Données personnelles et internet : faut-il être paranoïaque ? (partie 1/3)
Cet article a été publié en septembre 2015 dans l’édition no 323 de la revue Scuola Ticinese. Il est publié ici en trois parties : partie 2, partie 3.
En 2012, un client de Minneapolis du grand distributeur américain Target (le pendant de la Migros ou de la Coop) a souhaité rencontrer le gérant du magasin local. Il lui a demandé des explications concernant sa fille, étudiante au lycée, qui recevait du magasin des publicités et des bons d’achat pour des vêtements de grossesse, des berceaux, des habits de bébé, articles donnant à penser qu’elle était enceinte. Le père de la jeune fille demanda au gérant si le magasin voulait encourager sa fille à tomber enceinte. Stupéfait, le gérant s’excusa en déclarant n’avoir aucune idée de la raison de ces promotions.
Rentré à la maison, le papa en discuta avec sa fille et découvrit qu’elle attendait effectivement un enfant. Target avait utilisé des techniques complexes d’analyse prédictive, basées sur le comportement et les habitudes d’achat de la jeune fille, pour déterminer qu’il y avait une probabilité élevée qu’elle attende un bébé, et lui fournissait donc des publicités ciblées.1
Cette anecdote réelle nous montre l’actualité de ce thème, et nous incite à réfléchir sur la nécessité pour notre société et notre école d’agir face à cette situation, et à développer quelques pistes de réflexion.
Données personnelles : de quoi parle-t-on ?
La loi fédérale sur la protection des données définit les données personnelles comme : « toutes les informations qui se rapportent à une personne identifiée ou identifiable.»2
Au premier abord, on se dit alors que les données personnelles sont des informations telles que le prénom, le nom, l’adresse, le numéro de téléphone et d’autres données similaires. Pas de quoi fouetter un chat. Mais la suite est intéressante.
« Une personne est identifiable lorsque, par corrélation indirecte d’informations tirées des circonstances ou du contexte, on peut l’identifier (…).»3
Les techniques d’analyse statistique et les capacités de calcul des ordinateurs actuels permettent dorénavant cette corrélation indirecte d’informations, puisées à de nombreuses sources : l’utilisation de réseaux sociaux (Facebook, Twitter) et de services divers (stockage de fichiers avec Dropbox, courriel avec Gmail, vidéo sur Youtube, guidage GPS), l’emploi de moteurs de recherche (Google), mais aussi les cartes de fidélisation (Supercard, Cumulus, Manor, Club Fnac) et les objets dits intelligents, dotés de capteurs miniaturisés, tels les capteurs d’activité. Cette masse d’informations, c’est ce que l’on appelle aujourd’hui les big data — un ensemble d’informations si volumineux qu’il est difficile de les exploiter avec des outils classiques.
Ainsi, par exemple, les habitudes d’achat d’une personne, les titres et contenus de ses courriels, les sites web qu’elle visite, les centres d’intérêt de ses recherches, les lieux qu’elle fréquente, les produits qu’elle consomme, les informations et messages qu’elle échange sur les réseaux sociaux, sont désormais des données personnelles.
De telles sources de données sont également présentes dans le domaine de l’éducation. Les plateformes d’apprentissages ou celles fournissant des MOOCs détiennent une masse énorme d’informations sur les étudiants et les enseignant-e-s, pouvant être exploitées et traitées de la même manière, à l’aide d’outils adéquats. Si ces plateformes sont en mains privées, qu’advient-il de ces données personnelles ?
Les exemples ci-dessus montrent pourquoi la question des données personnelles est devenue aujourd’hui importante. Avant l’explosion de l’utilisation du web, au milieu des années 1990, il était coûteux et difficile — voire impossible — de collecter de telles données. Il y a encore une quinzaine d’années, l’exploitation et le traitement des informations générées au fil du temps par les personnes durant leur vie n’étaient pas praticables, faute de moyens de calcul suffisants. C’est donc l’hyper-connectivité et les progrès techniques de l’informatique qui ont changé radicalement la donne, et la question de la protection des données est devenue un sujet de préoccupation important de notre XXIème siècle.
« Internet nous a ouvert le monde, mais il a également ouvert chacun de nous au monde.»4 Le prix que l’on nous demande pour accéder à cette hyper-connectivité est de plus en plus celui de notre sphère privée ; chaque achat, chaque clic de souris laisse des traces de nos données personnelles.
Mais ne soyons pas paranoïaques : ce n’est pas le partage d’informations qui est mauvais par essence. Si je sais lesquelles de mes données sont partagées et si j’ai donné mon accord de façon explicite — bien entendu —, cela peut m’aider pour obtenir par exemple des conseils sur un livre à lire ou un film que j’aimerais voir. Mais si je ne suis pas au courant et qu’on ne m’a même pas demandé mon accord, il y a un problème.
La collecte des données est devenue systématique
Internet a été conçu pour résister à une attaque nucléaire. À ses débuts, on avait l’habitude de le représenter comme un filet ou un entrelacement de filets de pêche. Le réseau devait continuer à fonctionner, même si plusieurs centres de données étaient rasés par un bombardement. Il devait donc être décentralisé. À ses débuts, le web reflétait cette organisation : c’était un ensemble de pages liées entre elles de manière chaotique à l’aide de liens hypertextes.
Peu à peu, le web est devenu différent, et on a assisté à une centralisation ; certains sites web sont devenus incontournables : Google, Facebook, Twitter, Amazon, Whatsapp pour ne citer que certains d’entre eux. Ces sites ont des quasi-monopoles, ce qui a pour conséquence que le web se présente aujourd’hui plutôt comme une toile d’araignée ou un ensemble de toiles d’araignées, avec des points centraux. Le problème avec la centralisation, c’est qu’elle nous rend plus faciles à pister, grâce à ces points centraux vers lesquels convergent les informations, et qui attirent des individus pas toujours recommandables.
Les raisons pour lesquelles la collecte des données est devenue systématique sont multiples et dépendent de l’entité qui collecte les données.
Ce n’est pas parce que l’on cache quelque chose que l’on a quelque chose à cacher
Depuis la nuit des temps, les pays du monde entier collectent des données sur leurs citoyens et les personnes qui résident chez eux. Dans les pays totalitaires, la raison en est simple : il faut contrôler les personnes, et de préférence avoir un contrôle absolu sur le peuple. Il est bien connu que Louis XIV interceptait et lisait le courrier de suspects ou personnes désignées comme tels.5 De même, le décryptage des lettres chiffrées était déjà pratiqué, dès le règne de Louis XIII.6 Dans notre monde moderne, les pays totalitaires détournent Internet pour l’utiliser à la surveillance de tout un chacun. Toutes les transmissions Internet sont passées au peigne-fin. Cela permet en outre d’effectuer une censure plus ou moins efficace. Dans les pays plus démocratiques, l’objectif annoncé est de prévenir les attaques terroristes et d’améliorer la sécurité des citoyens honnêtes. C’est pourquoi on assiste maintenant à une volonté généralisée d’obtenir les bases légales jugées nécessaires pour pratiquer une surveillance de masse, y compris des gens qui n’ont rien à se reprocher. Les États-Unis ont déjà une expérience assez longue de cette pratique, légalisée par le Patriot Act.7
Malheureusement, le bilan de cette surveillance généralisée est mitigé : depuis 2001, elle n’a pas permis aux États-Unis de trouver des informations exploitables autres que celles que les forces de l’ordre avaient déjà obtenues par d’autres moyens légaux.8 De plus, cette surveillance n’a pas réussi à empêcher l’attentat de Boston en 2013. L’Histoire nous enseigne en outre que lorsque des pouvoirs trop importants sont donnés, les hommes en abusent. En Suisse, on se souviendra notamment de l’Affaire des fiches de 1989.9
Pire encore, les citoyens qui veulent protéger leur sphère privée sont suspectés d’être des criminels, comme le montrent les récentes déclarations du ministre américain de la justice Eric Holder ou celles du chef enquêteur de la police de Chicago John Escalante, pour lequel, en raison de sa grande sécurité et de la volonté affichée par Apple de protéger la sphère privée de ses consommateurs, l’iPhone est « le téléphone du pédophile.»10
L’État ne doit pas être paranoïaque lui non plus. Ce n’est pas parce que l’on cache quelque chose que l’on a quelque chose à cacher. Comme le disait Benjamin Franklin en 1755 déjà : « Ceux qui veulent renoncer aux libertés fondamentales pour obtenir une petite sécurité provisoire ne méritent ni liberté, ni sécurité.»11
Bien entendu, les gouvernements doivent avoir accès aux données personnelles des malfaiteurs et le pouvoir d’y accéder ; ce pouvoir doit cependant être strictement encadré et protéger le droit à la vie privée des citoyens honnêtes, ce que la surveillance de masse ne respecte pas.
[ Vers la 2e partie de l’article]
Samuel Greengard, Advertising Gets Personal, Communications of the ACM, August 2012, Vol. 55, No. 8. ↩︎
Loi fédérale sur la protection des données (LPD), art. 3. ↩︎
Message du 23 mars 1998 concernant la loi fédérale sur la protection des données. ↩︎
Gary Kovacs, Tracking our online trackers. ↩︎
Duc de Saint-Simon, Mémoires, volume 24, Imprimerie Schneider et Langrand, Paris, 1840. ↩︎
Karl Maria Michael de Leeuw, Jan Bergstra (ed.), The History of Information Security: A Comprehensive Handbook, Elsevier, Amsterdam, 2007. ↩︎
Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001. ↩︎
D’autres exemples sont plus anciens, par exemple dans l’Antiquité grecque avec Solon et surtout Alcibiade. ↩︎
« Apple will become the phone of choice for the pedophile.» ↩︎
« Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.», Lettre au gouverneur de la Pennsylvanie (11 novembre 1755), Benjamin Franklin. ↩︎