Données personnelles en 2018 : vers un nouveau paradigme ?

L'année qui s'achève a été marquée par de nombreuses affaires liées à la question de la collecte et l'utilisation des données personnelles par des services qu'utilise un très grand nombre d'internautes (en tête desquels Facebook), ainsi que par des modifications importantes dans la législation sur ces matières. Ces événements ont permis une plus grande médiatisation de ces questions et un début de prise de conscience des risques et possibilités liées à la gestion de ces données. À travers de nouvelles initiatives pour rendre accessible au plus grand nombre la reprise en main de son intimité numérique se dessinent un nouveau paradigme et une nouvelle éthique du numérique qui ont pour fondements la décentralisation, la concurrence et l'autonomie des individus.

2018, année de crises : une perte de confiance

Durant les premiers mois de cette année, certains mastodontes de l'internet ont connu des crises importantes mettant en avant des questions fondamentales sur leur fonctionnement et l'éthique qui motive leurs décisions concernant notamment la récupération et l'exploitation des données personnelles de leurs utilisateur·ices. Le géant Facebook s'est retrouvé propulsé sous les feux des médias lorsqu'a éclaté une crise en gestation depuis plusieurs années. En effet, des dysfonctionnements avaient été pointés dès 2015 dans la gestion des données personnelles par la société californienne et c'est peu avant le début de 2018 que les critiques se sont cristallisées autour du scandale Cambridge Analytica. Cette agence de communication spécialisée dans l'influence politique, à travers une application connectée au réseau social, a récupéré, entre 2016 et fin 2017, les données personnelles de plus de 87 millions de comptes et s'en serait servi dans le cadre de la campagne présidentielle américaine pour appuyer la candidature de Donald Trump. Malgré le retrait de l'application de ses services, Facebook était apparu comme un apprenti-sorcier sans contrôle sur ces données et leur utilisation. Enfin, cette collusion a soulevé la question de l'utilisation de ces données pour vendre de l'influence et interférer dans le processus démocratique. Moment plus anecdotique mais tout aussi révélateur, la démission de Jan Koum, cocréateur de WhatsApp, le 30 avril avait achevé d'enfoncer le clou; comptaient parmi les raisons de son départ la monétisation à marche forcée de l'application qui avait pourtant fait du chiffrement et de la vie privée ses deux valeurs fondatrices, rachetée par Facebook en 2016, ainsi que la collecte de données utilisées ensuite par le réseau social.

Si le cas Facebook est le plus emblématique et a fait couler le plus d'encre, de nombreuses crises ayant des fondements similaires ont ébranlé le monde des services numériques cette année. C'est le cas notamment de la fermeture de Google+ qui a été amorcée début octobre 2018 et s'achèvera en août 2019, pour des raisons de sécurité des données menacée par une faille dans l'interface entre les profils et les applications. Si la crise a été anticipée, et que l'on peut supposer que les conséquences n'auraient probablement pas été du même ordre de gravité que pour Cambridge Analytica, les tenants et les aboutissants posent des questions semblables sur la sécurité des données personnelles des utilisateur·ices et leur potentielle exploitation. Quelques mois plus tôt, c'était Amazon qui était confrontée à une faille importante de sécurité concernant les données, mise en évidence lorsqu'une famille américaine avait eu la mauvaise surprise de découvrir que son enceinte connectée, Alexa, avait enregistré une de ses conversations et l'avait envoyée à un tiers. Plus récemment, c'est l'application de gestion d'événements du groupe politique des Tories (au Royaume-Uni) qui révélait une importante brèche dans sa sécurité et permettait à n'importe quelle personne inscrite à un événement d'accéder aux données personnelles de toutes les autres également inscrites.

Ces affaires, quelles qu'aient été leurs conséquences, ont mis en évidence des pratiques à l'éthique douteuse de la part de ces services et, plus encore que rendre visibles des lacunes surprenantes concernant les données personnelles, elles ont donné voix à des contestations de leur modèle économique et leur éthique, fondés sur l'exploitation des données et la vente d'influence. Par extension, elles ont mis l'accent sur l'importance de repenser la législation et d'assurer une régulation accrue sur ces pratiques.

2018, année de contrôles : une plus grande vigilance

Ces scandales ont été pris très au sérieux par les autorités judiciaires qui ont cherché à se montrer fermes face aux géants de l'économie numérique. C'est en tout cas le message qu'ont voulu envoyer le Congrès américain, par lequel Mark Zuckerberg a été entendu le 11 avril, et la commission sénatoriale constituée pour l'occasion qui a auditionné le patron de Facebook dans les semaines suivantes. Durant ces audiences, le cocréateur du réseau social a dû reconnaître pour la première fois sa responsabilité, et celle de tous les infomédiaires, dans la circulation des informations et dans l'utilisation des données personnelles. Cette question de la responsabilité du medium se pose notamment dans le recueillement du consentement des internautes à la collecte et l'utilisation de leurs données. Et c'est d'ailleurs une des préoccupations majeures qui ont motivé la rédaction du Règlement Général sur la Protection des Données (RGPD), entré en application dans toute l'Union Européenne (et les États qui en font le choix, comme le Royaume-Uni) le 25 mai. L'ensemble des articles forme un cadre législatif supra-national et harmonisé qui garantit une première ligne de protection et vise à rendre aux utilisateur·ices la main sur la gestion de leurs données personnelles. Cette réglementation s'articule ensuite avec les législations nationales, comme c'est le cas en France où le cadre d'application du RGPD est défini en lien avec la Loi informatique et libertés. Cette préoccupation d'offrir un cadre de régulation à l'utilisation des données personnelles n'est pas neuve (la Loi relative à l'informatique, aux fichiers et aux libertés date de 1978) mais ces dernières années ont été particulièrement importantes dans la mise à jour des outils de régulation et l'affinement des questions de privacy sur le net.

À cet égard, l'article 20 du RGPD est essentiel en ce qu'il instaure un droit à la portabilité des données, c'est-à-dire la possibilité de faire transférer toutes ses données d'un service à un autre, et donc la possibilité de changer de service ; recréer de la concurrence entre les services est un moyen d'assurer un choix aux internautes quant à la façon de donner accès à leurs données. Ce droit, fondamental, est encore largement méprisé par une partie des entreprises du numérique, ce que dénoncent certaines associations qui utilisent le RGPD comme une nouvelle arme pour dénoncer ces abus. Ainsi l'association NOYB, menée par le juriste et activiste Maximilian Schrems, a-t-elle déposé plusieurs plaintes contre les GAFAM , qui contreviendraient au RGPD en appliquant une logique de « consentement forcé ». La Quadrature du net, de son côté, accuse Facebook d'irrégularités dans la collecte du consentement des personnes qui utilisent ses services. Cela étant, malgré les nouveaux outils juridiques dont ils disposent, États et associations n'ont pas vraiment les moyens de faire fléchir les mastodontes du web et il paraît nécessaire que des propositions émergent par le bas pour faire évoluer les pratiques des internautes.

Et c'est précisément dans cette logique que s'est inscrit Tim Berners-Lee en lançant Solid, plateforme open source permettant d'héberger ses données sur le serveur sécurisé et personnalisé de son choix. Ce lancement en septembre est né de l'ambition de donner à toutes et tous les moyens de stocker ses données de manière décentralisée et gérer leur utilisation de façon bien plus minutieuse. Et pour le père du Web, il s'agit de rien moins qu'une révolution dans la manière de penser le Web et le rapport de tout un chacun·e aux données – c'est l'étape nécessaire pour rétablir un équilibre entre les internautes et les entreprises. Si cette initiative a fait du bruit et bénéficie du soutien d'investisseurs importants, elle n'est pas la première sur ce créneau.

Avec un train d'avance, nous lançions en janvier en France, Cozy, le premier « domicile numérique » dont l'ambition est de permettre une décentralisation à l’échelle de l’individu en lui mettant à disposition un cloud personnel dans lequel réunir toutes ses données pour en avoir à la fois plus de contrôle et plus d’usages. Globalement, il s'agit de rendre accessible au grand public des protocoles qui existaient déjà depuis longtemps dans les milieux spécialisés. L'objectif avoué de ces protocoles et leurs interfaces, est d'être davantage user-friendly pour permettre à n'importe qui de s'emparer de cette question centrale :

Qui est légitime pour réunir et contrôler toutes vos données personnelles ? Quelles sont les conditions à réunir pour que le numérique soit structurellement au service de la démocratie ?

Il s'agit donc d'aller à rebours de la logique des GAFAM et de leur modèle économique ainsi que leur éthique en mettant à disposition de toutes et tous des ressources qui facilitent leur empowerment.

2018, année de renouveaux : une prise de conscience ?

Le premier effet de cette succession d'affaires a été une médiatisation bien plus importante des questions liées à ce que sont ces données personnelles et en quoi leur utilisation est un enjeu majeur de l'économie mais aussi de l'éthique du numérique et même de la démocratie. Le grand public a ainsi été mis en garde contre la mauvaise gestion des données personnelles et certaines pratiques des fournisseurs de services, comme ce qu'on a appelé les dark patterns, véritables manipulations dans le design des applications qui jouent sur des biais cognitifs pour renforcer des comportements bénéfiques à l'entreprise chez les utilisateur·ices, en dépit des intérêts liés à leur vie privée et leur sécurité. Par ces mécanismes notamment, c'est une logique de mise en dépendance des internautes qui a été vertement critiquée et que les médias ont pointé du doigt, appelant tout un chacun à s'en méfier et, même, à se « désintoxiquer » en surveillant davantage la trajectoire et l'utilisation des données à caractère personnel. Un indicateur de cette prise de conscience, ou en tout cas d'une plus grande méfiance envers ces services, est la baisse de l'augmentation du nombre d'utilisation de Facebook durant le deuxième semestre de 2018 – qui a entraîné une baisse immédiate de la cotation en bourse de l'entreprise.

Cette conséquence financière immédiate, si elle n'a pas vraiment porté préjudice au géant californien, est tout de même un indice du pouvoir que possèdent les personnes qui utilisent ces services et de l'effet que pourrait avoir une modification de leurs habitudes et pratiques sur le mode de fonctionnement d'entreprises comme Facebook. Ce qu'elles sont invitées à penser, c'est un changement dans leur rapport aux données personnelles, qui sont les éléments constituants de l'intimité numérique de chaque individu. Et c'est la préservation de cette intimité qui semble s'être imposée comme nouvelle préoccupation au cœur de l'utilisation de services en ligne. Par la création d'outils plus grand public, les initiatives comme Solid ou Cozy réaffirment un droit inaliénable au respect de cette intimité et mettent en avant la capabilité, l'agentivité des utilisateur·ices, c'est-à-dire leur capacité d'agir à titre d'individu avec leurs moyens propres sur ces questions.

C'est une expérience éternelle que tout homme qui a du pouvoir est porté à en abuser (...) Pour qu'on ne puisse abuser du pouvoir, il faut que, par la disposition des choses, le pouvoir arrête le pouvoir.
Montesquieu, De l’esprit des lois, 1748

Cette logique porte en elle un nouveau paradigme qui pourrait bien s'imposer dans les années à venir et qui repose sur un équilibre entre utilisateur·ices et fournisseurs d'un service. Pour aller vers cet équilibre, la création d'une véritable concurrence entre différents fournisseurs semble essentielle pour briser, avec son monopole, la relation de dépendance au service qui existe. La mise en avant d'alternatives, qui cherchent un meilleur alignement entre les intérêts des deux parties, tout comme le droit à la portabilité des données, participe ainsi de l'autonomisation des individus. Par ailleurs, avec cette modification des pratiques et du rapport de force, il devient possible d'envisager véritablement que sortir les données à caractère personnel des silos d'informations qui les stockent aujourd'hui rende possible l'émergence de nouveaux usages de ces données ; usages qui reposeraient sur des principes de décentralisation, de souveraineté des institutions judiciaires, de régulation concurrentielle et d'autonomie des individus, concourant à la protection et la mise en valeur de leur intimité numérique.

2018, année charnière

Il faut cultiver notre jardin, Candide ou l'Optimisme, Voltaire, 1759.

Cette année 2018 a été un moment important dans la (re)définition du rapport aux données personnelles du point de vue des entreprises qui les utilisent, des entités qui tentent d'en réguler les usages et des internautes qui les génèrent.

Crises et scandales ont placé les questions de stockage et de gestion de ses données au cœur des préoccupations, non plus seulement des spécialistes et libristes, mais d'une bonne partie des utilisateur·ices lambda. Avec cette prise de conscience, c'est la formulation d'une nouvelle éthique du numérique issue d'une pratique raisonnée, partagée et transparente des données qui s'est dessinée. Les propositions pour mettre en œuvre ce changement de paradigme semblent se vouloir plus accessibles et pouvoir répondre à la nécessité nouvellement formulée de s'approprier des outils pour cultiver son jardin numérique ; et de le faire non pas isolé·es face aux géants du web mais en tant que groupes et communautés d'individus avertis, conscients, autrement dit : éclairés.

🖌 Quelques mots sur Cozy

► Notre mission : démocratiser le domicile numérique en permettant à chacun d'être autonome face sa vie numérique et de réunir toutes ses données pour en avoir à la fois plus de contrôle et plus d’usages.

► Pour suivre nos aventures rejoignez-nous sur les réseaux sociaux :
Facebook : https://www.facebook.com/mycozycloud
Twitter : https://twitter.com/CozyCloud
Mastodon : https://framapiaf.org/@CozyCloud
LinkedIn : https://www.linkedin.com/company/cozy-cloud/

► Nous rencontrer : https://www.meetup.com/fr-FR/Meetup-Cozy-Cloud-en-France/events/254790951/

Rendez-vous sur cozy.io pour créer votre espace Cozy hébergé en France, respectueux de votre vie privée et gratuit jusqu'à 5 Go de stockage.

Crédits photos :
Photo by Thought Catalog on Unsplash