Le monde entier s’est étonné quand a été révélé il y a quelques semaines le siphonnage géant par l’entreprise Cambridge Analytica des données de dizaines de millions d’utilisateurs de Facebook. C’est pourtant le fonctionnement normal, actuellement, de Facebook. La multinationale californienne n’a pas obtenu le consentement préalable de ses utilisateurs pour partager leurs données : le partage est permis par défaut et l’utilisateur est contraint de l’accepter pour pouvoir utiliser le service Facebook.
Au-delà de l’utilisation du réseau social devenu quasi-incontournable, que se passe-t-il quand je clique « j’accepte » aux demandes de traçage des cookies sur Internet ? Qui s’intéresse de savoir quelles pages web je consulte, ce que je regarde via un moteur de recherche, à qui j’envoie des mails, ou quels achats en ligne je réalise ? Où vont ces données ? Des entreprises s’en servent-elles pour leur marketing, pour profiler mes comportements, pour me démarcher ? Font-elles de l’argent avec ces données ? Ces questions, un internaute ne se les pose pas à chaque fois qu’il entre une adresse URL dans son navigateur, qu’il like un post ou une vidéo, qu’il valide un achat en ligne.
Les députés européens débattent eux de ces sujets depuis près de cinq ans. D’abord à l’occasion des discussions sur le règlement général sur la protection des données (RGPD), qui refonde l’ensemble des règles pour le traitement de données personnelles des Européens, et en ce moment avec un second règlement décisif, ePrivacy. Celui-ci devra enfin réguler la protection des données de communications électroniques, comme la messagerie WhatsApp ou le logiciel Skype, et l’utilisation des cookies, notamment utilisés à des fins de profilage publicitaire. Règlements RGPD et ePrivacy auront tous deux des conséquences essentielles sur ce qui pourra être fait des donnée collectées sur les internautes, donc sur leur droit à la vie privée.
Instaurer la règle d’un véritable consentement
Début février à l’Assemblée nationale, les députés français ont discuté d’un projet de loi sur la protection des données personnelles qui doit justement adapter le droit français au règlement RGPD. Ce nouveau règlement européen, adopté en 2016, entrera en vigueur en mai. Il vise notamment à renforcer les obligations de transparence des plateformes qui récoltent les données et les contraindre à demander de manière claire le consentement des internautes pour le traitement de leurs données. Point essentiel, les utilisateurs ne devraient pas être obligés de consentir à l’exploitation de leurs données pour accéder aux contenus d’un site ou d’un service en ligne. En somme, normalement, après mai, Facebook ne pourra plus partager les données de ses utilisateurs sans avoir obtenu auparavant leur consentement clair. Et être obligé de consentir au partage de ces données pour pouvoir s’inscrire sur Facebook ne devrait plus être autorisé.
Certains députés de La République en marche (LREM) ne semblent pas avoir bien saisi que l’idée de ce règlement est de protéger les citoyens face à la marchandisation de leurs données. Au cours des discussions à l’Assemblée nationale, une dizaine d’entre eux a proposé un amendement visant plutôt à les monétiser. « Le citoyen, entendu comme la personne humaine qui consent à faire exploiter ses données, jouit des droits moraux sur les données personnelles qu’il génère individuellement ou par l’intermédiaire des outils numériques qu’il utilise », dit l’amendement (qui n’a pas été adopté) [1]. « Il existe le droit des brevets, les droits d’auteurs, mais “la propriété intellectuelle” n’est pas complète car il n’existe rien sur les données personnelles, qui sont de fait la quasi-propriété des gestionnaires, souvent les GAFAMI/BATX (géants du Net américains et chinois, Gafam signifiant Google, Apple, Facebook, Amazon et Microsoft, ndlr), données qu’ils utilisent à des fins commerciales », poursuit le texte de l’amendement. En voulant donner aux citoyens un droit de propriété similaire au droit d’auteur ou au droit des brevets sur les données personnelles qu’ils laissent sur Internet, les députés LREM voulaient bel et bien ouvrir à la monétisation de ces données personnelles.
Les riches peuvent protéger leur vie privée, les pauvres peuvent la vendre
Une tribune publiée dans Le Monde le 5 février, co-signée par un des députés LREM auteur de l’amendement, éclaire leur vision des choses. « On pourrait ainsi accéder à certains services sans partager ses propres données, mais en payant le prix de cette confidentialité et donc en devenant véritablement client. À l’inverse, dans la mesure où l’on accepte de céder ses données, il faudra que les plates-formes nous rémunèrent, réintégrant ainsi le producteur primaire de données dans la chaîne de valeur », écrivent la quinzaine d’auteurs de cette tribune, dont Laurence Parisot, ancienne présidente du Medef, et la PDG de l’entreprise de cagnottes en ligne Leetchi. Dans cette perspective, ceux qui peuvent payer pour un service pourraient protéger leurs données, les autres paieraient avec leurs données personnelles, bref, avec leur vie privée. En clair, les riches pourront protéger leur vie privée en payant, les pauvres devront la vendre s’ils veulent accéder au service proposé.
La protection des données sur le web est un droit fondamental pour les citoyens qui se heurte aux intérêts d’une industrie qui utilisent ces données comme ressource et qui s’est développée en dehors de tout cadre juridique. Ce qui est discuté à l’échelle de l’Union européenne en ce moment même – renforcer la protection des données – n’est pas du goût de certaines entreprises.
Approches “pro-business” vs “pro-libertés”
« Nul utilisateur ne peut se voir refuser l’accès à un service [...] au motif qu’il n’a pas consenti [...] à un traitement de ses données à caractère personnel [...] non nécessaire à la fourniture du service », stipule bien la position adoptée par le Parlement européen le 26 octobre dernier sur le règlement ePrivacy encore en discussion [2], venant confirmer une première disposition sur le caractère « libre » du consentement. Au moment des discussions du texte ePrivacy au Parlement européen à l’automne, deux visions se télescopaient déjà, notamment sur le cadre juridique à donner au recueil du consentement.
Cette pierre angulaire de la nouvelle réglementation conditionne les modalités pour les entreprises d’exploitation des cookies, des métadonnées – historique de navigation et de communications, géolocalisation, liste des contacts etc. – ou traçage par wifi. D’un côté, une approche “pro-business” privilégiait la stratégie dite de “opt-out” laissant à l’utilisateur la charge de s’opposer à son profilage. Rendu célèbre par les bannières « en continuant sur ce site, vous accepter l’utilisation des cookies », les sites rendaient le retrait du consentement de facto si fastidieux que mêmes les utilisateurs avertis finissaient par “consentir” de guerre lasse. De l’autre, une approche “pro-libertés” favorise l’“opt-in”, qui inverse la charge du consentement en obligeant l’entreprise à recueillir un accord éclairé de l’utilisateur, pour chaque collecte de ses données. C’est finalement cette approche qui a été retenue par le Parlement européen dans la position adoptée en octobre.
L’impossible anonymisation des données personnelles
ePrivacy prévoit toutefois plusieurs exceptions au recueil du consentement. Une entreprise peut ainsi invoquer un “intérêt légitime” à la collecte de données personnelles pour assurer le fonctionnement d’un service. Or, la frontière entre intérêt économique et intérêt légitime devient vite poreuse. Google a par exemple unifié les politiques de confidentialité de tous ses services (gmail, Google maps, Google search…) sans consentement dans l’optique de pouvoir croiser un océan de données. Comme souvent, le géant de Mountain View a invoqué son “intérêt légitime” [3].
Une autre exception au consentement concerne la « pseudonymisation » ou l’anonymisation des données, qui visent à empêcher l’identification d’une personne sur la base de ses données. Celle-ci est également contestée. Le croisement de seulement quelques données anonymes peut permettre de retrouver l’identité d’une personne. Il suffirait par exemple de quatre géolocalisations téléphoniques pour identifier n’importe quel individu [4], ou de trois données basiques (sexe, code postal et date de naissance) pour dé-anonymiser une personne dans une base médicale [5].
Intensif lobbying du business du numérique contre ePrivacy
« Le texte voté au Parlement, même imparfait, garantit les fondamentaux de la vie privée en ligne. Il faut maintenant le défendre face à un conseil européen (réunion des ministres des pays membre, ndlr) très conservateur », expliquait Eva Joly, députée européenne des Verts à Basta! au moment du vote. Une fois la position du Conseil connue, commenceront les « trilogues » : des négociations tripartites entre représentants la Commission européenne, du Parlement et du Conseil. « Loin de la médiatisation du débat parlementaire, on entre avec les trilogues dans une phase plus opaque de la négociation. Et le conseil européen est également un terrain de jeu privilégié des lobbies », rappelle un assistant parlementaire.
Le milieu des affaires semble particulièrement alarmé par le choix du Parlement européen d’imposer une forte protection par défaut des utilisateurs (privacy by default) dans les paramètres des navigateurs internet et des applications sur smartphones. Directement visée par le texte : l’industrie du profilage en ligne, notamment les « tierces-parties » qui collectent les moindres faits et gestes des utilisateurs à des fins de publicité ciblée. Les lobbies chercheront donc à peser de toutes leurs forces dans la dernière ligne droite.
Digital Europe, qui regroupe les géants du net (Amazon, Apple, Google, HP, IBM, Microsoft…) a ainsi dépensé, en 2017, 1,9 million d’euros en lobbying auprès des institutions européennes. Ses représentants ont décroché 113 rendez-vous avec des commissaires européens ou des membres de leurs cabinets ces quatre dernières années. Soit une trentaine de rendez-vous par an ! [6]. Il y a aussi l’European Digital Media Association (EDiMA), où l’on retrouve comme membres Apple, Ebay, Facebook, Google, LinkedIn, Microsoft, Twitter... qui a dépensé plus 200 000 euros en lobbying auprès des institutions européennes en 2017 [7] Et la Computer & Communications Industry Association (CCIA), avec Amazon, Facebook, Google ou Uber, qui a déboursé plus de 400 000 euros de dépenses européennes de lobbying (chiffres 2016) [8]. Parmi les questions auxquelles ces associations d’entreprise s’intéressent, on retrouve, en premier lieu, ePrivacy.
Marc Meillassoux (à Bruxelles), Rachel Knaebel
Photo : CC Esther Vargas