La concomitance « heureuse » de deux événements majeurs entraînera-t-elle notre prise de conscience des dérives liées à la « monétisation de notre intimité » : d’une part, la révélation du scandale Cambridge Analytica – la collecte sans autorisation, à des fins de marketing politique, des données personnelles de 87 millions de membres du réseau Facebook – et, d’autre part, l’entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD).
« Accéder au compte Google de quelqu’un ? Parfait, vous avez un journal chronologique de tout ce que cette personne a fait au cours des dix dernières années », dénonce Dylan Curran, développeur web et data consultant. Dans un article publié dans le Guardian en mars 2018, il dresse l’inventaire des informations de toute nature le concernant, qu’il a récupérées en ligne auprès de Google et Facebook. Elles remontent à 2008, quand certaines avaient été pourtant expressément effacées par ses soins. Nos données personnelles sont collectées par Google même si nous n’utilisons pas l’un de ses services, et par Facebook même si nous ne sommes pas membre du réseau social (voir l’infographie « Votre profil archivé »).
Les deux principales plateformes de services en ligne, Google et Facebook, dont le modèle économique repose exclusivement sur la publicité, prélèvent, analysent et archivent, dès notre première visite, toutes les informations possibles relevant de notre vie privée, allant bien au-delà de ce que requiert leur cœur de métier, pour assurer l’efficacité des annonces publicitaires dont nous sommes la cible. Notre consentement à l’exploitation de nos données personnelles est même la condition d’accès à leurs services. « You have to fight for your privacy or you will lose it », déclarait en 2013, Eric Schmidt, président exécutif de Google.
Aujourd’hui, les informations constitutives de notre vie privée, en ligne et hors ligne, peuvent être collectées, à tout moment, notamment par l’intermédiaire d’une webcam ou du micro de notre téléphone. Des machines devenues intelligentes – voitures, équipements domestiques et demain des villes entières – enregistrent les moindres aspects de nos vies. Le traitement de ces flux de données servira à la détermination des choix à faire, des décisions à prendre.
« C’est l’une des choses les plus folles de l’époque moderne. […] Nous ne laisserions jamais le gouvernement ou une entreprise installer des caméras ou des microphones dans nos maisons ou des mouchards sur nous. Mais nous y sommes allés et nous l’avons fait nous-mêmes parce que – to hell with it ! – nous voulions regarder des vidéos de chiens mignons », avertit Dylan Curran. Les avantages quotidiens que nous procure l’usage des services en ligne, devenus pour certains indispensables et irremplaçables, l’emportent largement sur nos motivations à protéger notre vie privée, et même sur notre curiosité à comprendre leur fonctionnement.
L’application du RGPD (voir La rem n°42-43, p.21), qui impose désormais aux entreprises dont l’activité inclut la collecte des données personnelles de leurs usagers d’obtenir de ces derniers un consentement « libre, spécifique, éclairé et univoque », ne se heurtera-t-elle pas à ce « privacy paradox » ? Combien d’entre nous sont allés au bout de la procédure proposée par Google et Facebook nous invitant à renouveler notre consentement au traitement de nos informations ? Combien d’entre nous ont une nouvelle fois cliqué « à l’aveugle » sur le bouton « Accepter », d’autant plus spontanément que le refus de certaines des nouvelles conditions générales d’utilisation entraîne le blocage de l’accès au service désiré ?
De la même façon que le scandale Cambridge Analytica n’a pas provoqué une vague de désinscriptions à Facebook, comme on aurait pu l’imaginer, il serait illusoire de croire que le RGPD suffira à lui seul à motiver les internautes à prendre en charge le contrôle, au moins partiel, de leurs données personnelles. « La protection des données est comme la qualité de l’air ou de l’eau potable, c’est un bien public, qui ne peut pas être effectivement régulé en faisant confiance à la sagesse de millions de choix individuels. Une réponse plus collective est nécessaire », explique Zeynep Tufekci, chercheuse à l’université de Caroline du Nord.
Pour l’avocat autrichien Maximilian Schrems, à l’origine de l’invalidation du « Safe Harbor » par la Cour de justice de l’Union européenne en 2015 (voir La rem n°36, p.5), le RGPD offre le niveau minimum de protection de la vie privée auquel les citoyens doivent prétendre. Pourtant, dès l’entrée en vigueur du règlement européen, le 25 mai 2018, ce militant pour la protection des données privées a déposé quatre plaintes contre les géants du Net, par l’intermédiaire de l’ONG NOYB (None of Your Business) qu’il a créée, auprès des autorités de protection des données : en France contre Google concernant Android, en Belgique contre Instagram, en Allemagne contre WhatsApp et en Autriche contre Facebook. Il considère que ces entreprises enfreignent les règles du RGPD car elles imposent un « consentement forcé » aux utilisateurs, lequel couvre de surcroît l’ensemble de leurs services. Alors que le traitement de leurs données personnelles n’est pas nécessaire à la fourniture de ces services, les internautes qui refuseront la nouvelle politique de confidentialité en seront privés.
Au terme d’une campagne de six semaines ayant permis de réunir plus de 12 000 signatures, l’association La Quadrature du Net, de son côté, a adressé à la Cnil, le 28 mai 2018, cinq plaintes collectives contre Facebook, Google (Gmail, YouTube et Search), Apple (iOS), Amazon et LinkedIn, fondées également sur l’absence d’un consentement « libre et éclairé ».
Pour le président de la Free Software Foundation, Richard Stallman, « la seule base de données sûre est celle qui n’en aura jamais collecté ». Dans une tribune publiée dans le Guardian le 3 avril 2018, commentée sur le site S.I.Lex, il fait « une proposition radicale pour garder vos données personnelles en toute sécurité » : une loi interdisant aux systèmes de collecter les données personnelles. Il écrit notamment : « Le principe fondamental est qu’un système doit être conçu pour ne pas collecter les données s’il peut remplir ses fonctions principales sans recourir à celles-ci. »
Sources :
- « Sus aux pirates de nos esprits ! », Frédéric Joignot, Le Monde, 10 mars 2018.
- « Are you ready ? Here is all the data Facebook and Google have on you », Dylan Curran, TheGuardian.com, March 30, 2018.
- « A radical proposal to keep your personal data safe », Richard Stallman, TheGuardian.com, April 3, 2018.
- « Richard Stallman, le RGPD et les deux faces du consentement », Calimaq, S.I.Lex, scinfolex.com, 5 avril 2018.
- « Cambridge Analytica n’a pas fait fuir les utilisateurs de Facebook », Anaïs Moutot, Les Echos, 24 mai 2018.
- « Le RGPD, une arme de plus dans la lutte de Max Schrems pour la protection des données personnelles », Jastinder Khera, AFP, tv5monde.com, 25 mai 2018.
- « Dépôt des plaintes collectives contre les Gafam », La Quadrature du Net, laquadrature.net/fr, 28 mai 2018.
[…] « You have to fight for your privacy or you will lose it », déclarait en 2013, Eric Schmidt, président exécutif de Google. http://la-rem.eu/2018/07/26/notre-intimite-en-ligne-ou-le-privacy-paradox/ […]