Sunday, October 8, 2017

Intimité sur le Net : Protection des données personnelles ?

L’arrivée de l’informatique, puis celle d’Internet et l’explosion du web et des réseaux sociaux ont fait le renouveau de la question, éternelle, du risque d’abus, voire de violence, envers l’individu suite à l’accès de malveillants à des informations sensibles le concernant, ses « données personnelles ».

Or, si ce risque est réel et croissant avec la puissance de recherche des réseaux, il est souvent très mal compris et très mal exposé. Comme l’affaire Edward Snowden l’a récemment montré, le méchant n’est pas forcément celui qu’on pense, ou surtout, pas toujours celui qu’on nous présente.

Il n’y a qu’un nombre limité de pays qui disposent de lois en matière de « protection des données personnelles ». Les affaires connues (Snowden, Prism, fichiers policiers) montrent que ce n’est pas toujours, loin s’en faut, dans ces pays-là que la question semble la mieux réglée. Quelle surprise !

La plupart de ces textes commettent des erreurs profondes de conception, à plusieurs niveaux. En France, la loi s’obstine à tenter de caractériser une donnée sensible, alors que seule la personne concernée ou celle manipulant ses données peuvent en connaître toutes les facettes et les risques associés. Presque partout, on s’obstine à établir des moyens de protection, mais qui sont trop précis pour pouvoir suivre les évolutions technologiques ou géographiques. De plus, on rend inefficaces les techniques de protection les plus performantes – le chiffrement – sous de faux prétextes de raison d’état. Enfin, tous ces textes tendent à déresponsabiliser les entreprises et les administrations par un glissement de leur pleine responsabilité envers leurs clients vers une conformité envers des textes arbitraires et figés, alors que la sécurité n’a de sens que dans le cadre dynamique du service rendu.

Mais surtout, toutes ces lois inversent la logique. Elles se trompent de menace – et c’est flagrant en France. Car le risque ne vient jamais de l’abus que les sociétés commerciales peuvent faire de l’accès à nos données : je ne crains pas qu’un supermarché me propose des produits sur mesure, bien au contraire. Ni même qu’une entreprise pharmaceutique me propose un nouveau médicament adapté à ma maladie. Par contre, je n’aimerais pas que la police ait accès à mes données de localisation. Il ne faut jamais l’oublier, l’ennemi, le seul, c’est l’état. C’est de lui qu’il s’agit de protéger nos données.

Ainsi, en France, la CNIL est supposée veiller à la protection de mes données. Mais elle ne le peut pas, et en réalité ne le fait pas. Ses fondements sont triplement erronés. Elle tente de caractériser a priori ce qui ferait une donnée personnelle – téléphone, adresse IP, adresse postale, etc. Or seul l’individu, ou l’organisation exploitant ses données, peut savoir ce qui les caractérise. Ma fille a une maladie orpheline ; elle sait en réalité mieux que 99% des médecins quelles informations pourraient conduire à sa mise en danger éventuelle. Dans la santé, aucun juriste ne pourra jamais tout imaginer.

La CNIL tente d’exiger des mesures de protection, par exemple quant au pays où se trouvent les données. Qu’on m’explique, alors que nos données se trouvent tout simplement n’importe où, en quoi le pays apporte quoi que ce soit à la sécurité, vue d’un individu ? Se faire « voler » ses données serait moins pénible au soleil de France ? Non seulement cela ne protège en rien, mais cela accroît le risque d’immixtion par l’état local. Et comme toute mesure protectionniste, cela crée des surcoûts pénalisant les prestataires et en bout de chaîne la sécurité des clients, ou le coût. Moins on laisse la concurrence jouer, moins le marché est poussé à améliorer sa sécurité par la pression de la clientèle.

Surtout, la CNIL ne peut rien contre le politique, dont elle est le bras. On ne compte plus le nombre de fichiers plus que suspects mis en place par le pouvoir contre lesquels la CNIL n’a rien fait d’autre que fermer les yeux – parce qu’elle n’a pas le pouvoir ni l’indépendance pour s’opposer aux élus.

On rencontre bien des inquiétudes sur les réseaux de la part de gens qui apportent crédit aux lois et organisme étatiques, du moins à la tendance à la progressive mise sous tutelle légale du Net.

Un des premiers prétextes est relatif à la disparition de toute confidentialité sur le Net – surtout depuis l’ouverture généralisée des systèmes sur et via Internet. Or le Réseau n’a pas été « sécurisé », car cela n’a jamais été son rôle, son objet. Internet est un simple réseau de transport, très basique et élémentaire, et cela par volonté et par conception. C’est un réseau ouvert, ce qui précisément fait sa force, car cela a permis une interconnexion aisée et donc universelle des systèmes et applications. En contrepartie, c’est à leur niveau que doit se sécuriser la donnée, car c’est là que la sécurité a du sens.

Or la sécurité, donc la confidentialité ou l’anonymat, n’est pas un besoin homogène des données. Certaines données doivent être accessibles par tous, d’autres seulement par certains groupes et d’autres encore par leur seul propriétaire. C’est en réalité à chaque application et donc à chaque entreprise ou organisme concepteur ou responsable des données de prendre la responsabilité de configurer une sécurisation adaptée – et toutes les solutions technologiques existent pour cela.

Un des grands prétextes, dès son origine, à créer la CNIL et depuis à produire de la législation, porte sur la crainte que les entreprises risquent d’abuser de nos données personnelles. Cette idée est un mythe, du moins le risque est-il sans commune mesure avec le risque d’abus par les états – et on le voit bien à l’analyse de l’origine des grands mouvements « cybercriminels » de ces derniers mois. L’entreprise privée pourrait donc durablement abuser ses clients ? Quel est donc le danger concret ?

On peut imaginer que Carrefour triture la masse de données d’achat dont ils disposent à mon égard pour me proposer d’acheter certains produits. Et alors ? Je peux même imaginer qu’on utilise mon génome pour me proposer des médicaments. Mais de même, quel est le risque ? Que j’achète ce que je ne devrais pas ? Qu’ils le fassent savoir à tout le monde ? Quel intérêt pourraient-ils bien avoir ? Ah oui, celui, comme Apple, de faire plaisir ou d’obéir au gouvernement ou aux bureaucrates ? Certes, mais le danger est dans ce cas dans l’abus que fait le gouvernement, malgré les lois.

Le risque de « dérapage » de la part d’une entreprise, ou d’un de ses agents, existe bien sûr et il existera toujours – le risque zéro n’existe pas. Il est de ma responsabilité propre de m’en prémunir, par exemple via une assurance, ou en exigeant de ces entreprises qu’elles sécurisent mes données. Par contre, si la police me suspecte ou simplement cherche les conducteurs qui ont dépassé la limitation arbitraire de vitesse sur autoroute, il vaudrait mieux qu’elle n’ait pas accès aux données de routage de mon téléphone portable, par exemple. Ces questions portent un danger bien plus réel.

Autre grand domaine de crainte, le « Cloud Computing » et son flou suscitent beaucoup de questions notamment juridiques. Comme le phénomène du « Big Data », cette famille de nouveaux paradigmes implique une perte de la maîtrise traditionnelle sur le contrôle direct des données. On voit arriver ainsi très vite un monde où l’accès à des données à l’échelle du monde entier rendra potentiellement possible pour tout le monde de trouver tous les renseignements imaginables sur chacun de nous.

Mais il n’y a là aucun danger nouveau ni aucune réponse nouvelle à apporter. La meilleure manière de ne pas pouvoir trouver des données sensibles, c’est qu’elles ne soient pas sur le Net ou du moins si elles y sont, qu’elles soient protégées à la source. Par exemple, beaucoup s’inquiètent qu’il soit possible de trouver facilement leurs anciennes photos. Ou leurs méfaits. Ou leurs dires. Mais il ne fallait pas les publier, tout simplement. Une donnée se sécurise en amont, toujours. Après, trop tard.

Citations

« Si vous ne voulez pas que votre vie privée soit violée, ne soyez pas l’auteur de cette violation et ne devenez pas la victime d’une version modernisée de « l’Arroseur arrosé ». -- Roseline Letteron, Professeur de droit public, Université de Paris-Sorbonne

« Lorsque vous dites 'le droit à la vie privée ne me préoccupe pas, parce que je n'ai rien à cacher', cela ne fait aucune différence avec le fait de dire 'Je me moque du droit à la liberté d'expression parce que je n'ai rien à dire', ou 'de la liberté de la presse parce que je n'ai rien à écrire'. » -- Edward Snowden

« Aucun système de surveillance de masse ayant existé dans une société, dont on ait connaissance à ce jour, a échappé à des abus. » – Edward Snowden

« A conflict is only possible if goods are scarce. » (Un conflit n’est possible que lorsque les ressources sont rares.) – Hans Hermann Hoppe, The Ethics and Economics of Private Property

No comments: