Nos données personnelles sont-elles bien protégées sur Internet ?
Ce 28 janvier, c’est la Journée européenne de la protection des données personnelles. Mais sont-elles vraiment bien protégées ?
Éléments de réponse avec Laurence Devillers1, spécialiste de l’intelligence artificielle à Sorbonne Université et membre du comité d’éthique d’Allistène2, et Mattia Walschaers, chercheur CNRS en informatique quantique au laboratoire Kastler Brossel de Sorbonne Université.
L’existence d’une Journée européenne de la protection des données signifie-t-elle que nos données ne sont pas protégées ?
Laurence Devillers : Personnellement, je considère qu'elles ne le sont pas suffisamment, en particulier hors de l’Union européenne (UE). Dans l’UE, le RGPD3 oblige les industriels à anonymiser ou pseudonymiser les données et à obtenir le consentement des utilisateurs, sous le contrôle de la CNIL4. Mais cela ne suffit pas car de nombreux acteurs sur le territoire européen ne sont eux-mêmes pas Européens et ne se réfèrent donc pas aux mêmes lois. Si les data centers sont sur le territoire, les plateformes américaines sont régies par des lois extraterritoriales qui rendent possibles, dans certains cas, des accès aux données par les autorités ou les services de renseignement. C’est ce qu’a révélé, notamment, le scandale Cambridge Analytica, la récupération de données au Royaume-Uni et aux États-Unis afin d’influencer la politique de ces pays.
Développer des plateformes françaises et européennes pour échanger, distribuer et protéger nos données est un axe majeur pour créer des marchés de données de confiance. Le Health Data Hub, une excellente initiative de standardisation, d’échange et de corrélation des données médicales françaises hébergée par une plateforme de Microsoft5, devra changer d’hébergeur.
La portabilité des données personnelles et l’obligation d’interopérabilité peuvent également être des mesures de régulation. L’idée de souveraineté est avant tout liée à la sécurité des données des citoyens mais aussi à leur valorisation en France et en Europe.
Au vu des cyber-attaques dont les systèmes informatiques hospitaliers et administratifs sont de plus en plus victimes, il est également nécessaire de renforcer nos recherches et développement en cyber-sécurité.
Mattia Walschaers : La question de la protection des données sous-tend celle de leur utilisation. Si les entreprises, en particulier les GAFAM6, ont autant de données sur nous, c’est parce que nous avons tendance à les donner sans nous poser la question de leur utilisation. Il y a là un énorme travail de sensibilisation de la population pour expliquer qu’il y a un réel danger à considérer que nos données personnelles ne sont pas si intéressantes. Il existe beaucoup d’outils pour les sécuriser, notamment des algorithmes d’encryption très efficaces mais pas toujours pratiques d’utilisation pour les particuliers. Le problème est qu’ils sont aussi utilisés comme armes pour prendre nos données en otage et exiger une rançon.
La formation du grand public à l’usage des moyens numériques est-elle la clé ?
M.W. : La formation et l’éducation du grand public pour comprendre qu’il ne faut pas tout accepter sur Internet est importante. Mais c’est un problème qui touche aussi la science. La question du stockage des données que nous récupérons de nos expérimentations est une réelle préoccupation. Beaucoup de chercheurs et doctorants ont tendance à les stocker sur des applications grand public comme Google Drive ou DropBox, ce qui va à l’encontre des consignes du CNRS. Mais si nous le faisons par nos propres moyens, c’est parce que ces outils fonctionnent et sont très faciles à utiliser par rapport aux systèmes de gestion des données proposés par les centres de recherche et les universités. Ce dilemme entre sécurité et praticité au quotidien y est pour beaucoup.
Les données personnelles sont l’or de ce siècle.
L.D. : Il y a une confiance un peu aveugle vis-à-vis des outils américains, sans doute par méconnaissance de ces outils et du manque total de transparence de ce qu’ils permettent de faire. Plus ils sont faciles d’utilisation, moins on se pose de questions. J’ai trop souvent entendu dire que l’éthique d’une machine est que celle-ci s’efface. L’ordinateur disparaît donc il ne fait plus peur. C’est, en fait, exactement l’inverse : plus c’est intuitif et plus la technologie est cachée ! Ce sont des façons d’empêcher la population de s’intéresser aux vrais sujets. Celle-ci doit, au contraire, prendre conscience de ces manipulations et pousser les industriels à suivre des normes et des lois les obligeant à la transparence, qui se résume malheureusement souvent à des pages impropres à être lues.
Quelles sont les solutions envisageables pour protéger nos données personnelles ?
L.D. : D’abord, mieux former les citoyens. L’école doit jouer un rôle, auprès des enfants mais aussi des parents. Ensuite, avec la guerre des normes industrielles entre les États-Unis, la Chine et l’UE, nous avons besoin de toutes les forces industrielles pour suivre les normes et en étendre l’influence. Dès lors, les gens hésiteront à travailler avec des outils de firmes qui ne proposent pas ces protections. Enfin, l’UE doit soutenir la recherche sur ces questions et la mise en place de comités pluridisciplinaires indépendants d’experts académiques et industriels pour auditer ces systèmes après leur mise en service. Il faut également faire prendre conscience de la richesse des données et favoriser les technologies vertueuses sur le marché européen.
M.W. : Ce sont effectivement nos États qui font les lois. La question n’est plus de savoir si les GAFAM les suivront ou non. Et s’ils ne le font pas, ils doivent être sanctionnés. Les données personnelles sont l’or de notre siècle. Ces dernières années nous ont montré qu’elles peuvent aussi servir d’arme de désinformation. Les lois de protection des données sont donc importantes pour faire pression sur les États extérieurs à l’UE par rapport à toutes ces considérations.
Quel conseil simple nous donneriez-vous pour protéger nos données ?
L.D. : Il faut d’abord se demander quelles sont les données importantes et penser à son intimité. Ne vous confiez pas à une machine comme SIRI, Alexa ou Google Home ! Elle peut être d’une certaine aide mais ce n’est pas une « amie » et elle peut collecter vos données. Débranchez les machines quand vous ne les utilisez pas.
M.W. : Je ne suis pas un expert en cyber-sécurité mais en tant qu’utilisateur, je refuse presque systématiquement les cookies. Cela prend un peu plus de temps mais c’est un geste très simple qui permet de nous protéger un peu plus des traceurs.
1 Portrait de Laurence Devillers
2 Alliance des sciences et technologies du numérique
3 Règlement général sur la protection des données
4 Commission nationale de l’informatique et des libertés
5 Health Data Hub
6 Google, Apple, Facebook, Amazon, Microsoft