Les données personnelles, élément clé de la souveraineté ? par Loïs Samain, CEIS

Chaque jour, des millions de giga-octets de données numériques sont échangés : notre téléphone portable, nos consultations sur Internet, notre caméra IP, notre frigidaire connecté ou encore notre nouvel Apple Watch. Et avec l’explosion des objets connectés, le nombre de données n’est pas prêt de diminuer : selon une étude IDC[1] pour EMC parue en avril 2014, le volume de données va considérablement augmenter dans les prochaines années : on s’attend à ce qu’il soit multiplié par 10 entre 2014 et 2020 pour atteindre 44 Zettabytes en 2020, soit 44 000 milliards de giga-octets.

Une question s’impose donc : où vont toutes ces données et à qui appartiennent-elles ?

La souveraineté, c’est-à-dire la capacité pour un Etat d’exercer son autorité sur un territoire et une population, n’est pas une notion figée. Elle a évolué au fil des siècles, des sociétés et du progrès technologique. Mais force est de constater que le numérique, qui se joue des réalités physiques ou juridiques, a considérablement accéléré une mutation déjà à l’œuvre depuis le début du XXème siècle : l’Etat se voit contraint de réinventer et de partager son autorité avec des organisations privées. En témoignent l’identité numérique : pour s’identifier dans la vie « réelle », nous utilisons notre pièce d’identité, délivrée par l’Etat. Il en est tout autre dans le monde numérique où nous nous identifions avec notre compte Facebook ou Google. Ce n’est plus l’Etat qui est garant de l’identité de ses citoyens et de ses données personnelles, mais des entreprises, souvent étrangères, qui n’apportent donc aucune garantie au citoyen quant au respect des législations et réglementations en vigueur dans son pays.

La conséquence directe de cette situation est la crise de confiance qui semble se propager chez les utilisateurs.

Selon un baromètre de l’ACSEL réalisé en 2013[2], moins d’un tiers des Français accordent leurs confiances aux sites administratifs (29%), aux labels de confiance des sites marchands (28%) et à la politique de confidentialité des réseaux sociaux (28%). Une véritable asymétrie informationnelle s’est développée entre les entreprises et l’utilisateur. Ce dernier se sent catalogué, surveillé, et perd ainsi toute confiance envers ces sociétés. Suite à ce constat s’est développé un modèle qui s’oppose au classique CRM – pour rappel, un CRM est l’ensemble des outils et techniques destinés à capter, traiter, analyser les informations relatives aux clients et aux prospects, dans le but de les fidéliser en leur offrant le meilleur service – : ce sont les VRM : Vendor Relationship Management. Ce concept, développé par Doc Searls[3], se base sur une phrase clé : « un consommateur libre vaut plus qu’un consommateur captif » (paradigme du customer centric). Le principe du VRM étant de redonner les informations personnelles que les entreprises possèdent au consommateur, cela permet de le placer ainsi au centre de la relation avec l’entreprise et de lui rendre la maîtrise de ses interactions. Le VRM est comme un CRM inversé : il permet au consommateur de gérer sa relation avec l’ensemble des marques qui l’intéressent, tout comme la marque utilise le CRM pour mieux gérer sa relation avec ses clients. En 2011, le Royaume-Uni a tenté l’expérience avec le projet midata [4]: plus de 20 grandes sociétés se sont engagées à partager avec leurs clients les données qu’elles possèdent sur eux : BarclayCard, MasterCard, HSBC, Everything Everywhere (l’opérateur qui réunit au Royaume-Uni les marques Orange et T-Mobile), Google, plusieurs entreprises du secteur de l’énergie ou de la distribution. Toutes ces données seront réutilisables et portables, comme les fameuses « open-datas ». C’est une remise en question complète de la relation client, qui permettrait aux utilisateurs de pouvoir reprendre la main sur leurs données personnelles et de pouvoir maitriser leur partage.

Cette reprise en main se révèle cependant très théorique : que pouvons-nous faire, si nous refusons que les entreprises utilisent nos données personnelles à des fins commerciales ? La réponse est radicale : rien. Et tout le problème réside dans la propriété des données. Chacun a sa vision : pour certains, chaque individu est propriétaire de ses données personnelles, peu importe où elles sont localisées. Pierre Bellanger par exemple, présent au FIC 2015, affirme que nous serions les « auteurs de nos données personnelles »[5]. Pour d’autres, comme le Conseil National du Numérique, la question n’est pas si simple: ce dernier s’est prononcé lors d’un rapport[6] en 2014 contre l’instauration d’un droit de propriété privée sur les données personnelles car, je cite, « (…) renvoie à l’individu la responsabilité de gérer et protéger ses données, renforce l’individualisme et nie le rapport de force entre consommateurs et entreprises ». Notre secrétaire d’Etat au Numérique, Axelle Lemaire, a quant à elle choisie une voie intermédiaire, en désirant donner un statut aux données d’intérêt général[7] (transport, logement par exemple), à mi-chemin entre sphère privée et sphère publique.

Actuellement, en acceptant les dizaines de pages des conditions générales d’utilisation lors de notre inscription sur certains sites, nous acceptons que le service soit propriétaire des données que nous lui fournissons, données plus ou moins nombreuses selon les politiques d’utilisation de données[8]. Par la même occasion, nous leur permettons d’utiliser ces données à des fins commerciales[9]. Et comme le dit l’adage : « Si le produit est gratuit, c’est que nous sommes le produit »[10]. Sans cette pratique, une société comme Facebook, qui propose majoritairement des services gratuits, ne pourrait pas générer un bénéfice de près de 2,9 milliards de dollars [11] Au 2^nd trimestre 2014, chacun de ses utilisateurs européens rapporterait ainsi $2,84[12] à la firme qui monétise toutes les données des utilisateurs en réalisant de la publicité ciblée. D’autres entreprises proposent cependant des alternatives, comme la société Yes Profile[13]. Celle-ci offre aux internautes la possibilité de faire payer les différentes sociétés pour que celles-ci aient accès aux données personnelles, ce qui permet aux utilisateurs de contrôler et monétiser leurs propres données. Malheureusement, les différents retours montrent que l’idée est bonne, mais peu rentable : quelques euros récupérés en une année. On est encore loin des sommes engrangés avec nos données personnelles par les géants du Net.

Si certains modèles alternatifs se développent, leur portée apparait encore limitée. Du coup, que faire si l’on ne souhaite pas se passer des nombreux services offerts par les entreprises du web ?

La première piste est l’alliance des utilisateurs. Il arrive en effet que ceux-ci se révoltent et parviennent à inverser le cours des choses comme dans le cas d’Instagram. Racheté en Avril 2012 par Facebook, ce site de partage de photos a annoncé fin 2012 des changements dans ses conditions générales d’utilisation, lui autorisant d’utiliser à des fins commerciales les images mises sur la plateforme. Mais cette fois-ci, les utilisateurs se sont retournés en masse contre l’application. Le site National Geographic, lui aussi, a supprimé son compte afin de préserver le contrôle sur les droits de ses photos. Par ailleurs, une plainte collective a été déposée aux Etats-Unis afin de contester ses modifications dans les CGU. Résultat : Instagram a annulé la modification de ses CGU.
La seconde piste est d’essence législative et réglementaire. Depuis le 25 janvier 2012 (plus de 3 ans déjà), la Commission européenne travaille sur un règlement européen sur la protection des données personnelles[14]. Ce règlement a pour objectif de mettre à jour le cadre législatif des données personnelles, qui n’avait pas évolué depuis la directive européenne de 1995. Les législations des Etats membres en matière de données personnelles demeurent en effet fragmentées. Parmi les mesures phares que contiennent ce nouveau projet de règlement, on peut citer la notification des violations de traitements de données personnelles, les analyses d’impacts préalables pour les traitements les plus risqués, la création de nouveaux droits concernant l’oubli et la portabilité des données (les sanctions pouvant aller jusqu’à 2% du chiffre d’affaires mondial), et le rôle central dévolu au « Délégué à la protection des données » (évolution de la fonction actuelle du Correspondant Informatique et Libertés). La première copie présentée avait été refusée par la plupart des Etats membres, jugeant que l’équilibre entre la protection du citoyen et les intérêts économiques des acteurs du numérique n’était pas respecté. Or, les révélations d’Edward Snowden ont permis de relancer la Commission sur le sujet. Le 12 mars 2014, la Commission a approuvé le nouveau texte et c’est désormais au tour du Conseil de l’Europe de se prononcer. Chaque pays ayant ses propres intérêts, les négociations obligatoires entre le Parlement et le Conseil de l’UE, la Commission européenne ainsi que les co-législateurs risquent cependant de prendre encore beaucoup -trop- de temps. Mais avons nous encore le temps d’attendre ?

— Sources —

[1] http://france.emc.com/infographics/digital-universe-2014.htm

[2] http://www.acsel.asso.fr/erosion-de-la-confiance-des-francais-dans-les-services-en-ligne/

[3] http://www.cluetrain.com/manifeste.html

[4] http://www.midatalab.org.uk/video/

[5] http://www.franceculture.fr/emission-place-de-la-toile-plaidoyer-pour-une-souverainete-numerique-2014-04-19

[6] http://www.cnnumerique.fr/plateformes/

[7] http://www.nextinpact.com/news/93124-open-data-axelle-lemaire-veut-donner-statut-aux-donnees-dinteret-general.htm

[8] https://www.facebook.com/about/privacy/

[9] http://www.godzimama.com/si-jaurais-su-jaurais-pas-signe-les-cgu-de-facebook/

[10] https://www.youtube.com/watch?v=8vLSf1i4E7A

[11] http://techcrunch.com/2014/07/23/facebook-q2-2014-earnings/