Protection des données personnelles : souriez, vous êtes traqués ! - La méthode scientifique

De April MediaWiki


Titre : Protection des données personnelles : souriez, vous êtes traqués

Intervenants : Anne Debet - Antoinette Rouvroy - Nicolas Martin - Céline Loozen - Alain Livartowski - Thomas Balezeau

Lieu : La méthode scientifique - France Culture

Date : 23 mai 2018

Durée : 58 min 45

Écouter ou télécharger le podcast

Page de présentation de l'émission

Licence de la transcription : Verbatim

Illustration :

Statut :En cours de transcription par D_O

Description[modifier]

Comment sont exploitées nos données personnelles sur internet ? Que va changer le RGPD dans les pratiques numériques ? Quels en sont les grands principes et les applications pour les sociétés et les citoyens en UE ? Nos données personnelles seront-elles désormais totalement protégées ?

Transcription[modifier]

[Début du générique]

Nicolas Martin : Après avoir répondu assez vasivement aux questions du parlement européen hier notamment suite au scandale de détournement de données par Cambridge Analytica, le patron de Facebook Mark Zuckerberg a été reçu aujourd'hui avec les patrons de d'autres géants du numérique comme Microsoft, IBM ou Uber par le président de la république Emmanuel Macron. Ce à quelques jours de l'entrée en vigueur du RGPD, le nouveau Règlement Général de Protection des Données censé protéger les citoyens européens contre l'exploitation abusive de leurs données numériques. Mais les états et les pouvoirs publics sont-ils en mesure de lutter à armes égales avec ces mega trusts privés ?

[Suite du générique]

Nicolas Martin : Données personnelles : souriez, vous êtes traqués ! C'est le sujet auquel nous allons nous atteler dans l'heure qui vient. Bienvenue dans la méthode scientifique.

[Fin du générique]

Nicolas Martin : Et pour comprendre les implications de cette nouvelle RGPD, de ce nouveau RGPD puisque c'est un règlement qui entre en vigueur vendredi et plus généralement de nos usages d'internet et de l'emploi que nous faisons de nos données personnelles et d'une partie de notre privée, nous avons le plaisir de recevoir aujourd'hui Anne Debet. Bonjour.

Anne Debet : Bonjour.

Nicolas Martin : Vous êtes professeure de droit privé, droit des nouvelles technologies, droit de la santé et droit civil à l'université Paris Descartes et ancienne membre de la CNIL. Bonjour Antoinette Rouvroy.

Antoinette Rouvroy :Bonjour.

Nicolas Martin : Vous êtes juriste et philosophe du droit, professeure à l'université de Namur, chercheuse FNRS au centre de recherche en information droit et société. Vous pouvez suivre cette émission comme chaque en direct sur les ondes de France Culture et en complément avec un certain nombre de liens, d'articles, de schémas, de graphiques si il le faut, de vidéos, d'images... Bref ! Tout le toutim. Ce sera sur notre fil Twitter @lamethodeFC.

[Extrait de l'audition au congrès américain de Mark Zuckerberg] Voix féminine : Est ce que vos données étaient incluses dans la fuite de Cambridge Analytica? Vos données personnelles? Mark Zuckerberg : Yes! Voix féminine : Seriez-vous prêt à changer votre Business Model dans l'intérêt de défendre la vie privée des usagers? Mark Zuckerberg : J'espère, enfin, on a déjà tenté quelques modifications afin de réduire [interrompu la voix féminine] voix féminine : Non ! Avez-vous la volonté de changer votre Business Model afin de garantir et protéger la vie privée? Mark Zuckerberg : Madame la députée, je ne suis pas sûr de comprendre ce que vous voulez dire.

[Fin de l'extrait]

Nicolas Martin: Voilà, c'est un extrait de l'audition de Mark Zuckerberg,le patron de Facebook. Alors c'était devant le Congrès américain et non pas devant le Parlement européen, où il s'exprimait hier. Parce que c'est vrai que devant le Parlement Européen, il a été un peu moins mis à mal qu'il n'y a quelques semaines où sa prestation devant le congrès américain avait été jugée embarrassé et embarrassante. Que faut-il retenir des auditions de Mark Zuckerberg devant le Parlement Européen hier au premier chef et plus généralement devant ces assemblées représentantes des citoyens élus? Annette Rouvroy ?

Antoinette Rouvroy: Alors, euh, et bien, le format de l’événement, finalement, n'a pas nécessairement permis de faire toute la lumière sur précisément ce vis à vis de quoi on espérait que Mark Zuckerberg ferait la lumière. Il se fait que pendant extrêmement longtemps, les représentants ont posé des questions, beaucoup de questions, pas toutes du même niveau, pas toutes aussi détaillées, pas toutes aussi pertinentes, certaines plus intéressantes que d'autres et puis on a laissé à Mark Zuckerberg la liberté de choisir les questions auxquelles ils répondraient [Coupure par Nicolas Martin : vous parlez du Parlement Européen là pour le coup, ce qui c'est passé hier? ]

Antoinette Rouvroy: Oui, il a choisi de répondre relativement évasivement à certaines questions, en indiquant que ces services reviendraient, éventuellement par écrit, pour compléter ses réponses. Donc, c'était un peu décevant.

Nicolas Martin : Votre opinion Anne Debet ?

Anne Debet : Oui, j'ai la même opinion, ce qu'on peut espérer c'est que, parallèlement à ces auditions, il y a quand même des enquêtes qui ont été ouvertes par les autorités de protection des données, qui se sont saisis de la question : le G29, qui est la super CNIL européenne a décidé de poser des questions. Et l'ICO, l'autorité de protection des données britannique, puisque la société était installée en Grande Bretagne [Intervention de Nicolas Martin: "Cambridge Analytica, en l’occurrence"] a décidé de mettre en œuvre une procédure d’enquête.Et donc on peut espérer qu'à la suite de ces procédures, il y aura peut être des sanctions, enfin des modifications des pratiques liées aux sanctions, donc on a une phase, qui est une phase politique. Et donc on peut espérer une phase plus juridique devant les autorités de protection sera suivie d'effets concrets.

Nicolas Martin : Et puis on va voir d'ailleurs, on va en parler dans quelques minutes, que ce RGPD, il y a certaines associations, dont des associations en France qui attendent qu'il entre en vigueur pour intenter aussi un certain nombres d'actions en justice, je pense à la quadrature du net, on y reviendra tout à l'heure dans le détail. Peut-être un mot sur la suite de cet agenda ou de cette partie politique de l'agenda, puisque je le disais tout à l'heure Mark Zuckerberg a été reçu, il n'était pas tout seul, avec les patrons de Microsoft, d'IBM, d'Uber, des représentants de Google, de Wikipédia, d'Intel, de Samsung et j'en passe, bref, tout ce monde a été reçu à l’Élysée, alors pas exactement à l’Élysée, mais en tout cas par le Président de la République, même dans des entretiens bilatéraux; alors on qualifie en général d'entretien bilatéral des entretiens avec des autres dirigeants de grands pays. Que faut-il penser? Est-ce-que l'on fait les gros yeux d'un côté et de l'autre coté, on dit mais attendez, venez tout de même chez nous, créer des emplois et puis si vous pouviez en plus payer quelques impôts, ce serait pas plus mal. On a l'impression que l'on a un peu deux poids deux mesures dans ces différentes interactions entre ces géants du numérique et la sphère publique. Antoinette Rouvroy?


Antoinette Rouvroy: Oui, alors effectivement, il y a là une sorte de reconnaissance implicite d'une puissance énorme de ces grosses entreprises, puissance tellement importante qu'effectivement elles acquièrent une sorte de statut diplomatique, ce sont de quasi états avec lesquels les états entrent en discussion. Alors, de fait, ce sont ces GAFAM aujourd'hui qui structurent ce qu'on appelle, ce qu'on peut appeler, l'espace public mondial.

Nicolas Martin : GAFAM, on va juste rappeler : Google, Amazon, Facebook, Appel, Microsoft.

Antoinette Rouvroy: Voilà, c'est ça, les plus gros acteurs.

Nicolas Martin : On pourrait rajouter Uber, on pourrait rajouter RB&B, enfin bref, ça autre chose encore.

Antoinette Rouvroy: Ces nouveaux acteurs. Alors effectivement, il y a en même temps, comme vous le dites très bien, quelque chose d'assez contradictoire, d'assez paradoxal entre, d'un côté, on essaie de faire peur à ces GAFAM avec le RGPD et enfin l'Europe qui se serait munie de dents nouvelles pour mordre aux mollets dans ces GAFAM. Et en même temps, les pays européens, courtisent un petit peu ces entreprises pour les attirer chez elles,y compris en France notamment, on voit d'ailleurs, des entreprises comme Google intervenir de plus en plus dans le paysage universitaire, dans le paysage de la Recherche Fondamentale, etc, en France donc. C'est assez paradoxal, et c'est assez symptomatique de l'époque dans laquelle on est, qui est une époque qui est, je dirais, caractérisée par une pulsion d'optimisation, une pulsion d'optimisation tout azimut. Donc à partir du moment où il y a moyen d'optimiser sa place concurrentielle, en fait ces enjeux d'innovation sont des enjeux de compétitivité, bien entendu, et les États Européens, se rendent bien compte qu'ils sont en concurrence avec les pays asiatiques, avec les États-Unis et cherchent à se faire une place, à se tailler une place dans ce nouveau secteur, qu'est l'intelligence artificielle. Et qui d'autres que ces grands groupes, qui possèdent des quantités, les plus massives de données sont à même de développer l'intelligence artificielle? Alors, ce sont effectivement des débouchés pour les chercheurs européens, et effectivement pour des chercheurs, pour des universitaires,pour des gens des Hautes Écoles,que ce soit d'ailleurs, en sciences dures ou dans les sciences humaines, il est extrêmement tentant et difficile de résister, en fait, à la possibilité qui s'ouvre de collaborer avec ces grandes plateformes, qui ont des quantités massives de données, qui sont de véritables eldorado pour la recherche. Et des moyens aussi, bien entendu, démesurés. Et donc on voit là, la difficulté, donc si vous voulez, d’être tout à fait cohérent dans l'approche qu'on peut avoir, dans les rapports qu'on peut avoir avec ces acteurs.

Anne Debet : Sur ce point, vous avez mentionné une concurrence entre l'Asie et l'Europe, mais il y aussi, malheureusement, une concurrence en Europe, c'est à dire qu'il y a des pays qui accueillent des GAFAM a bras ouverts. Nicolas Martin : Notamment du point de vue fiscal, hein? Anne Debet : oui, Nicolas Martin : on s’entend. Anne Debet : oui, mais aussi de la protection des données, qui ne sont pas très, il y a des autorités qui sont moins regardantes que la CNIL, sur la manière dont les données sont traitées. Nicolas Martin : Par exemple? Anne Debet : L'Irlande, par exemple, où... Nicolas Martin : pour le point de vue fiscal de la même façon, hein

Anne Debet : oui,oui, est installé, donc il y a quand même une concurrence, il faut espérer, on verra que le RGPD puisse résoudre toutes ces questions de concurrence et de divergence. Et enfin, je voudrais ajouter juste un deuxième point : c'est que c'est vrai qu'on parle beaucoup des GAFAM, pour la protection des données, et que c'est au centre de toutes les conversations, mais, je pense qu'il ne faut pas oublier aussi que la surveillance publique, c'est vraiment une question importante. Alors, qui peut être liée à toutes ces données que possèdent les GAFAM; puisqu'on a vu dans les scandales SNOWDEN que ces données sont ensuite transférées aux autorités publiques. Mais il ne faut pas non plus oublier cette question de la surveillance publique, à mon sens.


Nicolas Martin : Et un mot tout de même, sur ce côté un petit coup de trique une grosse carotte? C'est à dire qu'on vous dis "Attention" on vous mets de l'RGPD; mais tout de même, de l'autre côté, on vous reçoit avec les honneurs et sous les ordres de la République, en espérant grignoter des parts de marché ou en tout cas des installation, des créations d'emplois, des installations de sièges sociaux et peut être un peu moins de contravention ou de contrevenance plutôt par rapport au Fisc et au Trésor Public? Enfin en tout cas, voilà à la taxation?

Anne Debet : Je pense qu'il y a toujours une forme de divergence entre la volonté politique , parfois et la volonté économique et on le voit aussi sur le RGPD et sur la CNIL. C'est à dire qu'on dit à la CNIL : Attention, vous devez réguler en étant Bussiness Friendly, enfin, il ne faut pas que le RGPD soit un frein pour l'activité économique et en particulier l'activité économique en France. Donc il y a toujours, parfois, des logiques un peu différentes, entre l'action politique, la volonté politique et les enjeux économiques, et puis les questions juridiques.

10'51 musique

11,03

Nicolas Martin : Et à 16H10 sur France culture, nous parlons de données personnelles, et plus précisément, du RGPD, le Règlement Général de Protection des Données, qui a été voté, c’est une loi européenne qui a été votée par le parlement européen, le 14 avril dernier et qui entre en vigueur, vendredi , après demain , le 25 mai . Peut-être avant de raconter ce qu’il y a à l’intérieur, une question simple , qui attend, qui espère une réponse finalement assez courte : est-ce que simplement, selon vous, le RGPD peut inquiéter les patrons du numérique ?Anne Debet ?

Anne Debet : C’est une question compliquée. Alors, d’abord le RGPD ce sont des nouvelles règles mais néanmoins, il y a quand même déjà des règles qui existaient, ce n’est pas tout nouveau, donc est ce que cela peut inquiéter les partons du numérique ? cela les inquiète. En ce moment, on voit notamment dans le cadre de la publicité sur internet une grande inquiétude sur l’interprétation de certaines notions dans le RGPD. Je pense que ça peut inquiéter les patrons du numérique, mais on peut penser qu’eux ils sont sensibilisés à toutes ces questions. Et je pense que c’est aussi une source d’inquiétude très forte pour les petites entreprises, pour toutes les sociétés qui n’ont pas forcément les moyens de se mettre en conformité et qui vont devoir se mettre en conformité. A cela s’ajoute aussi toute une forme de business lié à mise en conformité RGPD, de manière pas toujours très honnête et très loyale et une angoisse qui est suscitée chez tous avec ce nouveau texte. Alors que l’on verra peut-être, il y a quand même des principes qui existaient déjà et qui étaient déjà appliqués.

Nicolas Martin : On va le voir dans un instant. Votre point de vue sur cela Antoinette Rouvroy ? est-ce que oui ou non le RGPD peut inquiéter Marc Zuckerberg, par exemple ?

Antoinette Rouvroy: Alors, je pense qu’une des nouveautés qu’apporte ce règlement, c’est le fait qu’il va être applicable ; il va être applicable dès lors que les données sont recueillies, collectées dans n’importe quel pays de l’union européenne alors à ce moment-là, effectivement ça étend le champ d’application du RGPD, y compris à l’étranger , donc ça c’est une chose qui est assez nouvelle. Par ailleurs, effectivement, il y a une sorte de panique liée au RGPD mais comme vous le dites très bien, effectivement beaucoup des règles contenues dans le RGPD étaient déjà contenues dans la directive 95/46 de l’union européenne qui date de 1995. Donc il n’y a pas non plus, disons matière à tant paniquer que cela. Cela dit on voit quand même effectivement des marques de panique dans des demandes qui nous arrivent dans nos boites e-mail, par exemple ; où on nous redemande notre consentement pour le traitement de nos données. Alors parfois, on reçoit des mails, d’ailleurs, on n’avait pas l’impression d’avoir jamais consentis au traitement de données, on demande un renouvellement pour mettre en conformité le traitement de données au RGPD. Et donc là, c’est une manière pour les entreprises, si vous voulez, de nettoyer un peu leurs bases de données et de se mettre en conformité mais d’une façon qui n’est pas nécessairement tout à fait loyale dans la mesure où elles vous contactent effectivement et ce faisant elle traite des données à caractère personnel et vous n’aviez pas consenti à ce traitement de données à caractère personnel. Donc ça montre quand même une certaine panique. Cela dit, et je voudrais juste revenir un tout petit instant sur cette question de la concurrence fiscale, notamment ou de la concurrence tout court dans l’union européenne. Malheureusement pas relativement à la concurrence fiscale mais à la concurrence tout court, un gros avantage de ce RGPD est quand même du fait qu’il est d’application directe, c’est-à-dire qu’il n’a pas besoin de loi de transposition pour être applicable. Il en a besoin pour être aménagé, en quelque sorte, mais il n’a pas besoin. Et du coup, ça met tous les états sur un, on appelle ça en anglais : a common level playing field ; c’est-à-dire sur le même pied, et l’idée.

Nicolas Martin :  : sur un pied d’égalité sur un champ commun.

Antoinette Rouvroy: …sur un pied d’égalité, dans un champ d’égalité et ça c’est tout à fait favorable, c’est quand même assez favorable à la concurrence, me semble-t-il.

Anne Debet : Sauf que ça c’est ce que voulait la commission européenne, et puis finalement, dans le texte que l’on a aujourd’hui, il y a quand même cinquante marges d’appréciation qui sont laissées aux Etats, c’est-à-dire qu’il y a quand même cinquante endroits, où les Etats peuvent choisir , sont libres de leur législation et on pensait qu’on allait avoir la même…

Nicolas Martin : au lieu d’adapter leur législation sur 24 articles.

Anne Debet : …oui, enfin la CNIl avait recensé 50 marges d’appréciation sur son site Internet.

Nicolas Martin : Hum, d’accord, ok

Anne Debet : …et donc, dire que l’on va avoir le même droit, ce sera pas tout à fait le cas malheureusement et ensuite les autorités de protection l’appliquent pas de la même manière, c’est ça la difficulté aussi.

15H25 :

Nicolas Martin : Peut-être faut-il, à 16H15, parler de ce RGPD approprement parlé c’est-à-dire de savoir ce qu’il y a dedans, de l’examiner un peu , peut-être pour commencer sur quelque chose que vous venez d’évoquer Antoinette Rouvroy, qui important, qui est un peu le pilier fondateur de ce RGPD, c’est le consentement express des personnes. C’est-à-dire qu’aujourd’hui, finalement, en fait, on va pouvoir continuer à exploiter les données de la même façon, du moment que tous les citoyens, que tous les utilisateurs d’internet disent qu’ils sont d’accord. Or tout le monde sait, vraisemblablement, je parle au nom de 99, j’imagine pourcent des auditeurs qui nous écoutent que personne, strictement personne, RGPD ou pas RGPD, ne lie les conditions d’utilisation des sites internet qui nous sont parvenus par mail, notamment ces derniers jours effectivement.

Antoinette Rouvroy: oui, alors ça c’est effectivement une des grandes faiblesses, je dirais de ce RGPD, c’est que, il accentue encore l’individualisme méthodologique qui était déjà relativement inefficace, sous le régime de protection des données antérieures, en exigeant d’avantage d’informations des personnes, etc, sachant que de toute façon les personnes, ne lisent pas, ne lisent pas et ne sont pas demandeuses de ce genre d’information. En plus de cela, il y a, et comme vous le disiez effectivement, il y a énormément d’exception, y compris des exceptions à la nécessité du consentement, et ces exceptions peuvent être dans une toute autre série de cas, déterminées par la loi nationale . Et donc on a l’impression d’avoir finalement, une régulation par exception ; dans lequel l’exception est plus large.

Nicolas Martin : Prenons des exemples, pour que ça parle à tout le monde, prenons des exemples , si vous en avez, par exemple sur les exceptions, Anne Debet sur l’exception au consentement par exemple.

Anne Debet : En fait, ce ne sont pas des exceptions, c’est-à-dire que le RGPD ne fixe pas une regle d’optime préalable comme peut le faire la directive Eprivacy pour la prospection commerciale automatisée. Le consentement est un des fondements possibles du traitement. La seule chose, c’est qu’il y a d’autres fondements, comme l’intérêt légitime du responsable de traitement, en 2004 , on pensait que tous les traitements du secteur privé pouvait rentrer dans le cadre de cet intérêt légitime, on s’est rendu compte que les autorités de protection de données, n’ont pas interpréter le texte comme ça, parce que c’est l’intérêt légitime à partir du moment où cela ne porte pas atteinte aux droits des personnes et par exemple Facebook a dit à la , CNIL, ben moi je traite les données sur le fondement de l’intérêt légitime et la CNIL lui a dit non , ce n’est pas l’intérêt légitime puisque vous portez atteinte trop violemment aux droits des personnes, donc ce sera le consentement. Le consentement, n’est pas seul fondement possible de traitement des données, c’est un des fondements et progressivement du fait de l’interprétation des autorités de protection des données, le fondement unique dans le secteur privé, enfin pas unique, cela dépend de quel type de traitement, mais en tout cas, pour Facebook et les autres acteurs du numérique, ce sera le consentement . Donc, il n’y a pas que le consentement, il y a l’intérêt légitime, il y a la mission de service public, il y a la sauvegarde de la vie de la personne, enfin, l’obligation légale du responsable de traitement, enfin, il ne faut pas penser que c’est une logique d’optime, c’était déjà le cas dans la directive, en fait, ça ça n’a pas changé. Ce qui a changé en revanche, c’est, et là c’est quand même un plus, c’est la manière dont on va donner notre consentement et les exigences qui sont posées pour le consentement.

Nicolas Martin : c’est-à-dire ?

Anne Debet : Ben c’est-à-dire qu’il faut un consentement libre, spécifique, éclairé, univoque. Ça veut dire que et c’est ce que dit le G29 aussi et le texte, c’est-à-dire un consentement qui est noyé dans des conditions générales d’utilisation, ce n’est pas un consentement, parce que ça n’est pas un consentement spécifique, vous n’avez pas consenti pour le traitement des données. Vous pouvez consentir au service que vous fournit le prestataire, mais vous devez aussi consentir pour le traitement des données.

Nicolas Martin : C’est-à-dire ? on va reprendre un exemple concret, par exemple puisqu’on parle beaucoup de Facebook, on pourrait parler d’autres sites , on pourrait parler de twitter, , on pourrait parler de google, bon, prenons Facebook par exemple, ça veut dire que le 25 mai , vendredi je vais vouloir me connecter sur Facebook , il va falloir que j’autorise spécifiquement Facebook à utiliser mes données, Facebook va me dire par exemple, tenez, si vous voulez continuer , mais alors moi je vais utiliser ça : votre date de naissance, votre mail, vos mensurations, vos goûts pour les canapés en cuir, j’en sais rien.

19h14 Anne Debet : Alors Facebook a déjà changé ses conditions générales d’utilisation. Et, en fait, ce qu’a dit La CNIL dans sa décision sur Facebook, elle a dit la vraie liberté, parce que le consentement doit être libre, la vraie liberté c’est si vous pouvez choisir d’avoir Facebook sans avoir la publicité ciblée. Donc en gros, si vraiment, vous voulez avoir un consentement libre, il faut que Facebook vous propose le même service sans la publicité ciblée. Et comme l’a dit une des dirigeantes de Facebook, le modèle économique de Facebook fonctionne sur les données, donc c’est un peu compliqué. Les exigences du RGPD, elles sont très fortes s’agissant du consentement et des caractéristiques du consentement.

Nicolas Martin : Et donc cela veut dire que Facebook va développer deux versions : une version avec publicité ciblée et une version sans publicité ciblée ? on pourra souscrire à l’une ou à l’autre en fonction ? Et à quel moment va-t-on nous offrir ce choix-là ? Comment cela va se passer ?

Antoinette Rouvroy: Alors je ne pense pas, moi je n’ai pas entendu que Facebook propose ce genre de modèle, au contraire, Facebook, a exprimé une fois de plus que effectivement comme vous le dites, son business model , présuppose ; présuppose qu’il est financé par la publicité. Or pour faire de la publicité ciblée, il a besoin de nous profiler, donc il a besoin de nos données, d’ailleurs pas seulement les données à caractère personnel c’est là une grande faiblesse aussi de ce RGPD. C’est qu’il se focalise une fois de plus sur la donnée à caractère personnel alors que l’on sait très bien aujourd’hui, qu’avec des données anonymes on peut faire de la personnalisation, on peut faire du profilage très fin, non pas des personnes mais des comportements.

Nicolas Martin : c’est-à-dire ?

Antoinette Rouvroy: c’est-à-dire que simplement avec des données qui ne se rapportent pas nécessairement à vous, qu’on peut avoir anonymiser mais qui relatent vos comportements, c’est-à-dire des phéromones numériques qui émanent de vos comportements.

Nicolas Martin : c’est-à-dire ? prenons les canapés en cuir. Par exemple, mon goût prononcé pour les canapés en cuir. Comment est-ce que l’on peut anonymiser des données de canapé en cuir ?

20’52 Antoinette Rouvroy: Alors, vous avez été sur…Par exemple, on va suivre votre trajectoire, on va garder votre trajectoire , si vous voulez, on va garder ces sortes de traces , que l’on va désindexer . c’est-à-dire que l’on va enlever tout identifiant personnel.

Nicolas Martin : mais on va voir que je suis passé de tel site à tel site ; à telle annonce, à telle photo de canapé en cuir.

Antoinette Rouvroy: Voilà, et simplement en reliant statistiquement ces données là à des modèles comportementaux de potentiel, je ne sais pas, acheteur de tel ou tel bien, et bien on peut , si vous voulez personnaliser ce que l’on va vous envoyer, de manière à optimiser les ventes. C’est un système, voilà, d’optimisation. C’est pour ça que moi, je … une fois de plus … je regrette que l’on se focalise exclusivement sur les données à caractère personnel, alors que la valeur, l’utilité, la signification d’une donnée, elle ne surgit et elle n’a d’intérêt économique d’ailleurs, pour les GAFAM et pour qui veut les utiliser, qu’à partir du moment où les données sont corrélées à des données qui émanent des comportements d’autres utilisateurs. C’est la raison pour laquelle, voilà, on se focalise beaucoup sur la protection de l’individu et on néglige les aspects beaucoup plus collectifs, beaucoup plus structurel.

Nicolas Martin : A ce propos, Anne Debet ?

22’07 Anne Debet : oui, sauf que ce que l’on peut dire quand même, c’est qu’à partir du moment où une donnée permet de vous réidentifier indirectement, c’est une donnée à caractère personnel ; cela veut dire… et il y a certains journalistes qui ont prouvés qu’à partir de cinq requêtes sur Google, on arrive à réidentifier une personne. Et donc, alors après le texte dit qu’il faut utiliser des moyens raisonnables pour identifier la personne en fonction du cout, etc, etc. mais malgré tout assez rapidement, et la CNIL a toujours eu une interprétation très large de la donnée à caractère personnel, vous êtes quand même rapidement dans de la donnée à caractère personnel, sur le champ d’application du règlement on peut juste ajouter cette nuance.

Nicolas Martin : Oui, Antoinette Rouvroy?

22’43 Antoinette Rouvroy: il y a deux problématiques tout à fait distinctes. Il y a premièrement : la problématique de l’anonymat et effectivement la problématique de l’anonymat est celle -ci : quand vous avez des quantités massives de données, il suffit de croiser entre elles des données anonymes pour pouvoir réindividualiser les personnes avec un degré de certitude plus ou moins important. Donc ça c’est une question statistique.

Nicolas Martin : C’est ce que vient de dire Anne Debet.

Antoinette Rouvroy: oui, voilà, et là effectivement le problème c’est qu’on n’arrive pas, en fait , à avoir une anonymisation certaine. Ça c’est un problème. Un problème tout à fait différent, qui est celui que je visais pour ma part, c’est le problème du profilage c’est-à-dire de la caractérisation des comportements possibles, de la prédiction des comportements qui ne nécessitent pas, à ce moment-là, qui ne nécessitent pas d’identifier les personnes. En fait, ce qu’on vit, c’est un gouvernement des comportements et non pas des personnes. Et ça c’est quelque chose de tout à fait neuf. Le pouvoir aujourd’hui s’exerce à travers les algorithmes ; non pas en identifiant les personnes, il peut très bien ne pas identifier les personnes, mais simplement en caractérisant des comportements et en les reliant à des masses plus importantes de comportement qui ont été recueillis par ailleurs afin de, par exemple, produire des scores de… des scores de crédit, de crédit social ; comme en chine, ou des scores de …

23’57 Nicolas Martin : Alors, attendez, on va revenir sur le crédit social, oui Anne Debet

Anne Debet : non mais ces scores, au bout du compte, ils sont quand même réappliqués à des personnes , les scores de crédit sont appliqués, après la manière dont ils sont construits, c’est sans doute un problème, mais le problème aussi concret qui se pose pour des personnes, c’est quand les scores de crédits, qui sont des mécanismes je dirais automatisé fondés sur des statistiques qui vous permettent de déterminer si vous allez prêter de l’argent ou non à une personne, en fonction du score qu’elle va avoir. En fonction de différents critères, par exemple, la CNIL a accepté que le département soit un critère qui puisse être pris en compte, donc selon que vous êtes dans le 94 ou le 93, vous n’allez pas forcément obtenir une bonne note à votre score. Donc la construction de ces modèles, c’est sûr que c’est un problème, mais … de manière… finale ils sont quand même appliqués aux individus et là le RGPD s’applique.

24’39 Antoinette Rouvroy: Alors oui, en fait [les personnes parlent en même temps de manière inaudible]

Nicolas Martin : Alors, juste on va rester là-dessus car c’est quand même assez intéressant cette question de score et de crédit social. Vous faisiez mention Antoinette Rouvroy, du crédit social en Chine qui est en train de s’appliquer où effectivement un certain nombre de comportements publics comme… qui vont de critiquer le gouvernement sur Internet à fumer dans un train, fait réduire des crédits sociaux et peuvent du coup conduire certaines personnes à ne plus avoir accès, par exemple, au transport en commun, à l’avion ou au train, donc voilà ça se sont des systèmes qui sont aujourd’hui déjà en place et qui vont être amplifier par le gouvernement central chinois d’ici 2020. C’est une chose, mais sur ces questions, par exemple de crédit social pour nous, pour ce qui nous concerne ici en Europe, ça veut dire qu’aujourd’hui indépendamment de nos usages de Facebook, de Twitter, de Google, ça veut dire qu’un certain nombre de données personnelles comme des données de localisation, vous dites par exemple, on n’a pas le même score de crédit qu’on habite dans le 93 ou dans le 92, dans les Hautes Seine ou en Seine Saint Denis ; aujourd’hui est ce que le RGPD va pouvoir avoir un impact, une influence justement sur ce type d’utilisation à destination des crédits, des assurances ?

25’43 Anne Debet : Le RGPD autorise … enfin, c’est-à-dire le RGPD, il y a un article, l’article 22 sur la prise de décision automatisée et l’encadre dans le sens où il est possible si vous y consentez ou si c’est dans le cadre d’un contrat. Donc cela ne va pas changer fondamentalement les solutions antérieures. Il y a des dispositions plus précises sur l’information, de la logique sous-jacente du traitement ; après les banques ont toujours refusé de livrer aux personnes qui faisaient une demande de droits d’accès leurs algorithmes en disant c’est le secret des affaires, si vous connaissez nos grilles de scoring, nos concurrents vont les connaitre aussi et les personnes vont essayer de frauder les grilles de scoring en les connaissant. Donc il y a quand même une difficulté, le RGPD là-dessus, il y a une disposition, mais qui n’est pas plus protectrice, à mon sens, que ce qu’il y avait antérieurement.

26’31 Nicolas Martin : Antoinette Rouvroy ?

Antoinette Rouvroy: Alors, tout d’abord… je voudrais revenir sur cette question : est ce qu’il y a une identification ou pas de la personne in fine ? En fait, ce mode de gouvernement, que moi je décris comme gouvernementalité algorithmique, affecte d’abord, les environnements. En fait, on gouverne les personnes, en gouvernant quels sont leur type d’accès, à quel type d’opportunité dans la vie, à quel type de bien, à quel type de lieu, etc. Et donc, pour faire cela, on n’a pas besoin d’avoir identifié la personne, il suffit qu’il y ait une sorte d’alerte, si vous voulez, tout à fait automatique, qui produise l’ouverture ou la fermeture d’opportunités. Mais alors concernant cette question de la décision fondée sur le traitement automatisé de données, effectivement, c’est une des grosses problématiques du RGPD, c’est une grosse problématique tout court d’ailleurs. Il y a une reconnaissance de cette problématique du profilage dans le RGPD et ça c’est une très bonne chose. Cela dit, il y a cette idée, quand même, que les personnes doivent pouvoir avoir accès à une sorte de logique du traitement, si vous voulez, pour savoir, pour pouvoir éventuellement contester la manière suivant laquelle ils ont été profilé. Ils doivent avoir accès à une logique du traitement. Le problème, c’est que cette logique de traitement algorithmique, elle est extrêmement opaque. Elle est extrêmement opaque, et elle est surtout difficilement traduisible sous une forme linguistique linéaire, compréhensible pour les êtres humains. Et donc c’est une sorte, si vous voulez, d’utopie. Si vous voulez, on n’a pas pris en compte que nous nous trouvons dans le contexte des big data, des algorithmes, dans un contexte épistémique complétement différent. On n’est plus dans la logique de la causalité, on est dans la logique de la pure corrélation. On va demander à un algorithme d’expliquer pourquoi il arrive à un certain profilage. Mais précisément le pourquoi est indifférent aux algorithmes puisqu’il s’agit d’une logique purement statistique, purement inductive et qui manie des quantités massives de données. Et donc cette utopie ou cette idéologie de la transparence, pour moi, est problématique aussi, non seulement parce qu’elle est irréaliste mais davantage encore parce qu’elle est déresponsabilisante, elle risque de faire en sorte que les personnes qui utilisent ces dispositifs de recommandations automatisés disent aux personnes qui viennent vers elle : ah, je vais vous donner, je vais vous donner accès à ton code, il ne sera pas question de ça bien entendu, mais aux logiques de traitement et vous verrez dès lors, puisque, s’il n’y a pas de biais visible ou perceptible et bien on va considérer que la décision que je prends sur cette base est objective et incontestable. Or, il faut nécessairement que les décisions prisent à l’égard des êtres humains restent toujours contestables au regarde de la situation singulière de chaque personne et non au regard de son éventuel profilage statistique. Il me semble que ça, c’est une question de justice.

29’16 Nicolas Martin : oui Anne Debet, à ce propos, sur une sorte de nécessité de transparence de cette gouvernance algorithmique, de plus de transparence, de gestion de possibilité de testing de ces algorithmes ?

29’26 Anne Debet : Oui, enfin… il y a quand même des éléments qui peuvent être donnés sur la logique d’un traitement. Alors je prends l’exemple des grilles de scoring, les banques pourraient dire comment ils pondèrent, enfin quelle est l’importance pour eux de certaines données, comme la situation patrimoniale, la situation matrimoniale, puisqu’ils scorent les différences d’âge entre conjoints ; ils scorent le département. Donc, il y a quand même des choses qui pourraient être dites et qui ne le sont pas aujourd’hui. Je pense que voilà il y a une transparence plus grande, même si, je suis d’accord avec vous, qu’il y a un degré de compréhension, on le voit bien avec la communication de l’algorithme d’APB et de PArcourSup qui n’est pas facile. Néanmoins, il y a quand même des éléments de transparence à améliorer. Après, le RGPD garantit quand même en principe, c’était l’idée de l’article 10 de la loi informatique et liberté, que ce n’est pas la machine qui prend la décision. L’idée c’est que c’est quand même en définitive, l’humain, l’homme qui doit prendre la décision, c’est-à-dire que vous avez le droit à un réexamen de votre dossier. La seule chose, c’est que par exemple, pour le scoring des banques, les banques ont toujours dit : ben oui on réexamine le dossier mais elles n’ont jamais fourni de statistiques sur le nombre de fois où avec réexamen humain elles changeaient de décision. Donc c’est sur que du coup, on ne connait pas bien les conditions de ce réexamen humain.

30’30 à 33’09: musique

Nicolas Martin : We need to stricke on computer, on devrait faire la grève aux ordinateurs. Et bien c’est peut être ce qui va finir par nous arriver si le RGPD n’a peut-être pas les effets escomptés, c’est ce dont nous discutons tout au long de cette heure sur France Culture, à 16h33, ce nouveau règlement général de protection des données qui rentre en vigueur vendredi prochain dans toute l’Europe. Nous en parlons avec Anne Debet, qui est professeure de droit privé, droit des nouvelles technologies, droit de la santé et droit civil à l’Université Paris Descartes et ancienne membre de la CNIL. Et Antoinette Rouvroy, juriste, philosophe du droit, professeure à l’Université de Namur, Chercheuse FNRS au Centre de Recherche en Information Droit et Société. On a parlé des données, des données qui sont collectées par les banques, des données que nous confions volontairement ou pas tout à fait volontairement aux réseaux sociaux, aux différents acteurs d’internet. Il y a d’autres données qui sont particulièrement sensibles, ce sont évidemment les données de santé. Et le problème dans le secteur de la protection des données de la santé et bien ce n’est pas qu’un petit problème.

34’07

Nicolas Martin : Bonjour Céline Lozenne.

Céline Lozenne : Bonjour Nicolas, bonjour à tous.

Nicolas Martin : Vous vous êtes rendu à l’institut Curie, pour comprendre comment ce RGPD va améliorer mais aussi nettement complexifier la protection des données de santé des patients.

34’19

Céline Lozenne : Oui, parce que les acteurs de la santé doivent pouvoir s’adapter au RGPD tout de suite en ce qui concerne les données de leurs patients pour comprendre concrètement comment cela va ce passer, je suis allée à la Direction des données de l’Institut Curie voir Alain Livartowski, qui est médecin oncologue et Thomas Balezeau, ingénieur informaticien. Ils sont mis en place récemment une plateforme d’échange des données qui s’appelle Mycurie.fr, le but c’est de mettre à disposition les données des patients dans des espaces fermés et complétement protégés. Une entreprise qui a été très complexe à mettre en place sur le plan technique et humain.

34’55

Alain Livartowsi : L’idée de mycurie c’est quoi ? c’est de dire que les informations qui sont à l’hôpital, si elles sont utiles pour le patient, elles doivent lui être transmises et aujourd’hui les outils c’est quoi ? C’est Internet, c’est les téléphones portables.

Céline Lozenne : Comment assurer la protection de ces données qui sont transmises justement entre les patients et les hôpitaux ?

Alain Livartowsi : Alors là, on a fait appel à des sociétés spécialisées en sécurité parce qu’il faut que cela soit facile à utiliser et il faut surtout que les données soient sécurisées. On parle toujours des assurances, mais les assurances ne chercheront à pas puiser les données, c’est trop dangereux pour elles. Mais par contre, il n’est pas normal qu’un patient atteint de cancer, d’autres personnes ne l’apprennent pas par lui mais de façon anormale.

35’31

Thomas Balezeau: Nous, à la Direction des données à l’Institut Curie, on va fournir des données, avec le consentement du patient évidemment, pour des projets de recherche. En aucun cas, les données ne doivent sortir ; c’est à dire que l’on doit garder le contrôle sur ces données et du coup c’est la même logique que la législation européenne qui va être mise en place [ Céline Lozenne : le RGPD], le RGPD. Cette législation, en fait, nous oblige à garder un contrôle total sur ces données, c’est-à-dire mettre à disposition dans un espace sécurisé ces données, mais que ces données ne sortent jamais de cet espace. Cet espace, en fait, c’est une machine, c’est un ordinateur, et on doit mettre à disposition aussi les outils pour les traiter, pour que les gens puissent travailler sur ces données mais que les données ne sortent jamais de cet espace.