aller dans le projet de loi.

Il se trouve que le Conseil national du numérique et le Conseil d’État ont fait des rapports préliminaires à la loi République numérique et ont très fortement critiqué cette idée. Parce que, si vous voulez, créer un droit de propriété c’est sacrément à double tranchant, parce que quand vous êtes propriétaire d’une chose, d’accord vous avez un droit d’autorisation préalable, vous avez aussi un droit à avoir une rémunération, mais vous avez aussi un droit d’aliénation. Quand vous êtes propriétaire d’une chose vous pouvez la vendre, vous pouvez vous en déposséder et ça, ça marche simplement par acceptation d’un contrat. Quand vous avez un bien, vous avez votre maison, vous pouvez transférer la propriété à quelqu’un. Si on met ça sur les données personnelles, ça veut dire que, à ce moment-là, on transférerait la propriété des données aux grands opérateurs numériques et qu’il suffirait, de la même manière, de cocher la petite case en bas pour que ça prenne effet. Donc il y aurait un effet de dépossession possible très fort.

Une fois que vous créez un droit de propriété, vous faites de la chose un bien et quand une chose devient un bien, elle peut être marchandisée. Donc en fait, la création du droit de propriété était le préalable à la marchandisation des données personnelles. Et aux États-Unis, on voit apparaître des gens, des sociétés, qui deviennent des courtiers de données personnelles, qui vous disent : « Apportez-nous vos données personnelles et nous on va les gérer comme un patrimoine et on va les négocier avec les opérateurs type Twitter et d’autres, notamment beaucoup de sociétés de marketing et en échange vous allez toucher quelques euros par moi. » Et ce système-là est incroyablement pervers, si vous voulez, parce que l’individu, après tout on lui donne une rémunération, il est poussé à auto marchandiser ses données et à entrer dans une logique qui peut extrêmement dangereuse.

Donc Voilà ! Finalement, dans la loi République numérique on n’a pas choisi cette voie-là. Il y a eu un petit renforcement des droits de contrôle, notamment il y a un nouveau droit qui a été créé, qui est celui de la portabilité des données personnelles. C’est-à-dire que vous allez pouvoir demander maintenant, par exemple à un opérateur qui gère vos mails, de récupérer toutes les données liées à vos mails dans un format supposé ouvert, pour pouvoir les injecter chez un autre opérateur. Bon, c’est quand même une avancée !

Et vous avez aussi la réglementation qui a bougé au niveau européen. Il y a un règlement européen sur les données personnelles qui a été adopté fin 2015, c’était en même temps que la loi République numérique et qui est resté dans cette logique personnaliste, une logique qui donne des droits plutôt que créer un droit de propriété.

Voilà un petit peu ce débat, mais qui est un vrai débat de fond et on en parlera peut-être après. Moi je prône plutôt une troisième voie, parce que je ne suis ni personnaliste ni propriétariste. Je pense que les données relèvent, en fait, d’un enjeu collectif, et ni la loi actuelle, enfin ni la loi République numérique ni même l’ancienne loi CNIl, ni l’approche propriétaliste ne permettent vraiment de saisir cette question collective qu’il y a derrière nos données personnelles.

Corinne Morel-Darleux : Eh bien merci beaucoup pour ce renouvellement rafraîchissant du ni ni, vers une troisième voie qui, pour le coup, celle-là serait peut-être intéressante et qui rejoint un certain nombre de thématiques qu’on aborde régulièrement au Parti de Gauche sur la question des communs. Lionel Maurel faisait référence, à l’instant, au débat sur le projet de loi numérique. Il se trouve que Isabelle Attard, en tant que député citoyenne écologiste, a très activement participé à ces débats et je lui passe donc la parole maintenant pour nous en parler, nous donner un peu la teneur de ces débats et des impacts politiques de tout ce qu’on vient d’entendre.

27’ 38

Isabelle Attard : Merci beaucoup Corinne et merci surtout pour l’invitation à ces Remue-méninges. Juste pour vous donner une ambiance, à l’Assemblée, on doit être dix à s’occuper des questions numériques. Martine Billard, ici présente peut témoigner, peut-être. La situation n’a guère évolué à l’Assemblée, je ne pense qu’ils étaient plus nombreux il y a quelques années.

Martine Billard : Moins !

Isabelle Attard : Vous étiez moins et on n’est guère plus. Ce qui signifie que, sur ces questions-là, il est difficile d’avoir vraiment un débat et que parfois le débat tombe complètement à côté. J’y reviendrai après par rapport, notamment, à la lutte contre les GAFA telle qu’elle est vécue par mes collègues de l’Assemblée.

Je voulais juste, dans un premier temps, vous donner quelques exemples de ces données personnelles, qu’on croit pouvoir anonymiser et en fait ça n’existe pas. Il faut bien être conscient dans ce qu’a dit Benjamin et dans ce qu’a dit,, finalement, Lionel, l’anonymisation n’existe jamais. Pour ça il y a des exemples qui sont répertoriés dans un travail de recherche, excellent, qui est de Guillaume Piole, chercheur à Supelec à Rennes. Je vous encourage à aller regarder ce qu’il a pu faire à travers quelques exemples.

AOL, vous connaissez, AOL en 2006 a mis à disposition à des fins de recherche vingt millions de requêtes. Les chercheurs ont pu s’en emparer et travailler sur ces requêtes des internautes. Finalement, on a pu en déduire, les chercheurs en ont déduit qu’on pouvait très bien retrouver qui étaient les personnes qui faisaient ces requêtes sur Internet. Je donne l’exemple d’un numéro, le numéro 44 177 49, vous pourrez vérifier, à partir de quelques données, genre célibataire de soixante ans, tremblement de la main, ça, ça ne fait pas partie des recherches qu’elle a faites, elle a tapé sur le moteur de recherche célibataire de soixante ans, tremblements de la main, effets de la nicotine et chien qui urine partout, quelques autres exemples, elle a été identifiée par des journalistes du New York Times très facilement : c’est Thelma Arnold, soixante-deux ans, qui habite en Georgie. C’est un exemple.

Ensuite, en 2010, je vous donne des exemples mais pas dans le bon ordre, Netflix a mis à disposition les données d’évaluation anonymes sur les séries : quand vous regardez une série vous pouvez les évaluer, les noter, via le site de Netflix. Et un chercheur a recoupé avec les données du site IMDb, pareil c’est un site où vous consultez les films, vous pouvez faire des notations, et il suffit d’avoir la connaissance de deux notes pour identifier 68 % des utilisateurs. C’est extrêmement rapide. C’est ce que disaient Benjamin et Lionel.

Autre exemple, dans le Massachusetts, au milieu des années 90, un comité d’assurances publie des données médicales. Alors là on rentre dans un autre domaine, celui des données médicales, soi-disant anonymisées. Une étudiante a recoupé les données avec les listes électorales, a révélé l’affaire en envoyant au gouverneur de l’État son dossier médical. Le gouverneur a aussitôt demandé l’arrêt de la publication de tous les dossiers.

La même étudiante avait montré, en 2000, que 87 % des citoyens américains sont identifiables de manière unique si on a leur sexe, leur date de naissance et leur code postal. Des informations, finalement, que vous, que nous donnons à tout le monde assez fréquemment : vous vous inscrivez sur une carte de fidélité dans un magasin, ce sont quasiment les seules informations qu’on vous demande, ça suffit à identifier près de 87 % de la population, en croyant que vous n’avez pas donné votre nom, bien sûr, mais vous avez donné ces trois informations-là, ça suffit pour vous identifier.

Donc c’est intéressant et je voudrais revenir sur la question de recoupement entre les données médicales et les listes électorales. Nous sommes ici au PG, un parti qui s’occupe des listes électorales et je vais donner l’exemple très récent de mon compagnon qui s’est inscrit sur les listes électorales à Bayeux et qui, aussitôt, a reçu de la publicité du Crédit Mutuel, de Carrefour et de Ouest-France. Comment ça se passe quand vous vous inscrivez sur les listes électorales ? Vous, moi, Corinne, Benjamin, Thomas, vous pouvez très bien demander à la préfecture de vous envoyer les noms des personnes inscrites sur les listes électorales. Il suffit d’envoyer même une clef USB, c’est très, très, simple. Seulement, vous devez vous engager avec un formulaire, à ne pas les utiliser à des fins commerciales. Je peux les utiliser pour ma campagne électorale, tu peux les utiliser pour ta campagne, Benjamin pour je ne sais pas quoi, et Lionel, je n’en sais rien. Mais, pas à des fins commerciales. Sauf que personne ne vérifie par-derrière. Donc je suis en droit de demander au Crédit Mutuel, à Carrefour et à Ouest-France qu’est-ce qu’ils ont trafiqué d’illégal pour que mon compagnon reçoive des messages de publicité alors qu’il n’a fait simplement que de s’inscrire sur les listes électorales.

Autre exemple. Vous avez peut-être entendu parler, en 2012, de l’affaire Target, les magasins aux États-Unis, chaîne de magasins. Là on est dans un exemple qui touche à la vie privée, on continue sur les données personnelles. Un père de famille voit dans sa boîte aux lettres des bons de réduction pour des couches-culottes ; il est père d’une adolescente de 16 ans. Il va faire un scandale au magasin en disant : « Pourquoi vous m’envoyez des bons de réduction des couches-culottes ? » Le magasin s’excuse. Et ensuite, quelques jours plus tard, c’est le père de famille qui vient s’excuser, car sa fille était effectivement enceinte et il ne le savait pas, et on ne sait pas si la fille le savait également. C’est ça le point crucial, quand même, du problème. Pourquoi ? Parce que Target avait employé, à partir de 2002, un statisticien excellent nommé Andrew Paul, peut-être que je prononce mal mais bon, qui avait établi finalement une liste de 25 produits que des femmes enceintes sont susceptibles d’acheter, jusqu’à prévoir un score de prévisibilité de grossesse. C’est-à-dire qu’avec les 25 produits achetés, vous pouvez savoir avant même la personne qui est censée être enceinte qu’elle est enceinte.

Par ce biais de statistique et de publicité ciblée, évidemment, on sait que vous avez des tendances à consommer tel et tel produit, les publicités vont être ciblées, ils ont réussi à faire passer le chiffre d’affaires de Target, entre 2002 et 2012, de 44 milliards à 67 milliards. L’embauche d’Andrew Paul a été extrêmement rentable. Vu le tollé qu’il y a eu aux États-Unis suite à cette question ultra sensible, parce que ça va de recevoir des publicités pour les tondeuses à gazon, mais là pour des couches-culottes et des produits de grossesse, c’est quand même autre chose, eh bien justement ils ont mélangé les tondeuses à gazon avec les produits pour femme enceinte. C’est-à-dire qu’au lieu de cibler de façon ultra précise leurs publicités, ils les ont mélangées avec des publicités qui n’avaient rien à voir et sciemment. Pour ne pas qu’on puisse les accuser d’avoir fait, d’avoir envoyé à telle personne des… Vas-y.

Benjamin Bayart : Il y a un point même plus intéressant que ça, précisément sur ce point-là, les études montrent que quand les publicités sont trop bien ciblées, nous devenons méfiants. C’est-à-dire que si je vois des publicités qui ont l’air de vraiment me parler à moi, toutes, je rejette, je me sens envahi. Et les publicitaires sont arrivés à la conclusion qu’il faut 20 à 25 % de publicités ciblées pour que ce soit efficace. Et ils font exprès de mettre 75 à 80 % de publicités non ciblées ou mal ciblées. Exprès ! Et ça change : je ne vais pas les suivre. Donc ce n’est pas que pour que je ne m’en rende pas compte, ça a cet effet-là. Voilà, ce n’est pas qu’une question de ne pas être accusés.

Isabelle Attard : Et je reprends la parole rapidement mais pour dire que nos données sont extrêmement importantes, pas le contenu des messages, je pense que Benjamin l’a suffisamment expliqué, mais bien les métadonnées qui y sont associées, c’est -à-dire que le lieu, la fréquence, avec qui je communique, a bien plus de valeur aux yeux des GAFA, mais également de l’État – et on y reviendra dans un deuxième temps – que le message lui-même.

Je ne sais pas qui est sur WhatsApp, vous pouvez lever la main. Voilà. Donc hier soir, en arrivant sur Toulouse, j’ai reçu un message sur les conditions d’utilisation de WhatsApp, je ne sais pas si vous l’avez reçu aussi, qui nous incitait à accepter les nouvelles conditions d’utilisation. WhatsApp a été racheté il y a deux ans par Facebook, je ne sais pas si vous le saviez, non ? Et donc, les nouvelles conditions d’utilisation vous autorisez WhatsApp à donner vos données à Facebook. D’accord ? Chose qui n’était pas le cas depuis deux ans.

Pour ceux qui ont mal lu, qui ont coché, qui ont accepté, parce qu’ils étaient soit bourrés, soit ils avaient mal vu, enfin quelque chose comme ça, vous avez, c’est ballot mais ça arrive, vous avez trente jours pour changer d’avis et décocher votre case, et c’est relativement simple dans les paramètres de WhatsApp. Apparemment il faut vous dire que WhatsApp est quand même un service de messagerie chiffrée, recommandé par Edward Snowden, comme Signal. Pourquoi ? Parce que Signal, comme WhatsApp, utilise un logiciel extrêmement performant le logiciel Open Whisper System, qui est à l’origine du logiciel de TextSecure, qui effectivement, aujourd’hui, est la méthode la plus sûre en termes de chiffrement. Et c’est parce que c’est une méthode extrêmement sûre en termes de chiffrement que Bernard Cazeneuve s’est attaqué, très récemment, au thème du chiffrement. C’est-à-dire que les supposés terroristes ou djihadistes utilisent la messagerie WhatsApp, utilisent Telegram, donc il faut surveiller Telegram et WhatsApp.

Je tiens à vous expliquer également que les terroristes utilisent des toilettes. Certains avaient dit qu’ils commandent aussi des pizzas et donc il va falloir surveiller les livreurs et les fabricants de pizzas et les fabricants de toilettes !

C’est extrêmement grave. On y reviendra je l’espère, mais en tout cas, cette notion de chiffrement, de sécurisation des données, est à l’ordre du jour et le Conseil national numérique, dont parlait l’interlocuteur précédent, tout comme la CNIl, vient de signer une tribune mardi demandant à Bernard Cazeneuve de faire extrêmement attention quand il fait une campagne nationale contre le chiffrement. Les conséquences seront gravissimes, à la fois pour nous, dans l’utilisation de données et également pour l’économie en France. Merci.

Corinne Morel-Darleux : Merci Isabelle. Je signale à Bernard Cazeneuve, s’il nous écoute, que la direction du Parti de Gauche a migré de WhatsApp à Telegram récemment. Et je passe la parole à Thomas qui donc est co-animateur de la commission numérique du Parti de Gauche, qui a pris son essor il y a quelques mois et qui travaille de manière collective sur l’élaboration d’un certain nombre de propositions que nous pourrions ou que nous devrions porter en tant que parti politique, sur ces questions. Thomas, c’est à toi.

39’ 47

Thomas : Bonjour. Merci à tous d’être nombreux dans la salle et attentifs. C’est important.