[Africa Diligence] Les députés européens sont-ils en train de brader la protection de la vie privée sur internet aux géants américains ? Jérémie Zimmermann de la Quadrature du Net le redoute. Pour lui, la protection des données personnelles des internautes pose problème.
Véritable serpent de mer, la question est revenue sur le devant de la scène avec l’adoption de nouvelles dispositions par la commission « consommateurs » (IMCO) du Parlement européen, mercredi 23 janvier 2013. Parmi les amendements votés, celui d’autoriser le « profilage » (l’établissement d’un profil) ou encore un allègement des contraintes pour les entreprises qui conserve les données personnelles. Pour contrecarrer le vote définitif qui doit avoir lieu dans quelques mois, les organisations qui militent pour la protection de libertés fondamentales montent donc au créneau.
Jérémie Zimmermann, co-fondateur et porte-parole de la Quadrature du Net, une organisation indépendante qui lutte pour la défense des libertés sur internet, revient sur les enjeux majeurs liés à la question des données personnelles.
Que révèle l’adoption de ces amendements par la commission parlementaire IMCO (marché intérieur et protection des consommateurs) ce mercredi 23 janvier ?
Rien n’est encore décidé car le vote définitif n’est pas encore inscrit dans l’agenda. Mais ces décisions de la commission IMCO du Parlement livre un instantané du rapport de force qui se joue actuellement à Bruxelles. Au bout du compte, on constate qu’aucun groupe politique n’a à ce jour une opinion tranchée sur le sujet; les amendements sont adoptés, parfois par des votes très serrés, au gré des pressions exercées sur les parlementaires européens. Actuellement ce sont les lobbys principalement financés par les puissantes firmes américaines comme Google ou Amazon, ou le secteur bancaire ou de l’assurance, qui font valoir leurs intérêts.
Quelle est la vision admise par les acteurs du numérique lorsque l’on parle de « données personnelles » ?
C’est justement là tout le problème. Un des sujets débattus à Bruxelles est de donner une définition claire de ce qu’est une donnée personnelle et de ce qu’est un « sujet de données ». Pour l’instant, cela reste un concept très flou. Par exemple, doit-on considérer l’adresse IP (celle qui sert de carte d’identité lorsque vous naviguez sur internet) comme une donnée personnelle ? On n’a pas encore statué. Sur ce point précis, le superviseur européen de la protection des données personnelles (EDPS) dit « oui, sauf dans certain cas ». Mais ce n’est pas l’avis de certains acteurs industriels. Il y a plusieurs visions de la donnée personnelle.
En France par exemple, on a la notion de données personnelles (nom, adresse mail, etc.) et données indirectement personnelles, telle l’adresse IP et toutes ces informations qui ne disent pas directement qui vous êtes. Pour le savoir, il faut en général passer par un tiers, l’opérateur internet, ou faire des recoupements. Du coup, une des questions centrales est de savoir si ces données personnelles indirectes doivent être aussi protégées par le droit.
Un autre aspect essentiel est la question du consentement de l’utilisateur lorsqu’il communique des données personnelles à des entreprises. Mais cette vision pose un autre problème ; jusqu’où doit aller ce consentement ? Sous quelles conditions ? Et surtout, si consentement il y a, comment le rendre accessible et lisible pour le commun des mortels qui n’entendent rien au droit ? On comprend aussi pourquoi beaucoup de secteurs, comme la banque et les assurances, cherchent à simplifier les conditions du consentement de l’utilisateur.
Il semblerait que la vision qui pèse le plus dans les débats est celle des lobbys principalement américains qui considèrent les données personnelles uniquement comme une source de profits. Or, c’est une vision selon nous dangereuse car elle attaque les libertés fondamentales de l’individu.
Quels sont les principaux vides juridiques qu’il faut combler ?
Il faut d’abord que l’on statue sur la question du « Legitimate interest » (intérêt légitime) qu’un certain nombre d’acteurs de l’internet mettent en avant comme une exonération aux contraintes légales en matière de collecte, traitement, stockage et revente de données personnelles. Google se donne par exemple le droit d’exporter vos données de Google France vers sa branche américaine, où le droit français ne s’applique pas nécessairement. A ce jour, il n’existe ainsi aucune sanction en la matière. Cela peut concerner vos données de facturation, le contenu de votre boîte mail, vos contacts, votre mot de passe, etc. Il faut bien comprendre que Google connaît plus de choses sur vous (vos goûts, votre orientation sexuelle, philosophique, politique ou religieuse, vos habitudes, etc.) que votre propre famille !
Deuxième urgence, il faut décider si le profilage (profiling en anglais, ou le fait d’établir votre profil) à des fins commerciales est oui ou non acceptable. Est-il par exemple tolérable d’acheter un accès à des bases de données pour s’informer sur un individu avant de le recruter, de lui accorder un crédit ou de fixer le prix de sa police d’assurance?
Ensuite, il faut savoir précisément où sont stockées ces données et pour combien de temps. Comment mettre en application son droit de retrait ? Comment être sûr que ces données récupérées ont réellement été effacées ?
Le grand public perçoit-il réellement les enjeux qu’il y a derrière ces questions ?
Non pas vraiment ; car l’erreur est de croire que ce sont des questions techniques alors que cela concerne tous les aspects de nos vies en ligne et hors ligne. Cela deviendra un problème lorsque votre banque vous refusera un prêt car elle aura constaté sur Facebook ou sur un autre site que vous faites trop la fête ou que vous partez trop souvent en vacances, ou lorsque vos données personnelles fuiteront.
Mais le vrai problème avec la question de la donnée personnelle c’est que c’est une forme d’hypothèque sur l’avenir. En effet, on livre de nombreuses informations sur soi, mais on ne s’aperçoit de l’utilisation de ces données que bien plus tard. Ainsi, vous ne savez jamais immédiatement lorsque vos données se sont échappées dans la nature. Prenez l’exemple de LulzSec, ces hackers qui ont pénétré les serveurs de Sony en 2011 ont diffusé les données personnelles de 70 Millions de leurs clients pour démontrer le peu de soin avec lequel elles étaient sécurisées. Ou encore la compagnie de train belge (SNCB) qui a diffusé publiquement les données de 1,7 millions d’utilisateurs… Les victimes de ces fuites l’apprennent finalement, mais après coup, et aucune responsabilité ne pèse sur les entreprises qui ne prennent pas soin de correctement sécuriser les données personnelles de leurs utilisateurs.
On perçoit les conséquences pour l’internaute, mais qu’en est-il pour les entreprises ?
Sécuriser les données personnelles des employés et les communications de l’entreprise relève de l’intelligence économique. Les entreprises concurrentes pourraient obtenir des informations sur votre société. Elles pourraient par exemple connaître le projet sur lequel vous êtes en train de travailler, les réponses aux appels d’offre, etc. en obtenant accès à des données mal sécurisées.
Votre organisation cible principalement les géants américains de l’internet : Apple, Google, Facebook ou encore eBay. Sont-ils les seuls?
Non, on parle souvent de Google mais il n’y a pas que le secteur de l’internet qui s’intéresse aux données personnelles. Il y a aussi les banques et les assurances qui exercent aujourd’hui un fort lobbying à Bruxelles. Ils militent pour que le profilage soit davantage autorisé afin d’avoir plus d’informations avec d’accorder un prêt. Pour justifier cette exploitation, d’autres acteurs avancent l’argument du ‘legitimate interest’.
Comment les géants de l’internet stockent-ils les données ?
C’est difficile à savoir car cela relève du secret industriel. Et ce qui compte, ce n’est pas tant ce qu’ils en font aujourd’hui mais ce qu’ils en feront demain. En effet, une donnée personnelle seule ne vaut rien. C’est au fur et à mesure, avec les années et une fois qu’elle est agrégée et recoupée à d’autres données, que sa valeur augmente. De fait, vos déplacements seuls ne sont guère utiles à connaître. Ce qui compte c’est de pouvoir les associer à vos données bancaires ou vos mails. C’est comme ça que Google peut vous suggérer un restaurant ou un commerce à proximité du lieu où vous êtes, grâce à vos recherches, vos habitudes ou les mots que vous utilisez dans vos emails. Toutes ces données se retrouvent stockées, agrégées dans d’énormes data-centers aux quatre coins du Monde.
Entretien réalisé par Jeanne DUSSUEIL