|
|
| (16 versions intermédiaires par le même utilisateur non affichées) |
| Ligne 1 : |
Ligne 1 : |
| | [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
| | | | |
| − | '''Titre :''' Table ronde : Les enjeux du traitement des données personnelles à l’heure du big data
| + | Transcrit [https://www.april.org/les-enjeux-du-traitement-des-donnees-personnelles-a-l-heure-du-big-data-table-ronde-capitole-du-libr ici] - Juillet 2019 |
| − | | |
| − | '''Intervenants :''' Bertrand Monthubert - Stéphane Bortzmeyer - Tristan Nitot - Marc Rees - Amaëlle Guiton
| |
| − | | |
| − | '''Lieu :''' Capitole du Libre - Toulouse
| |
| − | | |
| − | '''Date :''' décembre 2018
| |
| − | | |
| − | '''Durée :''' 1 h 8 min 49
| |
| − | | |
| − | '''[https://www.youtube.com/watch?v=5obgTnZPyfA Visionner la vidéo]'''
| |
| − | | |
| − | '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
| |
| − | | |
| − | '''Illustration :'''
| |
| − | | |
| − | '''NB :''' <em>transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.<br />
| |
| − | Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.</em>
| |
| − | | |
| − | '''Statut :''' Transcrit Mo
| |
| − | | |
| − | ==Transcription==
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Bonjour à tous et à toutes. Merci d’être avec nous, assez nombreux mine de rien, pour cette table ronde intitulée très précisément « Les enjeux du traitement des données personnelles à l’heure du <em>big data</em> ». Avant qu’on commence et qu’on entre dans le vif du sujet, je laisse la parole pour quelques instants à Bertrand Monthubert qui est conseiller régional, délégué à l’Enseignement supérieur et à la Recherche.
| |
| − | | |
| − | <b>Bertrand Monthubert : </b>Merci beaucoup.
| |
| − | | |
| − | [Applaudissements]
| |
| − | | |
| − | <b>Bertrand Monthubert : </b>C’est elle que vous applaudissez j’espère. Merci pour votre invitation. D’abord bravo aux organisateurs pour ce qui est, manifestement, une réussite une fois de plus pour cette 7e édition du Capitole du Libre. C’est extrêmement que des évènements comme ça s’organisent pour que la vie du logiciel libre, évidemment, se développe, prenne de l’ampleur et c’est ce qui est en train de se passer. C’est grâce à beaucoup de militants, de bénévoles et il faut vraiment les saluer. Je tiens à le faire extrêmement sincèrement.
| |
| − | | |
| − | Cette table ronde est quelque chose d’extrêmement important et la région Occitanie, aujourd’hui, est engagée dans une démarche très active en la matière. D’ailleurs où on retrouve des gens comme Tristan Nitot puisque nous avons lancé une initiative à laquelle Qwant est associé et juste, je vais vous dire en quelques mots, très rapidement, parce que vous attendez évidemment d’entendre nos orateurs, quelle est la philosophie dans laquelle nous nous inscrivons.<br/>
| |
| − | Nous avons la conviction, évidemment, que nous sommes face à un grand bouleversement et que, face à ce grand bouleversement, il faut absolument qu’on soit des acteurs importants et qu’on ne laisse absolument pas des acteurs à l’autre bout de la planète gouverner la manière dont les choses vont se passer et en particulier en termes de données personnelles. Et pour le faire évidemment il faut éditer des réglementations et puis les appliquer. Il y a eu des gros progrès quand même ! Il y a eu le RGPD, très discuté, néanmoins marquant de très grands progrès. Pour autant je crois que ça n’épuise pas les choses, parce que finalement la question, notamment quand on parle de la question des données personnelles, c’est qu’évidemment il s’agit de protéger les droits des individus, mais pour autant ces données peuvent avoir aussi des intérêts pour les individus eux-mêmes. On le sait tous et c’est bien pour ça d’ailleurs que se développent un certain nombre de choses et c’est assez frappant de voir que finalement même quand il y a des fuites massives de données, c’est ce qui s’est passé il n’y a pas si longtemps avec Facebook, même s’il y a des désinscriptions, eh bien il y a pour autant, encore, une très grande partie des gens continuent à utiliser ces systèmes.<br/>
| |
| − | Donc il y a quelque qui pourrait paraître paradoxal en ayant le sentiment que, à la fois, les gens veulent, et c’est légitime, avoir des données qui sont protégées et pour autant ferment les yeux très souvent vis-à-vis des outils qu’ils utilisent et qui pompent, aspirent, revendent et vont même faire des choses encore pires que ça avec leurs données.<br/>
| |
| − | Évidemment pour nous, ce qui semble important, c’est d’arriver à fédérer les acteurs qui sont prêts à avoir une démarche éthique, souveraine, sur la donnée, non pour ne rien faire avec les données, mais pour faire des choses, des choses qui soient à l’usage des citoyens, qui permettent de faire progresser un certain nombre de choses et en particulier la recherche, la santé, la connaissance d’une manière beaucoup plus générale. Et pour ça on a besoin de pouvoir, notamment, croiser des données personnelles entre elles, mais évidemment il faut définir un cadre éthique et souverain pour pouvoir le faire, pour se prémunir contre la fuite des données.<br/>
| |
| − | Et c’est dans ce cadre-là que, autour d’un certain nombre d’acteurs que j’anime au sein de ce qui est en train de devenir une association de préfiguration qui s’appelle Occitanie-Data, dans laquelle il y a des acteurs comme Qwant, justement, et nous sommes, en somme, évidemment extrêmement heureux, eh bien nous travaillons dans cette direction. Le choix qui a été fait c’est de s’adresser à des acteurs souverains, à des acteurs qui respectent des principes éthiques forts et c’est pour ça que, évidemment, Qwant était pour nous un partenaire de choix, même si Qwant, pour le moment, n’est pas encore installé en région Occitanie – j’espère que ça changera bientôt mon cher Tristan –, mais il y a des étapes ; nous venons d’en franchir une première.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Je ne m’avancerai pas ce soir sur le sujet.
| |
| − | | |
| − | <b>Bertrand Monthubert : </b>Tu ne t’avanceras pas ce soir, ce n’est pas l’objet de la table ronde et je ne te tends pas de piège en disant cela. Mais tu vois le dynamisme de la capitale de la région Occitanie quand même.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Absolument !
| |
| − | | |
| − | <b>Bertrand Monthubert : </b>J’espère que vous allez lui montrer l’enthousiasme que vous avez pour que Qwant, effectivement, puisse développer de l’activité ici, ce serait bien pour tout le monde. Il y a de l’enthousiasme tu vois ! Donc des acteurs comme Qwant et pour beaucoup d’autres autour d’une initiative et nous communiquerons plus largement là-dessus bientôt. J’ai déjà été un petit long donc je vais m’arrêter ici pour cette introduction, mais c’était pour vous dire à quel point pour cette question de l’enjeu des données personnelles à l’heure du <em>big data</em> est vraiment quelque chose d’essentiel sur lequel nous sommes profondément engagés. Merci pour votre attention et bonne table ronde.
| |
| − | | |
| − | [Applaudissements]
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Merci beaucoup. Bertrand Monthubert en parlait, c’est vrai qu’on a vécu une année 2018 assez intéressante, en positif comme en négatif, puisqu’on a eu un scandale assez majeur de fuite de données : tout le monde a en tête Cambridge Analytica. Pour ceux qui ne l’auraient pas totalement en tête, c’est donc cette entreprise de marketing politique, en tout cas qui se présente comme telle, liée à un certain un milliardaire très proche de Trump et à son ex-conseiller Steve Bannon, qui a utilisé les données de 80 millions d’utilisateurs de Facebook pour établir ce qu’ils appelaient des profils psycho-sociaux, lesquels auraient été utilisés à des fins de publicité ciblée en faveur de Trump ou en faveur du Brexit. Donc on a là un exemple assez flagrant de ce que peut donner, on va dire, un cadre effectivement assez lâche puisque, en l’occurrence, il n’y avait rien de particulièrement illégal dans cette histoire à l’origine, c’est juste Facebook qui ne protégeait pas les données de ses utilisateurs. Et on voit aussi la manière dont ça peut être utilisé par des acteurs politiques à des fins de manipulation ; je crois qu’on ne peut pas le dire autrement. Donc on a eu ce moment qui a été un moment de prise de conscience, on aura l’occasion d’y revenir.<br/>
| |
| − | Et puis, quelques mois après, est entré en application le Règlement général sur la protection de données adopté par l’Union européenne, ça aussi on en parlera parce que je crois que c’est à la fois un progrès réel et substantiel et puis, en même temps, ce n’est que le début du boulot puisque maintenant il va falloir le faire appliquer et puis, surtout, il va falloir préciser un certain nombre de notions qui sont dans ce règlement et qui peuvent donner lieu à, on va dire, l’établissement d’une jurisprudence qui peut aller dans un sens ou dans l’autre. Donc l’idée c’est un peu d’essayer de voir eh bien où est-ce qu’on en est aujourd’hui, qu’est-ce qui nous attend par la suite et qu’est-ce qu’on peut faire, vers quelle société on va, finalement.<br/>
| |
| − | Donc on a avec nous, par ordre alphabétique comme ça je ne vexerai personne, Stéphane Bortzmeyer qui est ingénieur réseau et qui est spécialiste mondial du DNS ; on peut le dire comme ça, tu crois ? Si, si.
| |
| − | | |
| − | [Stéphane Bortzmeyer indique plus ou moins avec les mains]
| |
| − | | |
| − | <b>Tristan Nitot : </b>Mondial.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Tristan Nitot qui est vice-président de Qwant après avoir longtemps officié pour la Fondation Mozilla et Marc Rees, célébrissime rédacteur en chef de Next INpact que, à mon avis, vous êtes un certain nombre à lire dans cette salle.
| |
| − | | |
| − | <b>Tristan Nitot : </b>J’espère que vous êtes abonnés.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Et si ce n’est pas le cas, eh bien honnêtement faites-le. Vous pouvez même vous abonner, ce que j’ai fait.<br/>
| |
| − | Peut-être, pour commencer, justement revenir un peu sur Cambridge Analytica parce que moi j’ai eu le sentiment que c’était quand même une espèce de tournant en termes de conscience des internautes sur les risques, justement, à la fois de la centralisation massive de données personnelles, de leur mésusage et aussi de ce qu’on peut en faire. Est-ce qu’on est vraiment dans ce moment de prise de conscience ? Tristan, peut-être, pour commencer.
| |
| − | | |
| − | <b>Tristan Nitot : </b>J’espère qu’on est dans une prise de conscience parce que je pense qu’aujourd’hui on est tous plus ou moins démunis face au numérique. Alors certainement, dans cette salle, un peu moins qu’ailleurs, mais il faut quand même reconnaître qu’il y a une injonction à passer au numérique et on dit à peu près à tout le monde : comment, tu n’utilises pas Google ? Comment, tu n’as pas Internet ? – ça c’était il y a quelques années. Comment, tu n’as pas de smartphone ? Comment, tu n’es pas sur Facebook ? etc., et sans jamais que les gens soient formés. À titre d’exemple, peut-être pour ceux d’entre vous qui ont un smartphone, comment ça s’est passé l’éducation au smartphone ? Ça a dû prendre 90 secondes dans une boutique Orange ou équivalent où on vous a dit : « Le bouton vert c’est pour passer des appels et ça c’est pour envoyer des textos, sinon ça c’est pour aller chercher des applications parce que vous pouvez installer des programmes comme dans un ordinateur ». Ça c’est dans le meilleur des cas. Ou alors, évidemment, vous avez une formation en informatique et, à ce moment-là, c’est autre chose. Mais 95, 98, 99 % des gens n’ont pas de formation au numérique, ils apprennent sur le tas comme ils peuvent et on les pousse dans le dos pour qu’ils avancent et qu’ils consomment toujours plus de numérique. Finalement eux qui nous éduquent, eh bien ce sont les gens qui font du commercial, du marketing : regardez comme c’est cool la Google Home, vous voyez, vous avez des trucs. Évidement, c’est extrêmement difficile de prendre du recul sur les aspects toxiques, négatifs du numérique parce qu’il ne faut jamais compter sur les services de marketing pour vous expliquer que la Google Home c’est quand même installer un micro dans votre salon ! Ça, ils ne vont pas vous le dire comme ça. Par contre les médias ont des rôles à jouer. On voit, par exemple, que la police américaine, pour la deuxième fois, vient de demander à Amazon des enregistrements issus d’Alexa pour élucider des crimes. Donc ça veut dire que le micro est quand même allumé et que donc des gens peuvent avoir accès à ces données qui ont été enregistrées chez moi.
| |
| − | | |
| − | Donc je vois dans Cambridge Analytica, dans ce scandale qui a un aspect positif en ce sens qu’il est médiatique et qu’il est aussi pédagogique. Regardez, on est capable, quand on centralise les données dans un endroit, dans les mains d’un type que j’hésiterais à peine à qualifier d’escroc parce que c’est open bar sur la data, avec des données personnelles de gens, et ce type n’hésite pas à prendre des risques de déséquilibrer la politique de son propre pays juste pour gagner de l’argent. Et ça je pense que c’est le genre de catastrophe qui a ceci de positif qu’il peut éveiller les consciences et faire comprendre que waouh ! en fait c’est grave ! Et ce qui est bien c’est que, avec Facebook, toutes les semaines on a une nouvelle grosse merde comme ça. Je pense qu’avec du matraquage, sauf si on s’y habitue, eh bien on va quand même arriver à prendre conscience qu’il y a un vrai problème.
| |
| − | | |
| − | Le dernier scandale est révélé par un article du <em>New York Times</em> sorti il y a trois jours ; deux semaines avant c’était sur la publicité sur les élections des <em>midterms</em> aux USA, qui est quand même complètement dingue. Si on rembobine 2018, en janvier 2018 Mark Zuckerberg écrit sur son Facebook, visible par tous : « 2018 est l’année où je répare Facebook ! » Ça janvier ! Févier, on se rend compte qu’il offre un VPN gratuit à ses utilisateurs mais en échange de quoi il espionne votre usage, il passe par le VPN, sur les applications concurrentes. Ça c’était févier : il avait déjà commencé à réparer, on voyait des durs au boulot.<br/>
| |
| − | Mars-avril ou mai je ne sais plus.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>C’est mars.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Mars, Cambridge Analytica ; super Mark, pas celui-là [Tristan indique Marc Rees], Mark Zuckerberg, surtout tu ne changes rien, c’est bien, on voit que tu répares à fond ! Et là, ensuite, les différents trucs, les <em>midterms</em>, etc. Les <em>midterms</em>, c’est-à-dire qu’on l’accusait déjà avoir été instrumental dans le bricolage des élections américaines et le mec, six mois plus tard, il rempile avec les publicités politiques mensongères ! Il est toujours très dur à réparer Facebook ! Moi j’ai hâte de voir 2019 !
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Il semble qu’il a un problème de ???, de relations publiques ce temps-ci. Je voyais Marc qui voulait réagir. Marc Rees.
| |
| − | | |
| − | ==13’ 23==
| |
| − | | |
| − | <b>Marc Rees : </b>Oui, pas l’autre Mark !
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Je sens que ça va être un <em>running gag</em> jusqu’à la fin de cette table ronde.
| |
| − | | |
| − | <b>Marc Rees : </b>En fait, ce qu’a dit Tristan est très juste, mais je crois que la problématique en question a été accentuée, aussi, par un défaut d’information. Pour revenir aux fondamentaux de l’affaire Cambridge Analytica, on est parti d’une application, un questionnaire de personnalité comme on en a tout plein sur Facebook et qui sont très pénibles. Des gens ont répondu naïvement, gentiment, bon ! Peut-être qu’ils s’ennuyaient et, à partir de ce pétrole, grâce aux autorisations qui étaient ouvertes par Facebook à l’époque, les gens qui étaient derrière cette application ont pu tracer, déjà faire un <em>social graph</em>, un graphe social des personnes qui ont répondu, mais également ont pu le faire avec toutes les personnes qui étaient dans les contacts de chacun des répondants.<br/>
| |
| − | La problématique que tu as soulevée est très juste, celle de la centralisation, mais elle est doublée et aggravée par un défaut d’information. Parce que si on avait dit aux gens : « Tu vas répondre à un questionnaire de personnalité pour savoir si tu aimes les spaghetti ou les ravioli – bon ! –, mais en plus moi, derrière, ça va me permettre de faire des pubs ciblées sur les Afro-américains pour rapporter des propos de Clinton ou autres afin de jouer sur une élection », peut-être que l’individu n’aurait pas répondu tel qu’il l’a fait. Cette problématique du défaut d’information je pense qu’elle est fondamentale et le RGPD, tu l’as cité, on y reviendra, peut apporter des solutions.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Stéphane, pendant qu’on préparait cette table ronde, tu disais ce qui est intéressant aussi avec cette histoire de Cambridge Analytica, c’est qu’on comprend bien un des enjeux et des problèmes du <em>big data</em>, c’est qu’à partir de plein de données, en fait on en construit d’autres. Ce sont les croisements et les rapprochements.
| |
| − | | |
| − | <b>Stéphane Bortzmeyer : </b>C’est vrai que la plupart des gens, quand on leur parle de problème des données personnelles et de fuite de données personnelles, ils pensent à un secret particulier qu’ils ont et paf ! il serait découvert : j’ai une Ferrari cachée et paf ! le fisc vient de l’apprendre et il va me faire un redressement fiscal pour ça. Ce problème existe, bien sûr, mais tout le monde n’a pas forcément un secret comme ça bien spectaculaire et c’est pour ça que beaucoup de gens se disent « moi je n’ai rien à cacher ». Par contre, tout le monde a plein de petites informations éparpillées un peu partout dont aucune n’est vraiment très grave, mais qui mises ensemble, corrélées, nourries d’autres informations, peuvent arriver à déterminer des profils intéressants et faire soit des messages politiques ciblés, soit demain on acceptera ou on refusera de vous faire un prêt ou un contrat d’assurance à cause de ça, voire on vous surveillera ou on vous refusera un boulot à cause de ça. Et je crois que c’est vraiment là que le <em>big data</em> est quelque chose de spécial par rapport aux autres violations des données personnelles qu’on avait eues avant, c’est qu’on peut déduire des choses que les gens n’ont pas dites explicitement.<br/>
| |
| − | J’avais vu l’autre jour un rapport d’une boîte qui voulait savoir quels étaient ses <em>followers</em> sur Twitter et qui avait payé un service que fait Twitter ; on les paye, ils vous font un rapport avec les caractéristiques de vos <em>followers</em>. Et dans le lot il y a plein d’informations que les gens n’ont pas mises. Par exemple il y avait s’ils étaient propriétaires ou locataires de leur maison, ce qu’on ne met pas explicitement quand on ouvre un compte Twitter, mais qui peut être déduit de toutes les informations qu’on a par ailleurs. E c’est là, je crois, où est le danger et c’est dangereux pour deux raisons. C’est que un, beaucoup d’utilisateurs ne comprennent pas encore le pouvoir de ces recoupements, de ces informations éparpillées qui finissent par dessiner un profil alors même que chacune paraissait assez inoffensive : je suis copain avec machin, c’est un peu inoffensif. Mais si, par exemple, la majorité des gens avec qui on est copain partage telles idées politiques, comme souvent ce qui se ressemble s’assemble, Facebook peut en déduire les opinions politiques qu’on a alors que chacune des informations n’était pas très grave.<br/>
| |
| − | Donc cette absence de compréhension de l’importance du recoupement est un premier problème. Le deuxième est que ça rend difficiles les actions puisque chaque fuite de données, comme ça, n’est pas très importante en elle-même, mais c’est le nombre qui fait le problème. Et l’appareil, par exemple légal, n’est pas vraiment prévu pour ça. Il est prévu pour des crimes bien identifiés d’ampleur qui justifie qu’on poursuive les gens ou les entreprises et qu’on les condamne et c’est beaucoup plus délicat de poursuivre plein de petites fuites qui, chacune, n’est peut-être pas très grave mais qui, ensemble, finissent par faire une vraie violation des données personnelles.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Marc.
| |
| − | | |
| − | <b>Marc Rees : </b>À l’université de Cambridge cette fois-ci, qui n’a rien à voir avec Cambridge Analytica, il y a des études en psychométrie qui ont été faites et qui démontrent ou, en tout cas, laissent à penser qu’à partir de 68 « like » sur Facebook on peut deviner la couleur de peau d’une personne à 88 %, je ne sais plus si c’est 88 ou 89. De même on peut déduire à partir de ce même lot de « like » l’orientation sexuelle d’une personne. À partir de 150 « like » on peut connaître une personne mieux que ses parents. Voilà !
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>On a commencé à parler un peu du Règlement général sur la protection des données qui est donc entré en application, je ne voudrais par dire de bêtise, c’est le 23 mai.
| |
| − | | |
| − | <b>Marc Rees : </b>25 !
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>25, bon ! J’en ai dit une. Tant pis ! Marc, toi qui l’as lu en large en long et en travers, qui as publié des commentaires article par article si mes souvenirs sont bons, qu’est-ce qu’il nous apporte ce texte, finalement ? Beaucoup de gens sont persuadés que c’est une avancée et je pense qu’ils ont raison. Si on devait résumer et dire finalement sur quel terrain ça permet de progresser et notamment par rapport aux questions qu’on vient d’aborder ?
| |
| − | | |
| − | <b>Marc Rees : </b>Les avantages, enfin les évolutions sont multiples.<br/>
| |
| − | Première : auparavant, dans la logique de la loi CNIL de 78, modifiée plusieurs fois, on était dans une logique quasiment documentaire, avec une obligation déclarative de la part des responsables de traitement. Dès lors qu’on voulait réaliser un traitement de données personnelles, eh bien il fallait faire une déclaration administrative assez pénible auprès de la CNIL.<br/>
| |
| − | Le RGPD change totalement la logique. Il rentre dans un système de responsabilisation, c’est-à-dire qu’il n’y a plus de formalité préalable : tu gères des données personnelles, OK, mais tu en es responsable de A à Z, de la conception même du système jusqu’à son application. Et cette logique de responsabilité, quelque part, accompagne aussi la maturité de la donnée personnelle dans le pays. Première chose.<br/>
| |
| − | Deuxième et grande évolution c’est l’application territoriale du texte, puisque le RGPD s’applique pour toutes les entreprises qui sont établies, qui ont un lieu d’établissement en Europe, mais il s’applique également pour tous les responsables de traitement qui sont à quelque endroit sur la planète mais qui ciblent, dans leurs traitements, des données personnelles de citoyens européens. Donc il y a un vent comme ça, une mise à niveau à l’échelle de la planète pour tous les acteurs qui s’intéressent à l’Europe.<br/>
| |
| − | Évidemment, on a la partie sanctions ; la partie sanctions m’agace un petit peu ; elle m’agace un petit peu parce que souvent le RGPD a été présenté sous son versant bâton alors que Cozy Cloud et Qwant – je ne veux pas te faire de pub [en se tournant vers Tristan Nitot] –, mais Cozy Cloud et Qwant montrent qu’on peut avoir un respect de la donnée personnelle et s’en servir comme un argument marketing. Le marketing ce n’est pas sale ! Et cette partie-là est intéressante dans cette logique du RGPD ; oui il y a une partie sanction, la sanction « rgpdienne » c’est 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende, le plus haut niveau des deux l’emportant.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Ce qui n’est quand même pas anodin par rapport à ce qu’étaient les sanctions précédentes de la CNIL. On peut quand même considérer que la taille du bâton est un progrès. Non ?
| |
| − | | |
| − | <b>Marc Rees : </b>C’est un progrès et d’ailleurs ça fait assez rire puisque Facebook a été sanctionné par l’équivalent de la CNIL au Royaume-Uni de 500 mille livres sterling, c’est quasiment rien, mais le problème c’est que les faits de Cambridge Analytica sont antérieurs au 25 mai donc on applique la loi dans le temps et, malheureusement, c’est l’ancienne loi qui s’applique.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Tristan, ça crée un appel d’air le RGPD pour des acteurs on va dire plus vertueux que nos « amis » entre guillemets californiens ?
| |
| − | | |
| − | <b>Tristan Nitot : </b>De toute façon chez Qwant nous on a toujours été orientés sur le sujet donc l’avantage c’est que ça braque les projecteurs sur la problématique des données personnelles. Donc nous ça nous arrange. Déjà ça n’a pas été très compliqué chez nous parce qu’on ne collecte pas de données : Voilà ! Problème résolu. Et ça fait comprendre au grand public que oui la donnée personnelle est quelque chose d’important, donc c’était, effectivement, très positif pour Qwant.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Il y a quand même un aspect qui depuis le début me titille avec ce texte et je ne suis pas la seule, et c’est pour ça que, y compris des acteurs associatifs – La Quadrature du Net a été un des premiers à le faire, il y a eu une association en Allemagne, maintenant c’est l’Internet Society – s’appuient sur le RGPD pour déposer des plaintes, en fait, que ce soit auprès de la CNIL ou au civil, c’est qu’il y a un enjeu assez énorme, semble-t-il, de jurisprudence, parce que la question de l’intérêt légitime par exemple des entreprises à la collecte et au traitement des données personnelles, ça va demander à être affiné. Marc, il y a vrai enjeu aussi de ce point de vue-là ?
| |
| − | | |
| − | <b>Marc Rees : </b>Oui. Il faut juste préciser que lorsque vous êtes responsable de traitement il y a différentes portes de justification qui vous autorisent à collecter de la donnée personnelle. La plus simple c’est le consentement de la personne : « M’autorisez-vous à collecter vos données personnelles pour faire un traitement ? » Ça c’est le consentement. Il y a cinq autres justifications et, parmi les cinq autres justifications, parmi les mesures liées par exemple aux questions de sécurité nationale ou par la force de la loi on a ce qu’on appelle l’intérêt légitime. C’est-à-dire qu’un responsable de traitement peut dire : « Moi j’ai un intérêt légitime à collecter vos données personnelles » et, en passant par cet argumentaire, on évince la question du consentement.<br/>
| |
| − | Et cette problématique d’intérêt légitime, qui préexistait au RGPD, là, effectivement, on est en attente forte de doctrine d’application très concrète pour tous les articles. Juste pour vous signaler la chose, le RGPD c’est 200 pages, c’est 99 articles, 173 considérants. Il y eu 4000 amendements au Parlement à Strasbourg. Et quand vous injectez ça dans un système juridique aussi vaste que l’Europe, ce n’est pas neutre, ce n’est pas tous les jours qu’on a un tel véhicule. Donc on a besoin de ce recul, notamment pour la question des cookies par exemple : peut-on ou non collecter des cookies plus ou moins publicitaires ? Pour le savoir, par exemple, je me suis amusé à « attaquer », entre guillemets, la boutique de l’Élysée, qui a fait pas mal de bruit, devant la CNIL, parce que j’ai considéré que les conditions générales d’utilisation, notamment la partie données personnelles, soulevaient des questionnements métaphysiques et donc j’ai saisi officiellement la CNIL.
| |
| − | | |
| − | <b>Tristan Nitot : </b>C’est comme ça que tu es lié à l’affaire Benalla, puisque c’est Benalla…
| |
| − | | |
| − | <b>Marc Rees : </b>Oui ! Ils t’attendent d’ailleurs.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Ah non ! Moi je ne peux pas courir, arrête tes conneries.
| |
| − | | |
| − | <b>Marc Rees : </b>Justement !
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Tout s’explique. C’est vrai que du coup on a à la fois un texte européen qui, maintenant, est regardé avec envie par certains parlementaires américains, ça fait toujours plaisir ! Ce sont plutôt des parlementaires démocrates, ils ne sont pas encore très nombreux, mais il y en a qui commencent à dire que peut-être il faudrait faire comme l’Europe et réguler. Donc on a un appui juridique, y compris pour aller chercher des crosses [crasses ?] à ces acteurs-là.<br/>
| |
| − | Il y a quand même une partie du problème qui est leur nature même, leur business modèle et le fait que, effectivement, tout ça repose sur une hyper-centralisation des données. Je me souviens avoir vu des conférences de toi notamment, Stéphane, où tu disais le problème c’est que quand on veut faire un équivalent de Facebook ou un équivalent de Twitter, finalement ce n’est pas si simple. On a vu les tentatives. Est-ce qu’on a quand même une chance, à un moment donné, d’y arriver ? C’est-à-dire à faire émerger, je ne sais pas, des réseaux sociaux qui soient des réseaux sociaux vertueux, de manière, on va dire, massive, pas seulement pour quelques <em>happy few</em> comme c’est encore le cas aujourd’hui malheureusement.
| |
| − | | |
| − | ==25’ 55==
| |
| − | | |
| − | <b>Stéphane Bortzmeyer : </b>C’est vrai que c’est un argument qu’on entend très souvent en faveur de Facebook qui est : mais les gens sont volontaires ; ils mettent leurs données volontairement. On parle des fois de paradoxe en disant d’un côté ils sont au courant de Cambridge Analytica, mais de l’autre ils continuent à donner leurs données à Facebook et c’est d’ailleurs l’argument choc de Facebook : on n’a pas forcé les gens, ils sont volontaires.<br/>
| |
| − | Cet argument est malhonnête pour tout un tas de raisons, certaines déjà citées, mais il y en a une sur laquelle j’insiste, c’est : le consentement n’est pas éclairé. La notion de consentement éclairé est une notion qui existe dans pas mal d’aspects du droit, par exemple dans le domaine éthique c’est en médecine, quand on fait des expériences sur les gens, ils doivent non seulement donner leur consentement mais un consentement éclairé. Parce que ça fait longtemps qu’il y a cette histoire de consentement en médecine et pendant longtemps c’était « tu es d’accord, mets une croix ici ». Ce n’est pas du tout un consentement éclairé dans ce cas-là quand il s’agit d’expériences un peu compliquées.<br/>
| |
| − | Là, ans l’état actuel de la formation informatique de la plupart des gens, il n’y a pas vraiment de consentement éclairé. La plupart des gens ne se rendent pas compte que le simple fait de regarder une page avec le bouton « like » de Facebook, pouf ! des informations sur eux sont enregistrées même s’ils n’ont pas de compte Facebook d’ailleurs.<br/>
| |
| − | De même beaucoup de gens sous-estiment les capacités de recoupement quand on a beaucoup de données différentes.
| |
| − | | |
| − | Actuellement je ne vois pas de paradoxe dans le fait que les gens continuent à utiliser Facebook, c’est qu’ils ne s’en rendent pas compte. Ce qu’il faudrait faire pour Facebook, si on veut vraiment faire changer les choses, c’est non pas que les gens lisent les conditions d’utilisation que un, ils ne liront pas et de toute façon elles sont conçues pour être trompeuses, ce qu’il faudrait c’est, par exemple, que les gens fassent tous un stage d’une semaine dans un service de <em>big data</em> de Facebook pour voir ce qu’on arrive à faire avec les données, les informations qu’on arrive à extraire, à déduire. Là ils verraient un peu plus ce à quoi servent leurs données et ça pourrait entraîner une prise de conscience.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Je viens de recevoir un texto de Mark Zuckerberg, il n’est pas d’accord ! Que tu envoies deux milliards de personnes faire un stage d’une semaine, il ne veut pas, en fait !
| |
| − | | |
| − | <b>Stéphane Bortzmeyer : </b>Eh bien oui, c’est un peu ça. Donc il n’y a pas de consentement éclairé. C’est pour ça que, disons les choses franchement, il n’y a pas de scrupules à avoir à s’inscrire sur Facebook et à violer leurs règles d’utilisation parce que, de toute façon, c’est gravement asymétrique ; elles sont faites pour être incompréhensible et on ne vous dit pas l’essentiel.<br/>
| |
| − | Pour tout changement comme celui que tu citais, c’est-à-dire que les gens migrent de Facebook, le préalable est probablement, à part une catastrophe majeure et encore ! Après Cambridge Analytica, on se demande qu’est-ce qu’il faudrait comme catastrophe majeure pour que les gens migrent.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Ceci dit, il y a quand même pas mal de gens aux États-Unis qui ont fermé leur compte Facebook après Cambridge Analytica, donc on voit quand même que ça peut…
| |
| − | | |
| − | <b>Stéphane Bortzmeyer : </b>Le « pas mal » est à relativiser, c’est peut-être pas mal en valeur absolue, mais ça représente une poignée des utilisateurs et ce sont les gens qui… Eugen Rochko, le fondateur de Mastodon, a annoncé aujourd’hui sur Mastodon « ça y est, j’ai fermé mon compte Facebook ! » Lui, je me doutais bien qu’il le ferait un jour ou l’autre. Ce n’est pas encore le public qu’il faut toucher.<br/>
| |
| − | En gros, je ne suis pas sûr qu’il y ait une telle migration simplement à partir d’une accumulation de scandales menant à ce que les gens bougent. D’une manière générale, et là on en revient au RGPD, on ne peut pas demander au citoyen normal d’être un guérillero de l’information, parfaitement informé, connaissant tous les trucs, ayant lu tous les articles de Marc Rees sur le RGPD.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Et pourtant ils sont bons !
| |
| − | | |
| − | <b>Stéphane Bortzmeyer : </b>Pourtant ils sont bons ! Très bien !
| |
| − | | |
| − | <b>Marc Rees : </b>Je confirme !
| |
| − | | |
| − | <b>Stéphane Bortzmeyer : </b>On les recommande, mais enfin on ne peut pas demander à des utilisateurs ordinaires d’être dans un mode militant comme ça. Et c’est bien pour ça qu’on a des lois, c’est bien pour ça qu’il y a des choses qui sont interdites même si les gens sont d’accord, c’est bien pour ça, c’est justement parce que c’est une prise en compte de l’asymétrie fondamentale des relations qu’il y a.<br/>
| |
| − | Donc je ne compte pas sur une migration massive des utilisateurs de Facebook vers d’autres réseaux. Ça existera, j’espère que ça existera, mais ça ne changera pas le problème qu’il faut aussi utiliser le bâton dont on parlait et donc taper plus fort sur Facebook pour les empêcher de faire des choses. Parce que cette idée qu’il y aura une migration c’est un peu l’idée, justement de Facebook, de dire : tant les gens ne migrent pas ça veut dire qu’ils sont d’accord en fait. Non ! Ce n’est pas comme ça que je raisonne. Quand il y a une telle asymétrie d’information entre l’utilisateur et la boîte, on ne peut pas compter uniquement sur des décisions individuelles. À un moment il faut que l’État, la collectivité, la politique, prennent leur bâton et tapent sur Facebook.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Ceci dit, le problème que je soulevais c’est que ce n’est pas que la question du bâton, c’est aussi la question d’avoir des offres qui font qu’il y a possibilité aussi d’aller ailleurs. On voit bien. L’État est le premier à ne pas donner l’exemple ! Quand on voit le nombre d’universités qui ont leurs mails chez Gmail, par exemple, on voit bien qu’il y a un sérieux problème aussi. Tristan.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Je ne me lance pas là-dessus !
| |
| − | | |
| − | [Rires]
| |
| − | | |
| − | <b>Tristan Nitot : </b>C’est vrai. En fait on parlait tout à l’heure, c’est compliqué. Je suis vraiment en empathie avec les organisations, en particulier dans l’Éducation nationale, où c’est super compliqué. Je donnais une table ronde l’autre jour au 110 bis donc au ministère de l’Éducation nationale et quelqu’un, dans le public, me dit : « Qu’est-ce que vous voulez qu’on fasse nous, dans l’Éducation nationale ? » Et je lui ai dit directement : moi je n’aimerais vraiment pas être à votre place. Ce n’est pas facile. Vous êtes dans l’Éducation nationale, vous avez des bouleversements, vous avez des besoins, vous n’avez pas de crédits, vous n’avez pas de budget et vous avez des profs qui ne sont pas faciles à former ; vous avez des élèves qui sont turbulents, qui en savent parfois plus que les profs, etc., et vous êtes coincés ! Et vous avez une main secourable et totalement « désintéressée » d’une grande multinationale américaine qui vient vous proposer de l’aide en vous disant « je vais vous former des profs et je vais vous filer des outils gratuits, etc. » Mais c’est super dur de dire non. C’est vraiment super dur. Je pense qu’il faudrait dire non. Parce que, par exemple, quand un Microsoft te dit : « Je vais vous mettre en place des espaces où ils vont pouvoir stocker les notes des apprenants – c’est comme ça qu’on dit – donc des élèves, mais de tous les âges, et qu’on réalise que, quand même, Microsoft a acheté LinkedIn ! LinkedIn c’est le réseau social des professionnels qui sert énormément pour l’embauche. Vous imaginez le jour où, en fait, et ça arrivera parce que le pire n’est jamais certain mais dans ce cas-là on a quand même un peu l’habitude que ça arrive, que, finalement, on arrive à connecter les données des individus : est-ce qu’ils ont réussi en maths ou pas ? Est-ce qu’ils ont bien compris la division euclidienne ou pas ? En combien de séances ? Etc. Et puis derrière LinkedIn. On imagine LinkedIn dans 20 ans. LinkedIn avec toutes les data des élèves qui transitent. Qu’est-ce que ça veut dire ? Ça veut dire que les algorithmes de <em>deep learning</em> ne vont pas vous proposer tel ou tel job parce que, la division euclidienne, vous avez du mal à la capter, vous avez mis six leçons au lieu de quatre, donc on ne va pas vous proposer tel ou tel job. Et ça c’est extrêmement préoccupant.<br/>
| |
| − | Alors on va me dire « ouais, Nitot, il est parano, etc. » Je voudrais juste vous donner un exemple : Google, en 2009, rachète DoubleClick qui est la régie publicitaire de publicité ciblée. Et là il y a une levée de boucliers médiatique et des activistes qui disent : « Mais attendez, Google, vous réalisez là ? Ça fait des années que vous offrez Gmail, vous avez énormément de données personnelles sur les gens, leurs préférences, leurs goûts, qu’est-ce qu’ils se disent dans les mails, quels sont leurs contacts, etc. Vous avez leur historique de navigation, vous savez tout ce qui les préoccupe à l’instant même où ça les préoccupe. Vous savez incroyablement bien, vous connaissez incroyablement bien chaque individu. Et là vous achetez DoubleClick qui est quand même la régie publicitaire pour de la publicité ciblée. C’est super dangereux de rapprocher les deux. » Et là Google, la main sur le cœur, le regard sur la ligne bleue des Vosges fait : « Non, non ! Ne craignez rien ! Je ne vais jamais rapprocher les deux ! »
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Plutôt le Grand Canyon quand même, peut-être !
| |
| − | | |
| − | <b>Tristan Nitot : </b>Ou le Grand Canyon si tu préfères, c’est beau ! « Je ne rapprocherai jamais les deux ! » Et l’été 2017 ou 2016 arrive, je ne sais plus, et en plein mois d’août, nouvelle <em>privacy policy</em> et cette muraille de Chine qu’ils avaient instaurée en 2009 saute à ce moment-là. La <em>privacy policy</em> évolue et le rapprochement entre les deux n’est plus interdit. Et Google l’a fait complètement silencieusement, sous la pression concurrentielle de Facebook qui commençait à devenir trop performant avec ses publicités.<br/>
| |
| − | Donc c’est terrible de voir ces deux géants, un qui est plutôt sympathique, franchement je trouve que Google c’était une bonne boîte à une époque, et un qui est franchement malhonnête et là on voit le malhonnête qui pousse le plus honnête des deux à l’imiter. Donc c’est la course vers le fond de la mare pour aller dans la vase et nous on est juste les victimes du truc. Donc c’est extrêmement préoccupant. Voilà pourquoi il faut faire attention.
| |
| − | | |
| − | <b>Amaëlle Guiton : </b>Ceci dit, on a beaucoup parlé là des acteurs privés, on a dit pas mal de mal de Facebook, de Google, de Microsoft. Je ne voudrais quand même pas qu’on oublie totalement les pouvoirs publics. Marc j’aimerais bien que tu en dises un petit mot. Vous avez peut-être vu passer récemment cette idée, qui a donc germé à Bercy, d’aller faire du <em>big data</em> à partir de données publiques sur Facebook, sur Instagram, etc., pour trouver d’éventuels fraudeurs fiscaux. On voit bien comment tout ça peut un peu partir en sucette, le plus beau étant que, manifestement, le ministère n’a pas jugé utile de demander son avis préalable à la CNIL avant de faire ces annonces. Donc on voit que le <em>big data</em> ça fait saliver tout le monde, y compris, d’ailleurs, des gens qui ne s’embarrassent pas tellement de savoir s’ils ont le droit de faire ça comme ça ou pas.
| |
| − | | |
| − | <b>Marc Rees : </b>Alors que la loi CNIL, telle que modifiée suite au 25 mai et la mise en application du RGPD, impose, enfin recommande hautement de se souvenir de l’existence de la CNIL. Mais bon ! Certains l’oublient.<br/>
| |
| − | L’idée de Bercy c’est quoi ? C’est d’exploiter les profils publics des abonnés des réseaux sociaux, il n’y a pas forcément que Facebook, pour essayer de trouver des indices, pas des preuves, des indices de potentielle étrangeté fiscale du type, je ne sais pas, une personne qui déclare avoir 1000 de revenus, s’affiche régulièrement en Ferrari ou en Prius, j’ai une Prius, sur le réseau social. Là encore ça montre un petit peu l’idée qui est derrière, c’est d’exploiter des données qui sont publiques, de manière industrialisée, pour essayer de dénicher des discordances avec les déclarations fiscales.<br/>
| |
| − | Ces procédures existaient en droit fiscal. En droit fiscal, en procédure fiscale il y a l’examen de la situation fiscale personnelle qui permet de déduire un revenu à partir des dépenses effectuées par un contribuable. Là on est plus en amont, c’est-à-dire qu’on essaie de trouver des signaux faibles de dépenses, mais aussi de résidence fiscale. Sis par exemples une personne se domicilie, je en sais pas, au Luxembourg alors qu’elle passe six mois plus un jour en France – en tout cas c’est ce qu’indiquent les métadonnées qui sont associées à son compte sur Facebook – peut-être que c’est un peu bizarre. Peut-être que ce contribuable luxembourgeois finalement il est français et il essaye d’échapper à l’impôt. Après l’idée c’est de lâcher un inspecteur extrêmement efficace sur ce dossier-là pour qu’il vérifie s’il y a ou non évasion.
| |
| − | | |
| − | <b>Tristan Nitot : </b>J’aime bien quand tu fais « ce dossier-là », on dirait vraiment un pitbull, tu vois !
| |
| − | | |
| − | <b>Marc Rees : </b>Oui.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Moi je vais te troller quand même !
| |
| − | | |
| − | <b>Marc Rees : </b>Trolle.
| |
| − | | |
| − | <b>Tristan Nitot : </b>Je vais te dire, moi j’adore cette idée. J’aimerais beaucoup que ça fasse un scandale médiatique parce que ça permettrait de prendre conscience. Tous les gens qui te disent : « Ah ouais, mais moi je n’ai rien à cacher », que tout d’un coup, quand on commence à s’attaquer à leur pognon parce qu’ils fraudent le fisc, finalement peut-être que oui, ils ont quelque chose à cacher. Donc encore une grande leçon, en fait, de numérique qui arriverait avec cette histoire : « tu vois bien que tu as des trucs à cacher ! » Ça c’est ma petite satisfaction personnelle. Monsieur n’a pas l’air d’accord. C’est un troll, ça n’attend pas de réponse
| |
| − | | |
| − | ==39’ 04==
| |
| − | | |
| − | <b>Public : </b>Je ne suis pas d’accord.
| |
