Pourquoi se réapproprier nos données n’est (pour le moment) pas possible

Les problèmes induits par la collecte et l’exploitation des données personnelles font de plus en plus souvent parler d’eux. Bien que la thématique ne passionne pas encore les foules, les médias relaient toujours plus de questions autour des pratiques des entreprises et des Etats. Malheureusement, c’est avant tout pour évoquer des scandales comme celui de Cambridge Analytica et Facebook plus que pour interroger la pertinence du cadre réglementaire actuel voire la philosophie politique qui est à l’oeuvre derrière les lois en vigueur. Mais le fait de traiter de ces sujets est un point positif. Nous assistons d’ailleurs à l’émergence d’un plus grand intérêt de la part des médias généralistes.

Le journal de Suisse francophone Le Temps a par exemple décidé de lancer prochainement une démarche pour donner à des lectrices et lecteurs l’opportunité de se réapproprier leurs données personnelles. Concrètement, le journal va donner à un groupe de lectrices et lecteurs un accompagnement pour que chacun puisse formuler une requête auprès d’entreprises qui sont détentrices de données personnelles – opérateurs téléphoniques, assurances, réseaux sociaux…

Cette initiative du Temps démontre que le sujet suscite l’intérêt et c’est très bien. Il reste néanmoins nécessaire d’apporter quelques précisions parce que la démarche du journal part du principe que les citoyennes et les citoyens ont la capacité de se réapproprier leurs données personnelles dans la situation actuelle. C’est malheureusement incorrect.

Il faut d’aborder rappeler que la législation suisse est faite de telle manière que la responsabilité d’action incombe au citoyen qui souhaite contrôler les informations que des tiers possèdent à son sujet. En clair, pour pouvoir revendiquer auprès d’entreprises le droit de connaître les données qu’elles possèdent à son sujet et leur demander de les supprimer le cas échéant, le citoyen doit a priori savoir qui possède de telles informations. Or, à ce jour, personne ne peut connaître l’étendue de sa vie numérique, parce que les intermédiaires sont beaucoup trop nombreux. C’est d’autant plus problématique que les entreprises auxquelles nous pensons en premier ne sont peut-être pas celles dont les actions sur les données personnelles qui nous concernent seront les plus dommageables.

Il existe en réalité des centaines d’entreprises qui agissent dans l’ombre, récoltant et exploitant les données personnelles des utilisatrices et utilisateurs des technologies numériques, afin de dresser leur profil psychologique, social, économique, politique, etc. pour ensuite les revendre à d’autres sociétés pour qui de tels croisements d’informations représentent de précieuses sources de revenus potentiels. Le scandale Moneyhouse en Suisse, du nom de cette société dont on a découvert qu’elle possédait des informations sur la quasi-totalité des habitants de ce pays sans même que ceux-ci ne soient au courant, a démontré il y a quelques années l’étendue de ce business de l’ombre. Moneyhouse vend ces informations au titre du renseignement de crédit, récoltées par divers biais – dont des registres publics d’ailleurs.

Combien d’entreprises comme Moneyhouse récoltent en Suisse des informations de nombreuses sources concernant les citoyennes et citoyens de ce pays sans qu’ils n’en connaissent ne serait-ce que l’existence? Le problème, c’est qu’il est impossible de répondre à cette question. Et que, d’ailleurs, ces sociétés de l’ombre ne sont pas forcément basées sur le territoire helvétique, ce qui rend les éventuelles actions en justice d’autant plus compliquées, bien que le droit européen en matière de protection des données soit un peu plus solide que le cadre réglementaire suisse.

Dans un tel contexte, on peut difficilement parler de réappropriation des données puisque celles auxquelles nous pouvons avoir accès ne représentent qu’une infime partie de nos informations contenues dans l’océan de notre vie numérique. Si la responsabilité individuelle est indispensable dans une société où les individus sont libres et autonomes, elle demeure utopique si le cadre juridique ne promeut pas les droits fondamentaux qui permettent d’exercer cette liberté – et donc d’être responsable de nos choix.

Le discours qui tend à faire porter sur l’individu, et sur lui seul, la responsabilité de sa vie numérique est au minimum naïf, au pire malhonnête. Parce qu’en dépit de toute la bonne volonté du monde, d’une fine connaissance des mécanismes du numérique et d’une attitude irréprochable en matière d’utilisation de ces outils pour éviter de transmettre des données personnelles, nul ne peut totalement échapper à la collecte et l’exploitation de ces informations. Et contrairement à une idée reçue bien implanter dans les esprits, il ne suffit pas de se tenir à l’écart des réseaux sociaux pour que ceux-ci ne puissent pas récolter nos données. Les informations que nous avons conscience de transmettre – en partageant des photos, des textes, en remplissant un formulaire en ligne, etc. – ne sont en réalité qu’une petite partie des informations qui sont collectées.

Chaque aspect de notre vie numérique fait l’objet d’une moisson méticuleuse. Cela va de nos heures de connexion, du lieu, des habitudes de navigation au nombre moyen de syllabes employées lorsque nous nous exprimons, à l’empreinte de notre voix, la vitesse de frappe au clavier… Toutes ces informations a priori anodines servent ensuite à obtenir d’autres informations par le biais de ce que nous appelons désormais communément l’intelligence artificielle. Il s’agit ici d’un travail de déduction, d’analyse, de profilage. Ce sont les données que les machines créent à notre sujet en réaction aux informations qu’elles ont recueilli. Le nombre moyen de syllabes employé par mot peut par exemple permettre à une application comme Tinder d’estimer notre quotient intellectuel, lequel influencera les choix qui nous seront proposés.

Notre existence numérique crée des données qui elles-mêmes permettent d’en fabriquer de nouvelles. C’est une spirale infernale, à laquelle nous continuons de consentir en nous racontant des histoires. Malheureusement, plus nous continuons à nous raconter des histoires, plus l’emprise que certaines entreprises et autres Etats obtiennent sur nos vies grandit. Et comme on le devine, cette emprise est exponentielle, comme l’évolution des technologies d’ailleurs.

La bonne nouvelle, c’est qu’il nous est encore possible d’influencer ce processus. Plutôt que de subir, nous pouvons reprendre le contrôle de notre vie numérique. Et nous le devons. Pour y arriver, il faut participer au nécessaire débat de société qui doit émerger sur ces questions. Plus nous serons nombreuses et nombreux à nous préoccuper de notre existence numérique et des droits et devoirs qui doivent en découler, plus nous pourrons faciliter des changements à l’échelle de la société. C’est cette responsabilité individuelle, celle de prendre conscience des enjeux de notre vie numérique, qu’il faut cultiver. Si nous nous contentons d’accepter les règles du jeu, alors nous sommes effectivement responsables, au moins collectivement, du désastre annoncé.

Plutôt que d’écrire à Swisscom pour obtenir le détail des informations que l’opérateur possède à votre sujet, il serait plus judicieux d’écrire aux parlementaires fédéraux en leur demandant des actions concrètes pour reconnaître et protéger notre vie numérique. Si nous sommes suffisamment nombreuses et nombreux à le faire, alors il y a fort à parier que le débat public qui en résultera permettra d’aboutir à de véritables changements. Alors, on s’y met?