Internet : l’illusion du libre-arbitre ? – Épisode 7
Dans cette série – Internet : l’illusion du libre-arbitre ? – Anaïs Maréchal s’intéresse à l’impact d’internet sur notre libre-arbitre. Dans ce dernier épisode, elle dévoile les perspectives qui se dessinent pour l’exploitation de nos données personnelles, dont la valeur marchande ne cesse de croître. Quels choix s’offrent à nous pour les préserver ou en tirer profit ?
Ce matin, Romain a découvert un nouveau questionnaire sur son application préférée. Il s’empresse de le remplir : quel sportif il est, quelle formation il envisage de suivre, ou encore quel utilisateur d’internet il est … Romain n’hésite pas à y consigner ses informations ou rêves personnels : il sait que ça lui rapportera de l’argent, quelques euros à la fin du mois. Romain vend chaque mois ses données personnelles.
Ce scénario vous paraît futuriste, fou, irréaliste ? Pourtant, Romain pourrait être l’un des utilisateurs de l’application Tadata, que chaque personne de 15 à 35 ans peut télécharger sur son téléphone pour monétiser ses données personnelles. L’application Mydataisrich, elle, fait fi de l’âge : voilà, là encore, un moyen de vendre ses données, en installant en plus un boîtier d’enregistrement dans sa voiture. En toute légalité ? «Si ces entreprises mettent en place toutes les obligations prévues par le Règlement général pour la protection des données (RGPD), ces systèmes peuvent être considérés comme légaux», informe Suzanne Vergnolle, chercheuse post-doctorale spécialiste des données personnelles à l’Institut suisse de droit comparé.
Face aux enjeux liés à l’exploitation de nos données personnelles, voire à ses dérives, certains prônent des modes de gestion alternatifs. À l’image de Tadata ou Mydataisrich, le think-tank GénérationLibre créé par Gaspard Koenig défend une patrimonialité des données personnelles. Deux approches sont imaginées : les utilisateurs achètent les services des plateformes numériques grâce à leurs données ou de l’argent ; ou bien les utilisateurs stockent leurs données dans un portefeuille et choisissent à qui ils en donnent l’accès, éventuellement contre rémunération. Pour Gaspard Koenig, dans La fin de l’individu, voyage d’un philosophe au pays de l’intelligence artificielle, la patrimonialité des données permet de ne pas déstabiliser le modèle économique du numérique, qui risquerait de s’effondrer si les données personnelles n’étaient plus utilisées à des fins commerciales. Il ajoute : «Cette idée […] répond à deux exigences plus fondamentales […] : la constitution de l’individu et la possibilité de l’arbitre libre.» Suzanne Vergnolle réfute cette vision : «Les données à caractère personnel relèvent de nombreuses valeurs : le libre arbitre, l’autonomie, la liberté d’expression, le droit à l’information. En monétisant l’une de ces libertés, on influence nécessairement l’ensemble de ces valeurs. Je suis contre cette approche car elle fait du droit des données à caractère personnel un droit de luxe, uniquement accessible à ceux qui n’ont pas besoin de vendre leurs données.»
L’idée est contestée juridiquement. Pour l’association la Quadrature du Net, les données personnelles ne peuvent faire l’objet d’un droit de propriété. La CNIL, le régulateur français, est du même avis et voit la conception de la protection des données personnelles «comme un droit attaché à la personne, qui prolonge le droit au respect de la vie privée». «En réalité, nous sommes face à des débats doctrinaux, complète Suzanne Vergnolle. Certains, comme Frédéric Zenati, avancent que les éléments de la personnalité entrent dans le droit de propriété, d’autres non, comme Judith Rochfeld.» Elle poursuit : «La question de la marchandisation d’éléments de la personnalité n’est pas nouvelle, je pense par exemple aux mannequins qui permettent l’exploitation de leur image. Mais la marchandisation des données personnelles diffère par ses usages moins transparents, la masse des informations potentiellement collectées et la pluralité des acteurs impliqués.»
Nicolas Anciaux, chercheur en informatique à l’Institut national de recherche en sciences et technologies du numérique, travaille sur un autre modèle de gestion des données personnelles : les Personal Data Management Systems (PDMS). Ils reposent sur un principe simple : toutes les données personnelles sont physiquement stockées chez l’utilisateur, sur un petit ordinateur Raspberry Pi par exemple, permettant à l’individu de contrôler l’ensemble du cycle de vie de ses données. À partir du PDMS, elles peuvent y être collectées, partagées, utilisées pour des calculs … Dans une interview du Laboratoire d’innovation numérique de la CNIL, le chercheur illustre : à partir de la consommation d’électricité stockée sur le PDMS, le montant de la facture est calculé et partagé au fournisseur d’électricité. Plus besoin de lui donner accès au détail de la consommation ! Ce mode de gestion repose cependant sur des solutions techniques qui doivent garantir la sécurité des données, offrir un gage de confiance aux services tiers, et être faciles à mettre en œuvre. Ces technologies sont réalistes d’après Nicolas Anciaux, et font toujours l’objet de recherches académiques.
Une idée similaire est proposée par la société CozyCloud, qui offre la possibilité de stocker les informations personnelles sur un cloud sécurisé qu’elle nomme «domicile numérique». La société (française) revendique à ce jour près de 100 000 utilisateurs … une part infime des 52 millions d’utilisateurs d’internet en France. C’est le risque soulevé par le Laboratoire d’innovation numérique de la CNIL : si la maîtrise des données repose sur les individus, ils doivent être acteurs de la protection de leurs données, et non adopter une posture passive.
Dernière voie évoquée pour reprendre la main sur nos données : les fiducies. Dans ce modèle, l’individu transfère ses données personnelles à un tiers – le fiduciaire – qui devient responsable de sa gestion selon des objectifs définis contractuellement. La société d’intelligence artificielle québécoise ElementAI et la fondation anglaise Nesta examinent ce système dans un livre blanc en 2018. Ils y avancent qu’il offre un plus grand contrôle sur les données personnelles, améliore l’accès à un plus grand nombre, valorise ainsi leur valeur et remédie aux asymétries de pouvoir. Ils proposent différents cas d’usage, comme par exemple une fiducie de données urbaines, ouverte aux gouvernements mais aussi aux organisations de sociétés civiles, experts en mobilité urbaine ou représentant locaux. «Je suis réservée sur ce modèle dans lequel le fiduciaire a beaucoup de pouvoir : il faut s’assurer qu’il l’exercera sans conflit d’intérêt et avec les connaissances techniques nécessaires à la sécurité des données», confie Suzanne Vergnolle.
«Certaines propositions apparaissent intéressantes, mais il me semble que l’urgence est plutôt de tendre vers une meilleure application du droit européen et une éducation aux enjeux du numérique pour rendre plus de pouvoirs aux personnes», conclut Suzanne Vergnolle. En attendant, vous pouvez compter sur les humains de synthèse pour nous remplacer, comme nous vous en parlions au début de cette série. Ou choisir d’empoisonner vos données personnelles. Proposée par les chercheurs américains en communication Finn Brunton et Helen Nissembaum, cette arme a un nom : l’obfuscation. Elle consiste à «produire délibérément des informations ambiguës, désordonnées et fallacieuses et à les ajouter aux données existantes afin de perturber la surveillance et la collecte des données personnelles.» De petits modules ajoutés à votre navigateur font le travail : AdNauseam «clique» sur toutes les publicités présentes sur les pages que vous visitez ; et TrackMeNot génère de nombreuses recherches en parallèle de la vôtre pour brouiller les pistes des traceurs.
Les cartes sont désormais (presque) entre vos mains.