tag:theconversation.com,2011:/us/topics/rgpd-54271/articlesRGPD – The Conversation2023-05-23T17:51:14Ztag:theconversation.com,2011:article/2053462023-05-23T17:51:14Z2023-05-23T17:51:14ZRGPD : cinq ans après, le rôle difficile des délégués à la protection des données<figure><img src="https://images.theconversation.com/files/525171/original/file-20230509-12882-bnnzdk.jpg?ixlib=rb-1.1.0&rect=44%2C13%2C1214%2C831&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Le 25&nbsp;mai 2018, le Règlement général sur la protection des données était adopté par l’Union européenne.
</span> <span class="attribution"><a class="source" href="https://pixabay.com/illustrations/europe-united-europe-flag-united-2021308/">Arakir/Pixabay</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Le lundi 22 mai, Meta, la maison-mère de Facebook, Instagram ou encore WhatsApp, a écopé d’une <a href="https://www.francetvinfo.fr/internet/reseaux-sociaux/union-europeenne-meta-la-maison-mere-de-facebook-ecope-d-une-amende-record-de-1-2-milliard-d-euros-pour-avoir-envoye-les-donnees-d-utilisateurs-aux-etats-unis_5840483.html">amende de 1,2 milliard d’euros</a> pour avoir enfreint le <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees">règlement général sur la protection des données</a> (<a href="https://theconversation.com/fr/topics/rgpd-54271">RGPD</a>). Le régulateur irlandais, en charge d’appliquer le texte européen, a estimé que le géant américain avait « continué de transférer des données personnelles » d’utilisateurs du siège européen à Dublin vers les États-Unis en violation des règles des vingt-sept.</p>
<p>Cette amende, que Meta conteste, constitue la troisième infligée à la maison-mère de Facebook depuis le début de l’année dans l’UE. Il s’agit également d’un montant record qui dépasse les <a href="https://www.usine-digitale.fr/editorial/amazon-ecope-d-une-amende-record-de-746-millions-d-euros-au-luxembourg-pour-violation-du-rgpd.N1130064">746 millions d’euros réclamés à Amazon</a> en juin 2021 au Luxembourg.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1660582626879500290"}"></div></p>
<p>Cette nouvelle amende contre Facebook illustre bien la montée en puissance réglementaire du RGPD, qui a été adopté par l’<a href="https://theconversation.com/fr/topics/union-europeenne-ue-20281">Union européenne</a> (UE) il y a presque cinq ans, le 25 mai 2018. L’idée de ce nouveau cadre normatif était de trouver un compromis entre défendre les droits des individus et permettre l’innovation des agents économiques. En effet, pour de nombreuses entreprises, les <a href="https://theconversation.com/fr/topics/donnees-23709">données</a> à caractère personnel sont devenues une véritable manne, dont la protection suscite des craintes chez les citoyens comme chez leurs représentants.</p>
<h2>Encore peu de DPD</h2>
<p>Le texte, du fait de sa nature juridique, s’est appliqué immédiatement à tous les États membres. En France, c’est la <a href="https://theconversation.com/fr/topics/commission-nationale-de-linformatique-et-des-libertes-cnil-137097">Commission nationale informatique et libertés</a> (CNIL) qui est garante de son respect. En 2022, l’autorité a prononcé 21 sanctions pour un montant total de 101 277 900 euros. En outre, avec 147 décisions prononcées, la CNIL a également annoncé un nombre record de mises en demeure (ordonnant à un organisme de se mettre en conformité dans un délai fixé).</p>
<p><iframe id="pwI5E" class="tc-infographic-datawrapper" src="https://datawrapper.dwcdn.net/pwI5E/1/" height="400px" width="100%" style="border: none" frameborder="0"></iframe></p>
<p>Pourtant, les entreprises n’avaient pas nécessairement attendu la Commission européenne pour être sensibilisées à cette problématique. Dans l’Hexagone, la loi dite « <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460">Informatique et liberté</a> » de 1978 était déjà maîtrisée par les organisations. Beaucoup avaient déjà en leur sein un <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2014-05-01/">« correspondant informatique et libertés »</a>, ancêtre du <a href="https://www.apec.fr/tous-nos-metiers/informatique/delegue-a-la-protection-des-donnees.html">délégué à la protection des données personnelles</a> (DPD), fonction instituée par le RGPD pour les organismes publics et les organisations amenées à traiter à grande échelle des données dites « sensibles », avec des missions de veille, d’information, de conseil, de contrôle et d’alerte si besoin.</p>
<p>Malgré cela, cinq ans après l’entrée en vigueur du RGPD, de nombreux chantiers restent en cours. D’abord, des progrès restent à accomplir en matière d’amélioration de la sécurité des données informationnelles et de suppressions des données (purges) dans tout le système d’information. Autre difficulté : les organismes tardent à se doter d’un délégué à la protection des données qui, selon le <a href="https://www.cnil.fr/fr/le-delegue-la-protection-des-donnees-dpo">guide publié par la CNIL</a>, ne doit pas recevoir d’instructions ni ne peut être sanctionné ou licencié en raison des conclusions qu’il tire dans le cadre de ses missions.</p>
<p>Si le <a href="https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_42e_rapport_annuel_-_2021.pdf">rapport</a> publié par la CNIL en 2022 faisait état de <a href="https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_43e_rapport_annuel_-_2022.pdf#page=12">89 841</a> organismes ayant désigné un DPD, ces responsables restent encore peu présents dans un certain nombre de structures. C’est particulièrement le cas au sein des collectivités territoriales, au point que des <a href="https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees">communes</a> ont pu être mises en demeure d’en désigner un par les autorités.</p>
<h2>Un rôle très (trop ?) vaste</h2>
<p>Au sein des organisations qui ont nommé un DPD, les missions qui ont présenté la plus lourde charge de travail lors du déploiement du RGPD ont porté sur la mise en place et le suivi d’un <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4">registre des activités de traitements</a> des données. Constituer ce document a souvent nécessité de longs échanges en interne pour recenser toutes les activités susceptibles de collecter des données, puis d’identifier la nature et la durée de leur conservation.</p>
<p>[<em>Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde</em>. <a href="https://theconversation.com/fr/newsletters/la-newsletter-quotidienne-5?utm_source=inline-70ksignup">Abonnez-vous aujourd'hui</a>]</p>
<p>Or, ce temps nécessaire apparaît inadapté à la rapidité des développements informatiques et des projets : les documents de conformité sont ainsi souvent en décalage avec les exigences. Par exemple, les <a href="https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd">analyses d’impacts sur la vie privée (AIVP)</a> sollicitent énormément de temps car impliquent de nombreux échanges avec l’ensemble des métiers impactés. Ce document, obligatoire pour les traitements susceptibles d’engendrer des risques élevés, peut donc parfois être obsolète une fois publié.</p>
<p>Comme l’indique un témoignage que nous avons recueilli :</p>
<blockquote>
<p>« Le rôle de DPD est vaste car il est à la fois le pilote de la conformité, un conseiller auprès de la direction et un accompagnateur des métiers. Il doit s’intéresser à toutes les directions et comprendre tous les métiers de l’entreprise afin d’apprécier la conformité des traitements. »</p>
</blockquote>
<p>Cela n’est pas sans conséquence sur ces responsables :</p>
<blockquote>
<p>« Nous devons répondre à une demande d’exercice des droits, déclarer une notification de violation de données, etc. En termes de savoir-être, il faut être capable de gérer le stress et les pics d’activité. »</p>
</blockquote>
<h2>DPD, un rôle mal reconnu</h2>
<p>D’après nos observations sur le terrain, quelques recommandations pourraient être suggérées afin de faciliter le travail des DPD. Une première voie consisterait à <strong>alléger leur charge de travail</strong>, ce qui peut se faire en étoffant leur équipe pour répondre aux nombreuses sollicitations au quotidien. Les DPD travaillent majoritairement seuls : <a href="https://travail-emploi.gouv.fr/IMG/pdf/rgpd-metier-dpo-premiers-resultats-072019.pdf">75 % d’entre eux n’ont pas d’équipe pour les épauler dans leur mission</a>.</p>
<p>Rares sont de plus les DPD qui disposent d’un <a href="https://travail-emploi.gouv.fr/IMG/pdf/rgpd-metier-dpo-premiers-resultats-072019.pdf">budget</a> afin d’accomplir leurs tâches. Seul près d’un tiers d'entre eux déclarent avoir eu des fonds en 2020, ou avoir pu bénéficier facilement de ceux d’autres services. Aussi allouer plus de <strong>moyens financiers</strong> représente-t-il un autre chemin sur lequel il serait bon de s’engager.</p>
<p>La <strong>place du DPD dans l’organisation</strong> mérite aussi réflexion. Il remplit une fonction support et de conseil, ce qui peut présenter certaines limites si la direction générale décide de passer outre l’alerte du DPD. Un enquêté le rappelle bien :</p>
<blockquote>
<p>« Le DPD conseille le responsable de traitement, il ne décide pas. D’où l’intérêt qu’il puisse être proche de la direction générale. »</p>
</blockquote>
<p>L’idée est qu’il puisse être soutenu dans la mise en place des recommandations qu’il formule. Un DPD nous a, par exemple, fait part des difficultés auxquelles il a été confronté et de la manière dont il tente de s’en sortir :</p>
<blockquote>
<p>« Après 7 ans d’expérience dans la protection des données, dont 5 comme DPD, je constate que la conduite du changement se réalise de manière progressive, difficile. Elle passe par beaucoup de sensibilisation et d’accompagnement des métiers. Ensuite, selon moi, il est toujours indispensable d’avoir le sourire et d’être aimable. La conformité n’est pas une thématique très motivante pour la plupart des collègues, alors autant faire preuve de sympathie afin qu’ils soient moins réticents à assister aux réunions de suivi ».</p>
</blockquote>
<p>Cette difficulté de sensibilisation des métiers internes à l’entreprise provient très probablement de l’absence de lien hiérarchique entre le DPD et les métiers. Il est très complexe pour lui de faire adhérer les parties prenantes : il ne bénéficie de fait pas d’un pouvoir de motivation, voire de sanction en cas de non-atteinte des objectifs de ses collègues.</p>
<p>Le rôle de DPD semble donc ne pas avoir terminé sa mutation. Peut-être, le nombre croissant de <a href="https://theconversation.com/fr/topics/cyber-attaques-36559">cyberattaques</a> ainsi que des normes juridiques à venir, comme le <a href="https://www.pwc.fr/fr/expertises/gestion-des-risques/maitrise-des-risques-technologiques/dora-exigences-reglementaires-europeennes.html">règlement Dora</a> qui entrera en vigueur en janvier 2025, inciteront-ils les organisations à accroître leur sécurité informatique et à renforcer les moyens des DPD.</p><img src="https://counter.theconversation.com/content/205346/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Odette Simoes ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>La réglementation européenne a imposé la mise en place de ces responsables qui se retrouvent souvent seuls et avec peu de moyens financiers au sein de leur organisation.Odette Simoes, Maître de conférences associé en Management des Systèmes d'information et conformité, IAE Paris – Sorbonne Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1999202023-02-28T18:14:33Z2023-02-28T18:14:33ZConcilier ubérisation et souveraineté numérique, un défi de taille<figure><img src="https://images.theconversation.com/files/512689/original/file-20230228-24-s410ow.jpg?ixlib=rb-1.1.0&rect=0%2C6%2C4256%2C2816&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">La protection des données personnelles est une question essentielle pour les travailleurs ubérisés. </span> <span class="attribution"><span class="source">Pexels</span></span></figcaption></figure><p>Alors que le conflit entre les chauffeurs VTC et les plates-formes semble tourner en faveur des travailleurs, après de nombreuses années de combat social et juridique (succession des <a href="https://www.liberation.fr/economie/transports/a-lyon-uber-condamne-aux-prudhommes-a-requalifier-les-contrats-de-139-chauffeurs-20230120_FA7LIO62FBBCDNZ3IBS65FQVKU/">requalifications en contrat de travail</a>, vote de la <a href="https://www.mediapart.fr/journal/international/020223/au-parlement-europeen-uber-et-deliveroo-perdent-une-bataille">présomption de salariat par le Parlement européen</a>), un nouveau combat relatif à la protection des données émerge, autour de la sécurisation des données personnelles et de la protection des droits numériques.</p>
<p>Pour les travailleurs « ubérisés », ces questions sont peu abordées car les débats autour de la présomption de salariat et la requalification en contrat de travail dominent. Cependant, le travail sur les plates-formes impose de traiter cette matière qui relève aujourd’hui du code du travail et fait partie intégrante du combat juridique de ces travailleurs face à des plates-formes qui triomphent aux dépens du droit du travail. Car si ces entreprises imposent un statut indépendant à des travailleurs subordonnés, elles ne sauraient faire exception à la violation des droits sociaux en ce qui concerne la protection de la vie privée et des libertés individuelles.</p>
<h2>Un travail de régulation indispensable</h2>
<p>Le 20 décembre 2018, la Commission nationale de l’informatique et des libertés (CNIL) condamne Uber à <a href="https://www.lesechos.fr/industrie-services/tourisme-transport/piratage-de-donnees-uber-mis-a-lamende-en-france-par-la-cnil-240511">400 000 euros d’amende</a> pour atteinte à la sécurisation des comptes des utilisateurs (clients et chauffeurs) en 2016, dont les données personnelles (nom, adresses mail, numéros de téléphone) avaient été piratées.</p>
<p>Cette sanction <a href="https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000037830841/">se justifie</a> par un « manque de précautions généralisé » étant donné que « le succès de l’attaque menée par les pirates a résulté d’un enchaînement de négligences ».</p>
<p>L’affaire <a href="https://www.clemi.fr/fr/ressources/nos-ressources-pedagogiques/ressources-pedagogiques/quand-les-donnees-personnelles-sechappent-laffaire-cambridge-analytica.html">Cambridge Analytica</a> a été, parmi d’autres facteurs, un accélérateur du travail de régulation effectué par l’UE, notamment à travers le <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees">Règlement général sur la protection des données</a> (RGPD) – un texte qui encadre le traitement des données personnelles dans l’UE – qui <a href="https://www.channelnews.fr/considere-comme-insuffisamment-efficace-le-rgpd-va-etre-corrige-122531#.Y_uTJ65hiWs.twitter">sera peut-être corrigé prochainement</a>. </p>
<p>La souveraineté numérique est intimement liée à la capacité des États à protéger les droits sociaux par la régulation politique. Or, le gouvernement actuel fait preuve d’une <a href="https://twitter.com/EmmanuelMacron/status/852561494810251264">vision de la souveraineté numérique</a> conforme à celle des GAFAM, sans investissements et accompagnements suffisants pour les entreprises. Or, un contexte politique favorable à l’ubérisation est sans doute moins résistant face aux géants du web et des dangers qu’ils représentent pour la démocratie.</p>
<p>Cette vision n’est ni avantageuse pour la French tech, qui dépend toujours des GAFAM, ni protectrice pour les travailleurs de plates-formes qui, du fait de la dérégulation autorisée au nom de la croissance et du travail, mènent leurs activités dans des conditions précaires. A contrario, une politique de souveraineté numérique forte peut prendre la forme, par exemple, du <a href="https://hal.science/hal-03418333">coopérativisme de plates-formes</a>, mouvement alternatif a l’ubérisation. Ce modèle démocratique de la propriété partagée et de la gouvernance participative permet aux travailleurs de devenir actionnaires et de prendre contrôle de leurs conditions de travail et toute autre décision liée à leurs droits du travail.</p>
<p>Les plaintes déposées par la <a href="https://www.bfmtv.com/economie/nouvelle-plainte-contre-uber-concernant-son-utilisation-des-donnees-personnelles_AD-202009290248.html">Ligue des droits de l’Homme</a> et <a href="https://www.tf1info.fr/justice-faits-divers/deconnexions-de-chauffeurs-une-plainte-visant-uber-deposee-devant-la-cnil-2189032.html">par des chauffeurs VTC</a>) contre Uber pour non-respect du RGPD se sont multipliées ces dernières années.</p>
<p>Entre attaques pour refus de transfert des <a href="https://www.liberation.fr/france/2020/06/12/la-ligue-des-droits-de-l-homme-depose-plainte-contre-uber-devant-la-cnil_1791034/?redirected=1">données aux chauffeurs</a>, <a href="https://www.leparisien.fr/economie/les-chauffeurs-uber-ne-veulent-pas-que-leurs-donnees-partent-aux-etats-unis-20-02-2021-8425680.php">exportation et commercialisation des données</a>, et <a href="https://www.lemonde.fr/pixels/article/2021/06/17/des-chauffeurs-bannis-d-uber-portent-plainte-contre-l-application_6084549_4408996.html">suspension automatisée</a>, Uber est confronté depuis plusieurs années à un contre-mouvement international organisé par plusieurs acteurs de la société civile (juristes, syndicats, députés, chercheurs, journalistes).</p>
<p>En réponse, la plate-forme semble céder à certaines de ces réclamations en autorisant, par exemple, l’accès aux données d’utilisation des VTC qui en font la demande. Cependant, en ce qui relève de l’article 49 (transfert des données hors UE sans consentement des intéressés), et de l’article 22 (décision fondée sur un traitement automatisé) du RGPD, la plate-forme résiste encore pour deux raisons : d’une part, le transfert des données des chauffeurs est crucial pour le développement de la voiture autonome et d’autres projets de la plate-forme, et d’autre part, son modèle organisationnel est incompatible avec le RGPD puisqu’il est totalement automatisé et recourt très peu à des interventions humaines, alors que l’article 22 du RGPD interdit précisément cette forme de management algorithmique.</p>
<h2>La régulation : combat social et choix politiques</h2>
<p>Le sol européen est confronté à deux visions contradictoires. D’une part, la vision libérale attire les investissements étrangers grâce aux pressions politiques comme en témoignent les <em>Uberfiles</em> sur <a href="https://www.lemonde.fr/pixels/article/2022/07/10/uber-files-revelations-sur-le-deal-secret-entre-uber-et-macron-a-bercy_6134202_4408996.html">l’implication d’Emmanuel Macron dans le développement d’Uber</a> et aux avantages fiscaux dans le cadre de l’accord entre l’administration fiscale néerlandaise et Uber, permettant à cette dernière de <a href="https://www.lemonde.fr/pixels/article/2022/07/13/uber-files-quand-les-pays-bas-aidaient-uber-a-freiner-un-controle-fiscal_6134619_4408996.html">payer moins d’impôts</a>.</p>
<p>D’autre part, la vision réglementaire traduit une longue tradition régulatrice du continent concrétisée par des textes comme le RGPD et la <a href="https://ec.europa.eu/commission/presscorner/detail/en/ip_21_6605">Directive européenne sur l’amélioration des conditions de travail des travailleurs des plates-formes</a> qui a contribué à l’adoption de la présomption de salariat par le parlement européen.</p>
<p>Si les deux visions adressent la question de la souveraineté numérique de l’Europe, les stratégies déployées pour y parvenir sont paradoxales. Tout en prônant la souveraineté numérique (par l’investissement dans la Frenchtech, le développement d’infrastructures nationales, etc.) Emmanuel Macron soutient le développement d’Uber, ou décerne la Légion d’honneur à Jeff Bezos.</p>
<p>La régulation politique représente un véritable travail de terrain, sans cesse menacé par le lobbying des plates-formes et par des politiques libérales sur fond de culte entrepreneurial, défendant volontiers l’hypothèse selon laquelle l’IA serait le vecteur de solutions à des problèmes sociaux profonds. <a href="https://www.youtube.com/watch?v=OPNx6sPqkkE">Selon Emmanuel Macron</a>, « Notre défaite collective, c’est que les quartiers aujourd’hui où Uber embauche (Uber comme d’autres), ce sont des quartiers où nous on ne sait rien leur offrir ».</p>
<p>Le combat des chauffeurs VTC prouve qu’une instance de régulation telle que la CNIL et qu’un texte de référence tel que le RGPD, ne peuvent être pleinement efficaces sans des initiatives citoyennes ambitieuses, informées et transnationales, et un positionnement politique et institutionnel plaçant le droit du travail au centre de la question de la souveraineté numérique.</p>
<p>La coopération transnationale entre les autorités de régulation est importante à ce titre, comme l’a illustré le travail des CNIL européennes pour le traitement de <a href="https://twitter.com/CNIL_en/status/935918586304040962">l’affaire du piratage des comptes chez Uber</a>. Mais elle reste insuffisante dans un paysage politique qui continue à défendre le modèle d’affaires des plates-formes sous de nouvelles formes, <a href="https://www.lemonde.fr/idees/article/2022/12/04/uber-considere-les-travailleurs-comme-un-bricolage-temporaire-en-attendant-l-arrivee-des-voitures-autonomes_6152892_3232.html">comme le dispositif du dialogue social</a>, pour s’adapter aux pressions juridiques actuelles.</p><img src="https://counter.theconversation.com/content/199920/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Salma El Bourkadi ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Pour les travailleurs ubérisés, un nouveau combat relatif à la protection des données émerge, qui se heurte à de nombreux obstacles sociaux et politiques.Salma El Bourkadi, Docteure en Sciences de l'information et de la communication, Conservatoire national des arts et métiers (CNAM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1803542022-04-04T18:26:14Z2022-04-04T18:26:14ZLa transparence digitale peut parfois attiser la méfiance des consommateurs<p>Le Règlement général pour la protection des données personnelles (<a href="https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd">RGPD</a>) mis en place depuis mai 2018 dans l’Union européenne a instauré un changement important de la culture des entreprises sur leurs pratiques concernant les données en imposant de nouvelles exigences éthiques, responsables et transparentes.</p>
<p>L’objectif était de protéger le consommateur en l’informant face aux outils, aux pratiques et aux technologies employés par les organisations, généralement invisibles du point de vue des utilisateurs (collecte des données, algorithmes, ciblage publicitaire, tracking…). Les entreprises tiennent en effet généralement les clients dans l’ignorance et maintiennent l’opacité liée aux pratiques digitales.</p>
<p>Mais cette transparence rassure-t-elle le consommateur ? La réponse est moins simple qu’il n’y paraît. En effet, une <a href="https://journals.sagepub.com/doi/abs/10.1177/0767370120935734">étude</a> que nous avons menée, réalisée auprès de 445 consommateurs, confirme que, de manière évidente, trop peu de transparence génère de la suspicion. Mais nos résultats montrent aussi qu’il existe un effet négatif de la transparence sur la confiance au-delà d’un certain seuil.</p>
<h2>Filtre mental</h2>
<p>Plusieurs raisons peuvent expliquer cela. Prenons d’abord l’exemple d’un rappel de véhicule réalisé par un fabricant car celui-ci présente des aspects qui mettent en péril la sécurité des conducteurs. Dans cette situation, le rappel de véhicule crée-t-il de la confiance auprès des individus ou bien au contraire éveille-t-il des soupçons, de la suspicion, de la méfiance quant à la qualité du produit ? Le fait d’être transparent envers les clients, en ce qui concerne les pratiques digitales et les éléments liés à la sécurité de leurs données personnelles, peut donc éveiller un sentiment négatif à l’égard de l’entreprise.</p>
<p>Expliquer les processus marketing éveille les soupçons et la méfiance des clients qui ne se doutaient certainement pas de l’ampleur des pratiques digitales. Finalement, expliciter ses actions, c’est signaler une forme de risque. Ne « rien dire » pour la marque peut insinuer qu’elle respecte scrupuleusement les lois et les normes en vigueur dans le domaine (le RGPD par exemple). Parler des actions et des mesures prises concernant la protection des données personnelles peut, a contrario, créer de la suspicion. Comme nous l’a confié le PDG de Synox Group, spécialiste des objets connectés :</p>
<blockquote>
<p>« Si l’entreprise dit trop de choses, les clients ont l’impression qu’elle essaye de se justifier et donc cela crée le sentiment contraire. Ils perdent en confiance. Si l’entreprise n’a rien à se reprocher, elle n’a pas besoin d’en dire autant. En dire trop fait perdre en clarté. Le client ne sait plus analyser si l’on en dit trop, il n’a peut-être pas les capacités pour assimiler l’information. »</p>
</blockquote>
<p>Par ailleurs, il s’avère que les clients sont soumis à des mécanismes psychologiques complexes et à des raccourcis cognitifs afin de répondre aux exigences de l’environnement de façon automatique, intuitive et rapide. Il est question de rationalité limitée. Par exemple, lors de son parcours d’achat, le client peut réaliser un cadrage mental (évaluation partielle), un réductionnisme ou une sélection orientée lors de l’évaluation de l’entreprise.</p>
<p>Il applique de façon inconsciente un filtre mental qui aboutit à ne pas lui faire prendre en compte un certain nombre d’informations divulguées par l’entreprise. Ce qui pourrait expliquer que même si l’entreprise est transparente, cela ne permet pas d’améliorer la confiance ; les clients se fondant sur des a priori négatifs liés à la méfiance généralisée concernant les pratiques digitales.</p>
<p>Finalement, la transparence d’une marque n’est pas un élément facilement vérifiable par les consommateurs. Elle est donc insuffisante. Il peut même s’avérer dangereux d’être transparent si la marque ne donne pas à ses clients des moyens de contrôler cette transparence. <a href="https://journals.sagepub.com/doi/10.1509/jm.15.0497">Le « savoir » seul a des effets mitigés</a> sur la suppression du sentiment de vulnérabilité des individus. Sans procurer de contrôle sur les <em>data</em>, la transparence peut ainsi avoir un effet contre-productif et donc négatif sur la confiance. Informer, c’est bien. Donner les moyens de reprendre le contrôle sur ses données, c’est bien mieux.</p>
<h2>Plus de pédagogie</h2>
<p>Pour trouver ce bon équilibre entre trop et pas assez de transparence, les marques peuvent envisager des actions très concrètes. Le géant de la distribution en ligne Amazon propose par exemple les avis vérifiés qui mettent en exergue les origines et les détails des avis clients (produit acheté et date de l’achat). Les entreprises peuvent aussi, par exemple, introduire un lien dans chaque fiche produit renvoyant vers la politique de retour et vers la procédure de remboursement (la plus simple possible de préférence).</p>
<p>En matière de gestion des données personnelles, les entreprises doivent déjà désormais rendre davantage de comptes aux consommateurs, en raison du RGPD et des nouvelles conventions professionnelles en vigueur. Mais elles pourraient le faire de manière plus exhaustive et plus pédagogique, par exemple à l’aide de vidéos simples et de contenus visuels. Les marques doivent valoriser les bénéfices concrets obtenus lors de la collecte et de l’utilisation des données personnelles, plutôt qu’expliciter les procédés complexes de traitement de la donnée. Être transparent oui, mais encore faut-il l’être sur ce qui est attendu de la part des consommateurs !</p>
<p>Enfin, il s’agirait d’inciter plus largement les marques à travailler collectivement en faisant en sorte de développer des pratiques plus responsables. L’idée est de réinventer le contrat social afin qu’il paraisse plus juste aux yeux des consommateurs, ce qui pourrait bénéficier par la suite aux marques en termes de relation client. Pour cela, des actions de politiques publiques peuvent être mises en place. Par exemple, l’État travaille aujourd’hui sur le plan national pour un numérique inclusif. Ce type d’initiative permet justement aux consommateurs de mieux maîtriser leur environnement, de réduire leur vulnérabilité perçue et donc de renforcer leur confiance envers les marques.</p><img src="https://counter.theconversation.com/content/180354/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Audrey Portes ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Selon un travail de recherche, les entreprises qui se livreraient à trop d’explications quant à leurs pratiques en ligne risquent de développer de la suspicion chez leurs clients.Audrey Portes, Assistant Professor, Montpellier Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1768452022-03-16T21:02:50Z2022-03-16T21:02:50ZCyber World Cleanup Day : faisons la chasse à ces « données zombies » qui polluent<p>L’accord de Paris nous incite – si l’on veut rester <a href="https://unfccc.int/fr/processus-et-reunions/l-accord-de-paris/l-accord-de-paris">sous les 2 degrés d’augmentation</a> de température – à diminuer par deux nos émissions de gaz à effet de serre avant 2030, et par cinq avant 2050. Comment le numérique peut-il participer à relever ce défi ? Et comment supprimer des données devenues « zombies » peut-il partiellement y contribuer ?</p>
<p>C’est l’objectif du <a href="https://cyberworldcleanupday.fr/a-propos/">Cyber World Cleanup Day</a> qui aura lieu ce samedi 19 mars 2022.</p>
<p>Cette initiative cherche à créer les conditions d’une prise de conscience globale de l’impact environnemental du numérique. Elle sensibilise au <a href="https://institutnr.org/charte-numerique-responsable">numérique responsable</a> de façon très concrète, en partant d’une action simple : « nettoyer » ses propres données.</p>
<h2>L’impact environnemental du numérique</h2>
<p>De plus en plus d’utilisateurs du numérique, cela signifie à la fois de plus en plus d’appareils fabriqués, mais aussi de plus en plus de données produites.</p>
<p>Dans le domaine du numérique, la fabrication constitue de loin le poste le plus impactant en termes de réchauffement climatique ; viennent ensuite l’utilisation puis le recyclage.</p>
<p>Les nombreuses données disponibles (<a href="https://data.ademe.fr/">Ademe</a>, <a href="https://theshiftproject.org/lean-ict/">Shift Project</a>, <a href="https://greenspector.com/fr/accueil/">Greenspector</a>, <a href="https://www.economie.gouv.fr/numerique-quotidien">economie.gouv.fr</a>, etc.) convergent pour nous montrer que :</p>
<ul>
<li><p>L’impact environnemental du numérique dépasse désormais celui de l’aviation civile. Certains travaux classent par exemple l’Internet comme troisième pays consommateur d’électricité au monde, après les États-Unis et la Chine. Environ <a href="https://lejournal.cnrs.fr/articles/numerique-le-grand-gachis-energetique">10 % de l’électricité mondiale</a> serait ainsi consommée pour son seul usage. Et <a href="https://www.greenit.fr/2020/10/06/4-des-emissions-de-ges/">4 % des émissions de gaz à effet de serre</a> y seraient associées selon des chiffres de 2020.</p></li>
<li><p>L’impact <a href="https://www.greenit.fr/wp-content/uploads/2019/10/2019-10-GREENIT-etude_EENM-rapport-accessible.VF_.pdf">environnemental du numérique</a> est avant tout lié à la fabrication des matériels ; elle est coûteuse en eau douce, sable, terres rares, énergies primaires, ressources non renouvelables et engendre de multiples pollutions (des sols notamment). On compte aujourd’hui environ 5 équipements par personne en moyenne, soit <a href="https://www.grizzlead.com/lincroyable-impact-de-la-pollution-numerique-et-les-bonnes-pratiques-a-adopter-tres-vite/">34 milliards de smartphones, ordinateurs, consoles de jeux, tablettes et autres téléviseurs</a>. De plus, la fabrication d’un seul gramme de smartphone <a href="https://youmatter.world/fr/impact-environnement-smartphone-numerique-ecologie/">dépense 80 fois plus d’énergie</a> que celle d’un gramme de voiture.</p></li>
<li><p>L’impact de l’utilisation des matériels s’avère plus faible, mais il croît rapidement au fur et à mesure de la <a href="https://lesenjeux.univ-grenoble-alpes.fr/2018/articles-revue/dossier-2018-production-des-donnees-production-de-la-societe-les-big-data-et-algorithmes-au-regard-des-sciences-de-linformation-et-de-la-communication/">production – souvent mécanique – et du traitement des données</a> au sein d’écosystèmes de plus en plus interconnectés et énergivores. L’essentiel de l’usage se fait désormais en mobilité : en France, un smartphone est par exemple utilisé <a href="https://www.frandroid.com/produits-android/smartphone/756115_combien-dheures-par-jour-passez-vous-sur-votre-ecran-de-smartphone-en-moyenne">plus de 50 heures par mois</a>… essentiellement pour Internet.</p></li>
<li><p>La piste du recyclage reste décevante, avec moins de 1 % des métaux qui seraient recyclés et <a href="https://www.lajauneetlarouge.com/comment-recycler-les-dechets-du-numerique/">moins de 20 % des déchets d’équipements électriques et électroniques</a> dont on peut documenter effectivement le recyclage. Le numérique constitue ainsi l’un des mauvais élèves et du recyclage et du réemploi.</p></li>
<li><p>L’impact du stockage de données reste le moins perceptible, mais il est considérable. La capacité de stockage mondiale <a href="https://fr.statista.com/infographie/17800/big-data-evolution-volume-donnees-numeriques-genere-dans-le-monde/">a atteint 6,7 zettaoctets en 2020</a>. De plus, <a href="https://fr.statista.com/infographie/17800/big-data-evolution-volume-donnees-numeriques-genere-dans-le-monde/">elle va continuer de croître</a> en moyenne de près de 20 % par an jusqu’à 2025, notamment pour accueillir le volume de données des objets connectés et de <a href="https://theshiftproject.org/article/impact-environnemental-du-numerique-5g-nouvelle-etude-du-shift/">la 5G</a>.</p></li>
</ul>
<h2>Données zombies et serveurs comateux</h2>
<p>La durée de vie de nos appareils ainsi que leur consommation électrique pourrait être aisément améliorée en supprimant les données qui ne sont plus utilisées. Car ces données inutilisées – parfois <a href="https://www.bfmtv.com/economie/entreprises/services/70-des-donnees-stockees-par-les-entreprises-sont-inutilisables_AN-201506190173.html">même inutilisables</a> – continuent à prendre de la place sur les terminaux personnels, sur des serveurs dédiés ; elles sont également dupliquées dans les data centers.</p>
<p>Dormantes, latentes, cachées… Ces données massives constituent un gaspillage insidieux.</p>
<p>Nous les nommerons <a href="https://www.komprise.com/blog/is-zombie-data-haunting-you/">« données zombies »</a> : il s’agit de données codées et placées dans des gabarits de tout format (son, vidéo, <a href="https://www.capital.fr/conso/cest-le-moment-de-trier-vos-photos-voici-les-bons-outils-1367761">image</a>, page, texte, etc.) dont le volume est d’au moins 10,00 Ko et dont la durée d’inactivité est d’au moins 3 années.</p>
<p>Photos ratées, brouillons, applications obsolètes, factures de 2012, trajets de 2014, vidéos de 2018 tombées dans les oubliettes : autant de « données zombies » qui alourdissent notre pollution numérique.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/teletravail-en-confinement-sept-conseils-pour-alleger-les-reseaux-136570">Télétravail en confinement : sept conseils pour alléger les réseaux</a>
</strong>
</em>
</p>
<hr>
<p>Si le coût du stockage des données est faible – ce qui n’incite nullement les entreprises et les particuliers à faire le ménage –, la chasse à ces données zombies représente une action aussi facile qu’efficace dont il ne faut pas se priver.</p>
<p>Ces données sont à la fois <a href="https://www.linkedin.com/pulse/ces-donn%C3%A9es-qui-ne-meurent-jamaisvive-les-zombidata-marc-bidan/?originalSubdomain=fr">volumineuses, dangereuses et coûteuses</a>. Volumineuses : même s’il est difficile de les évaluer, elles représenteraient, selon les études, entre 20 % à 30 % de la volumétrie totale des données du système d’information (SI).</p>
<p>Dangereuses : elles constituent clairement une faille de sécurité (une porte d’entrée, une information dormante, une version ancienne d’un fichier pas forcément obsolète, des fichiers d’anciens mots de passe toujours actifs, des anciens comptes professionnels avec « log in », mais <a href="https://dywidag.com/fr-FR/privacy">sans « log off »</a>, etc.) souvent mal prise en compte notamment au sein des PME dont le stockage des données n’est pas sécurisé.</p>
<p>Enfin, elles sont coûteuses en matière de stockage.</p>
<p>Il faut également ici mentionner les <a href="https://www.lemagit.fr/definition/Serveur-zombie">serveurs zombies</a> ou encore les « serveurs comateux ». Ces <a href="https://whatis.techtarget.com/fr/definition/Serveur">serveurs</a> physiques hébergent données et applications, mais ne communiquent plus, et consomment donc de l’électricité pour rien. <a href="https://www.anthesisgroup.com/report-zombie-and-comatose-servers-redux-jon-taylor-and-jonathan-koomey/">Une étude de 2017</a> évalue à environ 3,6 millions le nombre de serveurs zombies aux États-Unis et à 10 millions sur la planète. Plus nous stockons de données, plus nous maintenons d’applications, plus nous générons de serveurs comateux.</p>
<h2>Des données à supprimer… et à ne pas produire</h2>
<p>Que l’on soit un particulier ou une entreprise, pour participer au Cyber World Cleanup Day, voici la marche à suivre.</p>
<p>Il s’agit d’une part d’identifier les zombies – en utilisant le tri par « modifié le » ou par « taille » – puis de les traiter. Cela s’avère relativement aisé en utilisant <a href="https://www.avg.com/fr/signal/how-to-get-rid-of-unnecessary-apps-on-your-pc">certaines applications</a> qui proposent un archivage non énergivore ou carrément une destruction ; sachant que ce processus reste le fruit d’une démarche volontaire et explicite et non d’un paramétrage par défaut.</p>
<p>Nous abordons ici l’une des <a href="https://theshiftproject.org/category/thematiques/numerique/">dérives de nos écosystèmes data centrés</a> : ces derniers postulent que toutes les données sont à conserver, car, un peu comme les malles et bibelots qui encombrent nos caves et greniers, elles « peuvent » se révéler utiles une « prochaine fois »…</p>
<p>La réalité montre qu’il n’en est rien. Pour les directions SI des entreprises, disposant en général de moyens, d’informations et de compétences, le <a href="https://www.lemondeinformatique.fr/actualites/lire-nettoyage-des-donnees-un-travail-ingrat-mais-vital-en-datascience-83779.html">travail de nettoyage et de chasse aux données</a> zombies est paradoxalement plus facile que pour les utilisateurs particuliers pouvant se satisfaire d’un illusoire statu quo. Le <a href="https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on">RGPD</a> a également largement aidé les entreprises à monter en compétences sur les questions liées <a href="https://www.riskinsight-wavestone.com/2018/06/3-idees-recues-sur-les-obligations-du-rgpd-23/">à leurs données stockées</a>.</p>
<p>En effet, pour les professionnels des SI et de leur <a href="https://fnege-medias.fr/fnege-video/quest-ce-que-le-management-des-systemes-dinformation/">management</a>, il existe depuis quelques années des applications, des ESN et des plates-formes (<a href="https://www.komprise.com">komprise.com</a>, <a href="https://greenspector.com/fr/category/zone-technique/">greenspector.com</a>, <a href="https://www.easyvirt.com/">easyvirt.com</a>).</p>
<p>Ces solutions peuvent par exemple identifier les données non sollicitées depuis X années, les données issues de comptes Y qui ne feraient plus partie de l’organisation, puis ces solutions Z vont « dénicher » ces données et proposer de les supprimer. Des solutions – <a href="https://cyberworldcleanupday.fr/cleanup/un-grand-coup-de-balais-dans-vos-donnees-zombies/">mais aussi des ateliers</a> – peuvent ainsi proposer de les identifier, de les détruire ou de les déplacer vers le cloud ou la corbeille… qu’il faudra bien penser à vider !</p>
<h2>De la responsabilité à la sobriété numérique</h2>
<p>L’idéal serait bien sûr de ne pas produire de tels volumes de données et d’aller vers une plus grande sobriété numérique.</p>
<p>Il est en effet regrettable que la <a href="https://management-datascience.org/articles/16254/">dématérialisation annoncée des contenus</a> s’accompagne d’une matérialisation toujours plus massive des contenants. Les modèles d’affaires data centrés des géants de l’Internet ont ici une grande part de responsabilité. Il faut bien que l’utilisateur produise des données – gratuitement ou pas – pour qu’un opérateur les collecte, les stocke, les traite et les revende. La maîtrise du cycle de vie des données constitue le cœur de leur position dominante.</p>
<p>Le volume produit n’est donc pas une contrainte, mais une aubaine pour ces acteurs. C’est bien là l’écueil du <a href="https://cyberworldcleanupday.fr/annuaire-des-cyber-cleanups/">Cyber World Cleanup Day</a> qui ne doit pas cacher la forêt des <a href="https://www.statista.com/statistics/871513/worldwide-data-created/">données produites</a> derrière l’arbre des données nettoyées.</p><img src="https://counter.theconversation.com/content/176845/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Marc Bidan est directeur du laboratoire d’Économie et de Management de Nantes Atlantique (LEMNA). </span></em></p><p class="fine-print"><em><span>Christophe Benavent ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Le volume des données quasiment « mortes » ne cesse de croître. À l’occasion du Cyber World Cleanup Day, nous montrons qu’il est possible d’agir pour identifier et supprimer ces données zombies.Marc Bidan, Directeur du laboratoire LEMNA - Professeur en Management des systèmes d’information - Polytech Nantes, Auteurs historiques The Conversation FranceChristophe Benavent, Professeur en sciences de gestion, Université Paris Dauphine – PSLLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1710142021-11-10T12:34:03Z2021-11-10T12:34:03ZSouveraineté et numérique : maîtriser notre destin<p>Facebook se dote d’un <a href="https://www.lemonde.fr/pixels/article/2021/10/21/le-conseil-de-surveillance-de-facebook-critique-les-regles-du-reseau-social-concernant-la-moderation-des-contenus-de-celebrites_6099423_4408996.html">conseil de surveillance</a>, sorte de « cour suprême » statuant sur les litiges relatifs à la modération des contenus. Des géants du numérique comme Google investissent le <a href="https://theconversation.com/sans-les-cables-sous-marins-plus-dinternet-leurope-est-elle-prete-169858">marché des câbles sous-marins de télécommunications</a>. La France a dû faire <a href="https://www.usine-digitale.fr/article/d-ici-deux-ans-microsoft-ne-sera-plus-l-hebergeur-du-health-data-hub.N1031429">machine arrière</a> après avoir confié à Microsoft l’hébergement du Health Data Hub.</p>
<p>Ces quelques exemples montrent que la manière dont le numérique se développe ne porte pas seulement atteinte à l’indépendance économique et l’identité culturelle de l’Union européenne et de la France. C’est la souveraineté qui est en cause, menacée par le numérique, mais y trouvant aussi une forme d’expression.</p>
<p>Le fait le plus marquant réside dans l’appropriation par les grandes plates-formes numériques non européennes des attributs de la souveraineté : un territoire transnational qui est celui de leur marché et du lieu d’édiction de normes, une population d’internautes, une langue, des monnaies virtuelles, une fiscalité optimisée, un pouvoir d’édiction de normes et de régulation. La composante propre au contexte numérique réside dans la <a href="https://www.larcier.com/fr/droits-et-souverainete-numerique-en-europe-2016-9782802753469.html">production et l’utilisation de données et dans la maîtrise de l’accès à l’information</a>. Il y a donc une forme de concurrence avec les États ou l’Union européenne.</p>
<h2>C’est la souveraineté sous toutes ses formes qui est interrogée</h2>
<p>La notion de souveraineté numérique <a href="https://pierrebellanger.com/publications/">a mûri</a> depuis qu’elle a été formalisée il y a une dizaine d’années sous la forme d’un objectif de « maîtrise de notre destin sur les réseaux ». Le contexte actuel est différent de celui qui l’a vue naître. Désormais, c’est la souveraineté en général qui connaît un regain d’intérêt, voire le souverainisme (qui fait de la protection de la souveraineté étatique une priorité).</p>
<p>La <a href="https://legrandcontinent.eu/fr/2021/07/01/le-peuple-souverain-et-lespace-numerique/">politisation du sujet</a> n’a jamais été aussi grande et le débat public s’organise autour de thèmes comme la souveraineté étatique face à l’Union européenne et son droit, l’indépendance économique, ou encore l’autonomie stratégique face au monde, la citoyenneté et la démocratie.</p>
<p>Dans les faits, la souveraineté numérique se construit sur la base de la régulation du numérique, de la maîtrise de ses éléments matériels et de la composition d’un espace démocratique. Il est nécessaire d’agir, sous peine de voir la souveraineté numérique être l’otage de débats trop théoriques. Nombreuses sont donc les initiatives qui se réclament directement de la souveraineté.</p>
<h2>La régulation au service de la souveraineté numérique</h2>
<p>Le cadre juridique du numérique est fondé sur des valeurs qui façonnent une voie européenne, notamment la protection des données personnelles et de la vie privée, la promotion de l’intérêt général, par exemple dans la gouvernance des données.</p>
<p>Le texte emblématique de l’approche européenne est le règlement sur la protection des données personnelles (RGPD) adopté en 2016, qui vise la maîtrise de ses données par le citoyen, maîtrise qui s’apparente à une forme de souveraineté individuelle. Ce règlement est souvent <a href="https://ec.europa.eu/commission/presscorner/detail/fr/fs_20_1172">présenté</a> comme un succès et un modèle, même si cela doit être relativisé.</p>
<h2>La nouvelle régulation européenne du numérique pour 2022</h2>
<p>L’actualité est marquée par la préparation d’une nouvelle régulation du numérique avec deux règlements qui devront être adoptés en 2022.</p>
<p>Il s’agit de <a href="https://www.mollat.com/livres/2549971/julien-nocetti-questions-internationales-n-109-les-gafam-une-histoire-americaine#">réguler les plates-formes</a> qui mettent en relation offreurs et utilisateurs ou proposent des services de classement ou référencement de contenus, de biens ou de services proposés ou mis en ligne par des tiers : Google, Meta (Facebook), Apple, Amazon, et bien d’autres encore.</p>
<p>L’enjeu de souveraineté est présent dans cette réforme comme le montre le <a href="https://www.contexte.com/article/numerique/andreas-schwab-le-digital-markets-act-doit-se-focaliser-sur-les-gafa_132213.html">débat sur la nécessité de se focaliser sur les GAFAM</a>.</p>
<p>D’un côté, le <em>Digital Markets Act</em> (le futur règlement européen sur les marchés numériques) prévoit des obligations renforcées pour les plates-formes dites <a href="https://www.contexte.com/numerique/les-digital-services-act-dsa-et-digital-markets-ac/">« contrôleurs d’accès »</a> dont dépendent utilisateurs intermédiaires et finaux. Les GAFAM sont concernés même si d’autres entreprises pourraient être l’être – comme Booking ou Airbnb. Tout dépend de l’issue des discussions en cours.</p>
<p>De l’autre, le <em>Digital Services Act</em> est un règlement sur les services numériques qui viendra <a href="https://www.contexte.com/numerique/les-digital-services-act-dsa-et-digital-markets-ac/">organiser la responsabilité des plates-formes</a>, notamment à raison des contenus illégaux qu’elles peuvent véhiculer.</p>
<h2>L’espace numérique, lieu de confrontations</h2>
<p>Se doter de règles de droit ne suffit pas.</p>
<blockquote>
<p>« Les États-Unis ont les GAFA (Google, Amazon, Facebook et Apple), la Chine a les BATX (Baidu, Alibaba, Tencent et Xiaomi). Et l’Europe ? Nous avons le RGPD. Il est temps de ne pas dépendre uniquement des solutions américaines ou chinoises ! » déclarait le Président Emmanuel Macron <a href="https://medium.com/atomico/french-president-emmanuel-macron-niklas-zennstr%C3%B6m-europes-technology-future-dec-2020-238d477c4a01">lors d’un entretien</a> le 8 décembre 2020.</p>
</blockquote>
<figure>
<iframe src="https://player.vimeo.com/video/488643621" width="500" height="281" frameborder="0" webkitallowfullscreen="" mozallowfullscreen="" allowfullscreen=""></iframe>
<figcaption><span class="caption">Entretien entre Emmanuel Macron et Niklas Zennström (CEO d’Atomico). Source : Atomico sur Medium.</span></figcaption>
</figure>
<p>L’espace international est un lieu de confrontation des souverainetés. Chacun veut légitimement maîtriser son destin numérique, mais il faut compter avec l’ambition des États qui revendiquent le droit de contrôler ou surveiller leur espace numérique conçu de manière large, à l’instar des États-Unis ou de la Chine.</p>
<p>L’Union européenne et/ou ses États membres, comme la France, sous peine d’être une « colonie numérique », passent donc à l’action et promeuvent des solutions souveraines.</p>
<h2>Maîtriser les infrastructures et ressources stratégiques</h2>
<p>À force de concentrer l’attention sur les services d’intermédiation, on ne met pas assez l’accent sur la dimension industrielle du sujet.</p>
<p>Or, le premier enjeu réside dans la <a href="http://www.senat.fr/rap/r19-007-1/r19-007-18.html">maîtrise des infrastructures vitales et des réseaux de télécommunications</a>. Moins médiatisée que celle des équipements de la 5G et de la résistance face à Huawei, la question des câbles sous-marins (98 % des données numériques mondiales y circulent) est révélatrice de la nécessité de promouvoir notre industrie câblière face à l’hégémonie d’entreprises étrangères et l’arrivée de géants tels que Google ou Facebook dans le secteur.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/si-la-russie-coupe-les-cables-sous-marins-leurope-peut-perdre-son-acces-a-internet-169858">Si la Russie coupe les câbles sous-marins, l’Europe peut perdre son accès à Internet</a>
</strong>
</em>
</p>
<hr>
<p>L’adjectif « souverain » est aussi accolé à d’autres ressources stratégiques. Ainsi, l’Union européenne veut sécuriser l’approvisionnement en semi-conducteurs, car actuellement la dépendance à l’égard de l’Asie est forte. C’est l’objet de l’<a href="https://www.usine-digitale.fr/article/souverainete-numerique-l-europe-veut-sa-legislation-sur-les-semi-conducteurs.N1140697"><em>European Chips Act</em></a> qui vise à créer un écosystème européen. <a href="https://www.usine-digitale.fr/article/souverainete-numerique-l-europe-veut-sa-legislation-sur-les-semi-conducteurs.N1140697">Pour Ursula Von Leyden</a>, « ce n’est pas seulement une question de compétitivité, mais aussi de souveraineté numérique ».</p>
<p>Se pose aussi la <a href="https://www.la-croix.com/Economie/largent-public-cloud-souverain-2021-11-02-1201183299">question du cloud « souverain »</a> qui peine à se mettre en place. Territorialisation du cloud, confiance, protection des données sont autant de conditions pour asseoir la souveraineté. La France a créé pour cela le <a href="https://www.ssi.gouv.fr/actualite/secnumcloud-evolue-et-passe-a-lheure-du-rgpd/">label SecNumCloud</a> et prévoit des financements substantiels.</p>
<p>L’adjectif « souverain » est aussi utilisé pour qualifier certaines données : celles pour la disponibilité desquelles aucun État ne doit dépendre de quiconque, comme les données géographiques. D’une manière générale, un consensus se crée autour de la nécessité de maîtriser les données et l’accès à l’information, en particulier dans les domaines où l’enjeu de souveraineté est le plus fort : la santé, l’agriculture, l’alimentation, l’<a href="https://cnnumerique.fr/files/uploads/2020/CNNum%20-%20Avis%20Donnees%20environnementales%20d%27interet%20general.pdf">environnement</a>. Le développement de l’intelligence artificielle est très lié au statut de ces données.</p>
<h2>Le temps des alternatives</h2>
<p>Est-ce que tout cela implique de favoriser l’émergence de grands acteurs européens ou nationaux et/ou d’acteurs stratégiques, start-up et PME-TPE ? Certainement, encore faut-il qu’ils soient vertueux, comparés à ceux qui exploitent les données personnelles sans vergogne par exemple.</p>
<p>L’alternative pure est <a href="https://www.usine-digitale.fr/article/le-cloud-souverain-n-est-il-qu-un-fantasme.N1151837">difficile à faire émerger</a>. C’est pourquoi des partenariats, au demeurant fort critiqués, se développent, par exemple pour des offres de cloud à l’instar de celui entre <a href="https://www.lefigaro.fr/secteur/high-tech/securite-informatique-thales-et-google-cloud-concluent-un-partenariat-20211006">Thales et OVHcloud en octobre 2021</a>.</p>
<p>En revanche, il est permis d’espérer. L’« open source » est un bon exemple d’une <a href="https://www.lemondeinformatique.fr/actualites/lire-plaidoyer-de-l-open-source-francais-sur-la-souverainete-et-le-business-83125.html">alternative crédible aux technologies privées américaines</a>. On en attend donc une meilleure promotion, notamment en France.</p>
<p>Enfin, la cybersécurité et la cyberdéfense sont des sujets cruciaux pour la souveraineté. La situation est critique avec des attaques notamment de la Russie et de la Chine. La cyber est un des grands chantiers dans lequel la France investit beaucoup actuellement et <a href="https://www.touteleurope.eu/l-ue-dans-le-monde/la-cybersecurite-cheval-de-bataille-de-la-france-et-de-l-union-europeenne/">se positionne comme champion</a>.</p>
<h2>La souveraineté du peuple</h2>
<p>Pour conclure, rappelons que les enjeux de souveraineté numérique se manifestent dans toutes les activités humaines. Une des grandes prises de conscience initiale, en 2005, concerne la culture avec le constat fait par Jean-Noël Jeanneney d’un <a href="https://www.lemonde.fr/archives/article/2005/01/22/quand-google-defie-l-europe-par-jean-noel-jeanneney_395266_1819218.html">Google qui défie l’Europe</a> en numérisant son patrimoine culturel lorsqu’il crée Google Books.</p>
<p>La période récente renoue avec cette vision et l’enjeu culturel et démocratique s’affirme comme essentiel, à l’heure de la désinformation en ligne et son cortège d’effets pervers, notamment sur les élections. Cela implique de placer le citoyen au cœur du dispositif et de démocratiser le monde numérique en affranchissant l’individu de la tutelle des géants du net dont l’emprise ne se limite pas à l’économie et au régalien. C’est sur le système cognitif, sur l’attention et la liberté <a href="https://www.editionsladecouverte.fr/l_economie_de_l_attention-9782707178701">que la toile des grandes plates-formes se tisse</a>. La souveraineté, celle du peuple, rimerait donc ici avec résistance.</p><img src="https://counter.theconversation.com/content/171014/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Annie Blandin-Obernesser a reçu des financements de projets de recherche de l'UE, de l'ANR, de la Région Bretagne, du pôle image et réseaux (FUI). </span></em></p>Comment se construit concrètement la souveraineté numérique, alors qu’elle semble menacée par les stratégies et ambitions d’entreprises étrangères et de certains États ?Annie Blandin-Obernesser, Professeur de droit, IMT Atlantique – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1614782021-06-01T19:19:33Z2021-06-01T19:19:33ZLe stockage des données à distance, gage de sécurité ou pari risqué ?<figure><img src="https://images.theconversation.com/files/403556/original/file-20210531-22-1agwrka.jpg?ixlib=rb-1.1.0&rect=8%2C276%2C2744%2C2476&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Quel degré de sécurité pour les données dans les data centers?</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/3wPJxh-piRw">Jason Dent, Unsplash </a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>En mars dernier, un incendie dans un entrepôt de données de la société OVH a provoqué des problèmes d’accessibilité pour de nombreux sites Internet. OVH est le <a href="https://w3techs.com/">sixième hébergeur mondial de sites Internet</a>, et les différents entrepôts de données de l’entreprise hébergent 3,1 % de l’Internet mondial. Suite à cet incendie, 3,6 millions de sites web ont été indisponibles <a href="https://www.lemondeinformatique.fr/actualites/lire-panique-chez-les-clients-d-ovh-en-defaut-de-sauvegarde-82299.html">pour des durées plus ou moins importantes</a>. </p>
<h2>Le stockage de données à distance</h2>
<p>De plus en plus d’entreprises utilisent des services de stockage de données à distance. Ces services peuvent concerner des sites Internet, mais également les bases de données des entreprises ou encore leurs serveurs de messagerie électronique. Ces serveurs de stockage à distance sont communément appelés <em>data centers</em> ou centres de données. Il s’agit d’emplacements dédiés regroupant de très nombreux serveurs et proposant une infrastructure réseau et des dispositifs de sécurité.</p>
<p>Certaines entreprises possèdent leurs propres data centers, mais il s’agit principalement de très grandes structures, comme celles du CAC40 en France, Facebook ou Google. Le recours à des centres de données en location présente de nombreux avantages pour les entreprises de taille plus réduite. Cette solution leur permet de ne pas investir en interne, que ce soit au niveau du matériel ou des compétences humaines nécessaires. Les solutions proposées apportent des garanties de sécurité souvent plus importantes que celles qui pourraient être mises en place en utilisant leurs propres ressources.</p>
<h2>Où se situent les data centers ?</h2>
<p>Les emplacements de ces serveurs restent souvent confidentiels, et l’entreprise cliente n’a pas toujours cette information. Google et Amazon, les deux principaux fournisseurs du secteur, présentent sur leurs sites des cartes indiquant les emplacements de leurs serveurs. Les États-Unis et l’Europe du Nord sont les deux emplacements les plus prisés par ces fournisseurs. Les États-Unis à eux seuls comptent plus du tiers des centres de données existants.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/pourquoi-rehabiliter-le-cloud-regional-de-la-pertinence-des-data-center-locaux-et-globaux-83556">Pourquoi réhabiliter le cloud régional ? De la pertinence des data center locaux et globaux</a>
</strong>
</em>
</p>
<hr>
<p>De multiples facteurs expliquent le positionnement des serveurs. Afin d’optimiser la vitesse de connexion, les serveurs doivent se situer au plus près des clients. C’est la raison pour laquelle, en France, la région parisienne est très prisée. Des motivations fiscales peuvent aussi influer sur la décision d’implantation. C’est pourquoi l’Irlande accueille de nombreux data centers. Enfin, le climat est un facteur important à prendre en considération, une bonne partie de l’énergie utilisée étant dédiée au procédé de refroidissement. Les pays du nord de l’Europe présentent un avantage sur ce point.</p>
<p>Bien que peu affichée par les fournisseurs, la localisation des serveurs est très importante pour des raisons juridiques. En effet, sauf indication contraire dans le contrat, les règles de confidentialité qui s’appliquent sont celles du pays dans lequel les données sont stockées ! Au-delà d’une éventuelle perte de contrôle de l’usage fait des données, une telle situation peut amener l’entreprise cliente à ne plus être en conformité avec la <a href="https://www.cnil.fr/fr/comprendre-le-rgpd">loi RGPD</a> (Règlement général sur la protection des données). Cette loi a pour objectif de garantir l’usage fait des données personnelles et s’applique pour l’ensemble de l’Union européenne. Les propriétaires des données personnelles doivent être informés de l’usage fait de leurs données et doivent pouvoir s’y opposer le cas échéant. Le respect de cette loi est rendu difficile par le <em>Patriot Act</em> américain, qui permet aux autorités américaines d’accéder aux données européennes hébergées sur des infrastructures de stockage américaines, quel que soit leur emplacement géographique.</p>
<h2>Comment assurer la sécurité des données stockées ?</h2>
<p>Suite à l’incendie survenu chez OVH, de nombreux clients ont accusé l’entreprise de ne pas avoir suffisamment protégé leurs données. Quelles sont les précautions à mettre en place pour éviter toute perte de données ? Et quelle est la responsabilité du fournisseur ?</p>
<p>La sécurisation des données stockées comporte deux facettes : tout d’abord, les données doivent être protégées en cas d’incident physique sur les serveurs. Les protections mises en place doivent permettre d’éviter les risques d’intrusion, ou encore les conséquences d’un incendie ou d’une catastrophe naturelle. La conception du bâtiment représente déjà un premier niveau de protection : matériaux utilisés, absence de fenêtres, absence de poignées de portes à l’extérieur, épaisseur des murs, installation d’un paratonnerre, présence d’un système de refroidissement ou encore dispositifs anti-incendie sont des éléments clés de ce dispositif. Le fournisseur de service a, dans ce domaine, une <a href="https://smaltavocats.com/publications/datacenter-quelle-obligation-legale-de-securite-pour-les-prestataires-dhebergement/">obligation de moyen, et non de résultat</a>. En complément, une surveillance stricte et un contrôle des accès <a href="https://www.oodrive.com/fr/blog/securite/la-securite-des-datacenters/">sont mis en place</a>, garantissant une réactivité forte en cas d’incident.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/la-realite-physique-du-monde-numerique-158884">La réalité physique du monde numérique</a>
</strong>
</em>
</p>
<hr>
<p>La protection des données repose également sur un contrôle des accès à distance. Seules les personnes autorisées doivent pouvoir accéder aux données et une politique stricte de gestion des mots de passe doit être élaborée (règles strictes sur les mots de passe acceptés, changement de mot de passe à intervalles réguliers). Les serveurs sont équipés d’antivirus et de pare-feu (outil qui permet de filtrer le trafic entrant dans un serveur ou un ordinateur) pour éviter les piratages. Les systèmes mis en place proposent par ailleurs des solutions pour lutter contre les attaques par <a href="https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/attaque-en-deni-de-service-ddos">déni de service (DDos)</a> : il s’agit d’une hyper sollicitation des serveurs pour nuire à leur bon fonctionnement. Ces solutions ne sont malheureusement pas proposées par tous les prestataires. Enfin, la gestion du centre de données repose sur des mises à jour très régulières du matériel pour éviter toute faille de sécurité.</p>
<p>Un incident peut survenir en dépit de toutes ces précautions. Comme la mésaventure de l’entreprise OVH le démontre, les clients victimes de pertes de données se retournent facilement vers leur fournisseur de service. Mais quelle est la responsabilité du fournisseur dans une telle situation ?</p>
<p>La responsabilité de la conception d’un Plan de Reprise d’Activité <a href="https://www.journaldunet.com/web-tech/cloud/1499119-les-lecons-a-tirer-de-l-incendie-du-data-center-ovhcloud/">incombe aux entreprises clientes</a>, et non au fournisseur de service cloud ou à l’hébergeur. Ce dernier n’est engagé que dans les limites fixées par le contrat, et avec une obligation de moyen et non de résultat. Le Plan de Reprise d’Activité permet d’anticiper les actions à effectuer en cas de rupture d’un service, et d’optimiser la durée nécessaire pour remettre en service les équipements et logiciels informatiques essentiels pour l’entreprise. Un tel plan envisage la reconstruction de l’infrastructure informatique ainsi que les besoins humains, matériels et financiers pour y parvenir.</p>
<p>Au-delà de ce plan, il est primordial pour l’entreprise utilisatrice de s’assurer que les données sont dupliquées, et sur des sites géographiques différents. Les fournisseurs de cloud proposent de nombreuses offres, et il convient pour l’entreprise de bien lire les différentes caractéristiques des contrats pour s’assurer de choisir la solution la plus adaptée à leurs besoins.</p><img src="https://counter.theconversation.com/content/161478/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Delphine Billouard-Fuentes ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>De plus en plus de sociétés stockent leurs données dans des centres, loin de leurs locaux. Mais est-ce vraiment une bonne idée ?Delphine Billouard-Fuentes, Professeur associé, EM Lyon Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1608082021-05-25T18:18:01Z2021-05-25T18:18:01ZL’Europe propose des règles pour l’intelligence artificielle<figure><img src="https://images.theconversation.com/files/402331/original/file-20210524-23-1wtl4c9.jpg?ixlib=rb-1.1.0&rect=530%2C1117%2C6607%2C3710&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L’Europe numérique.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-vector/abstract-futuristic-map-europe-mechanical-circuit-1707498274">Ri team, Shutterstock</a></span></figcaption></figure><p>Dans son <a href="https://ec.europa.eu/info/sites/default/files/political-guidelines-next-commission_en_0.pdf">discours de candidature</a> à la présidence de la Commission européenne, Ursula von der Leyen avait pointé la nécessité d’une approche éthique de l’intelligence artificielle. Depuis, les institutions européennes ont fourni un travail considérable pour faire de l’Union européenne un espace où les opérateurs de systèmes d’IA pourront développer leur activité tout en renforçant la confiance des consommateurs.</p>
<p>Fin avril, la Commission européenne a soumis une <a href="https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence-artificial-intelligence">proposition de règlement</a> afin que les mêmes règles s’appliquent partout dans l’UE : l’environnement juridique des opérateurs sera identique dans tous les États membres. Cette solution est également profitable aux citoyens de l’UE qui bénéficieront d’un même niveau de protection.</p>
<p><a href="https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf">Cette proposition</a> reflète des objectifs jumeaux : promouvoir l’adoption de solutions basées sur l’IA et faire face aux risques associés à certains usages de cette technologie.</p>
<h2>Une approche fondée sur les risques</h2>
<p>La proposition de règlement vise à minimiser les risques de discrimination algorithmique, en particulier en relation avec la conception et la qualité des données utilisées pour le développement de systèmes d’IA. Elle concerne les services et utilisations de systèmes d’IA définis notamment comme ceux reposant sur des approches de <em>machine learning</em> (supervisé ou non et de renforcement, y compris le <em>deep learning</em>), des approches logiques, symboliques ou fondées sur la connaissance ou statistiques.</p>
<p><a href="https://www.europarl.europa.eu/doceo/document/TA-9-2020-0276_FR.html">Le texte adopté par la Commission</a> contient une méthodologie qui permet de définir quand un système d’IA est à haut risque pour la santé et la sécurité des personnes ou pour les droits fondamentaux des citoyens. L’approche par les risques a été identifiée comme la plus pertinente lors de la consultation publique, plutôt que de donner un blanc-seing à tous les systèmes d’IA ou de légiférer de manière <em>ad hoc</em>.</p>
<p>En effet, cette approche par les risques permet une interprétation sectorielle et prend en considération les impacts sur les droits et la sécurité. Cette approche est également retenue par le projet de règlement sur un régime de responsabilité civile pour l’IA qui préconise une responsabilité objective du fait des systèmes d’IA à haut risque. Elle est aussi mise en exergue par le <a href="https://www.consilium.europa.eu/media/45910/021020-euco-final-conclusions.pdf">Conseil européen</a>.</p>
<p>Ainsi, certaines pratiques reposant sur l’IA générant un risque inacceptable sont interdites : l’utilisation de techniques subliminales (basées sur un <em>stimulus</em> incorporé dans un objet et <a href="https://www.college-de-france.fr/site/stanislas-dehaene/course-2009-02-10-09h30.htm">conçu pour être perçu au-dessous du niveau de conscience</a>), l’exploitation de groupes ou personnes vulnérables en raison de leur âge, handicap physique ou mental, le score de confiance ou d’évaluation sociale des personnes (comme celui utilisé en Chine). Certaines utilisations de systèmes d’identification biométrique en temps réel à distance dans l’espace public à des fins d’application de la loi s’accompagneront de restrictions spécifiques et de mesures de sauvegardes.</p>
<h2>Quels sont les systèmes d’IA à haut risque ?</h2>
<p>Huit catégories de systèmes d’IA sont d’ores et déjà considérées comme étant à haut risque. Ils relèvent de ces contextes :</p>
<ul>
<li><p>Identification biométrique et catégorisation des personnes.</p></li>
<li><p>Gestion et exploitation d’infrastructures critiques.</p></li>
<li><p>Formation et formation professionnelle.</p></li>
<li><p>Emploi, gestion des salariés et accès au travail indépendant.</p></li>
<li><p>Accès et jouissance de services privés essentiels et de services publics.</p></li>
<li><p>Application de la loi (exécution d’une décision de justice, enquête judiciaire).</p></li>
<li><p>Immigration, asile et gestion des contrôles à la frontière.</p></li>
<li><p>Administration de la justice et processus démocratiques.</p></li>
</ul>
<p>Cette liste sera adaptée par la Commission européenne <em>via</em> des actes délégués. D’autres systèmes d’IA seront qualifiés à haut risque en vertu de règles de classification.</p>
<h2>Les points clés pour les opérateurs de systèmes d’IA à haut risque</h2>
<p>Les systèmes d’IA devront respecter les exigences du futur règlement et se soumettre <em>ex ante</em> à des procédures d’évaluation de la conformité, c’est-à-dire avant même d’être mis en circulation sur le marché européen.</p>
<p>Elles seront pilotées dans chaque État membre par leurs agences actuelles en coopération avec le futur Comité européen de l’IA préconisé par la proposition de règlement (chaque État désignerait une agence parmi les autorités nationales existantes, ou créerait une spécifique pour l’IA).</p>
<p>Ces exigences concernent les données utilisées, la documentation, la traçabilité, des dispositions sur la transparence (droit à l’information des utilisateurs), les tests, la gestion des risques, la supervision humaine tout au long du cycle de vie du système d’IA, sa robustesse, sa précision et sa sécurité. Ces obligations concernent également les importateurs, distributeurs et représentants autorisés.</p>
<p>Des obligations de transparences plus spécifiques concernent les systèmes d’IA comportant un risque particulier de manipulation soit parce qu’ils interagissent avec les personnes, ou sont utilisés pour détecter les émotions ou déterminer une association avec des catégories (sociales) basées sur des données biométriques ou alors parce qu’ils génèrent ou manipulent un contenu (<em>deep fake</em>).</p>
<p>Les entreprises sont invitées à adopter des codes de conduite sur une base qui reste volontaire, avec des dispositions spécifiques pour les PME.</p>
<h2>La visée éthique du règlement et les droits des citoyens</h2>
<p>La proposition de règlement est basée sur les valeurs et les droits fondamentaux et affirme que l’IA devrait être une force pour la société avec comme but ultime l’accroissement du bien-être humain. Les règles sur l’IA doivent être centrées sur l’humain et faire qu’elle soit sûre et conforme au droit applicable.</p>
<p><a href="https://www.europarl.europa.eu/doceo/document/TA-9-2020-0275_EN.html">La Commission européenne répond ici</a> aux <a href="https://www.consilium.europa.eu/media/45910/021020-euco-final-conclusions.pdf">demandes exprimées</a> par le Parlement européen et le Conseil européen. Ce dernier a <a href="https://www.europedirectpyrenees.eu/wp-content/uploads/file/charte_droits_fondamentaux_UE.pdf">particulièrement insisté</a> sur la nécessité d’assurer que les droits des citoyens européens issus de la Charte des droits fondamentaux de l’UE soient <a href="https://data.consilium.europa.eu/doc/document/ST-6177-2019-INIT/en/pdf">pleinement respectés</a> <a href="https://www.consilium.europa.eu/media/46496/st11481-en20.pdf">et appliqués</a> : droit à la dignité humaine, respect de la vie privée et protection des données à caractère personnel, non-discrimination, égalité homme-femme, droit à la liberté d’expression et de réunion, présomption d’innocence, droit à des conditions de travail justes et équitables, haut niveau de protection des consommateurs, droits de l’enfant, intégration des personnes handicapées et niveau élevé de protection de l’environnement.</p>
<p>Lorsque des technologies d’IA à haut risque sont développées et utilisées, la proposition de règlement impose des limites à des libertés reconnues par la Charte : liberté d’entreprise, liberté des arts et des sciences au nom de la protection de l’intérêt public (protection de la santé, de la sécurité et des consommateurs). Ces restrictions justifiées par l’innovation responsable s’accompagnent d’obligations de transparence renforcées. Ces obligations corrigeront l’effet « boîte noire » des systèmes d’IA caractérisés par l’opacité, la complexité, l’autonomie et la dépendance envers les données de leurs algorithmes, mais elles seront limitées à ce qui est nécessaire pour les besoins des autorités nationales chargées du contrôle de ces technologies et aux citoyens dans l’exercice de leur droit à un recours effectif.</p>
<h2>Des sanctions dissuasives</h2>
<p>La proposition de la Commission européenne est fortement ancrée dans son <em>credo</em> de « <a href="https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en"><em>Digital Decade</em></a> » pour le marché intérieur et la promotion de l’innovation, <a href="https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-data-governance-data-governance-act">maintes fois réaffirmées</a>, avec la <a href="https://digital-strategy.ec.europa.eu/en/policies/open-data-0">directive sur les données ouvertes</a> et la <a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066">stratégie européenne pour les données</a>. Toutefois, elle laisse intact le règlement général sur la protection des données à caractère personnel (<a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679">RGPD</a>) et les sanctions qu’il préconise.</p>
<p>De plus dans le cadre de ce projet, les États membres pourront appliquer des sanctions, y compris des amendes administratives, qui seront effectives, proportionnées et dissuasives.</p>
<h2>Articulation avec les autres wagons du train législatif de l’UE sur l’IA</h2>
<p>La complexité apparente des initiatives des institutions européennes peut être visualisée sur le <a href="https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age">site du train législatif européen</a>.</p>
<p>La proposition n’a pas pour effet de remettre en cause la <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32000L0031">directive eCommerce</a>, ni la <a href="https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_fr">proposition</a> de législation sur les services numériques (<em>Digital Service Act</em>). Elle s’inscrit dans le droit fil des <a href="https://ai-regulation.com/news-eps-resolutions-on-ethical-framework-civil-liability-and-intellectual-property-rights-for-ai/">résolutions d’octobre 2020</a> du Parlement européen sur l’éthique, la responsabilité et le droit d’auteur, mais aussi les plus récentes <a href="https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2020/2016(INI)">sur les questions pénales</a>, <a href="https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2020/2017(INI)&l=en">l’éducation, la culture et le secteur audiovisuel</a>.</p><img src="https://counter.theconversation.com/content/160808/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Nathalie Devillier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Quels sont les systèmes d’IA à haut risque, et comment l’Union européenne propose-t-elle de les réglementer ?Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1520302020-12-16T19:17:20Z2020-12-16T19:17:20ZComment le fichage policier est-il contrôlé ?<p><a href="https://www.lemonde.fr/pixels/article/2020/12/07/le-gouvernement-elargit-trois-fichiers-de-renseignement_6062511_4408996.html">Quelques médias</a> s’en sont fait récemment l’écho : le gouvernement a très récemment étendu les possibilités de collecte d’informations ayant trait aux opinions politiques et mêmes religieuses dans le cadre de certains fichiers de police. Cette modification résulte de plusieurs <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042607323">décrets du 2 décembre</a> dernier et concerne trois fichiers déjà contestés et relatifs aux troubles à <a href="https://www.laurent-mucchielli.org/index.php?post/2011/04/03/Trois-nouveaux-fichiers-pour-%8Etendre-cette-fois-ci-la-m%8Emoire-gendarmique">la sécurité publique</a> : PASP, GIPASP et EASP.</p>
<p>La critique contre <a href="https://journals.openedition.org/champpenal/10843?lang=fr">les fichiers de police</a> n’est pas nouvelle, et revient régulièrement sur le devant de l’actualité. Que ce soit suite à la mise en place du <a href="https://www.lagazettedescommunes.com/674441/non-respect-du-confinement-pourquoi-le-delit-est-il-conteste/">confinement</a>, suite à des événements ayant mobilisé <a href="https://www.leparisien.fr/societe/migrants-un-decret-va-creer-un-fichier-des-mineurs-isoles-31-01-2019-8000997.php">l’opinion publique</a>, ou dans le cadre de <a href="https://www.lesechos.fr/politique-societe/societe/cinq-questions-sur-le-fsprt-le-fichier-sur-la-radicalisation-en-france-1243291">la lutte antiterroriste</a>, le fichage policier semble prendre de plus en plus de place dans la boite à outils des gouvernements.</p>
<h2>Un régime de fichiers de police original</h2>
<p>Pourtant, le fichage est en France relativement encadré. Si les fichiers de police échappent au <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees">Règlement Général sur la Protection des Données (RGPD)</a>, ils ne sont pas hors de contrôle. Au niveau européen, c’est la <a href="https://www.cnil.fr/fr/directive-police-justice-de-quoi-parle-t">directive police – justice</a> qui en fixe les contours généraux. </p>
<p>À l’échelle nationale, les fichiers de police entrent dans le cadre législatif de tout traitement de données à caractère personnel : la <a href="https://www.cnil.fr/fr/la-loi-informatique-et-libertes">loi Informatique et Libertés</a> du 6 janvier 1978, régulièrement modifiée et amendée.</p>
<p>Pour autant, le régime des fichiers de police est original en plusieurs points. </p>
<p>Si les droits accordés aux <a href="https://www.cnil.fr/fr/le-droit-dacces-aux-fichiers-de-police-de-gendarmerie-et-de-renseignement">individus fichés</a> sont nécessairement moindres que ceux qui bénéficient aux utilisateurs de services commerciaux (ne serait-ce que quant à l’éventualité d’un droit de retrait par exemple), c’est surtout quant à leur processus d’édiction (établissement d'un acte de loi) et de contrôle que l’étude précise devient intéressante.</p>
<h2>Naissance et évolution des fichiers de police</h2>
<p>Tout d’abord, comment naissent ou évoluent les fichiers de police ? Les articles 31 et 32 de la loi Informatique et Libertés imposent un processus clair : les fichiers de police sont « autorisés par arrêté du ou des ministres compétents », ou, lorsque le fichier porte sur des données particulièrement sensibles, par « décret en Conseil d’État », c’est-à-dire par le Premier ministre, après avis du Conseil d’État. </p>
<p>Juridiquement, les arrêtés ou les décrets sont des textes réglementaires : ils sont pris par le pouvoir exécutif, sans consultation, ni débat, ni vote du Parlement.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/zVsCPmfNmSA?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Être fiché S, ça veut dire quoi ?</span></figcaption>
</figure>
<p>Bien que cette compétence soit régulièrement contestée (ici compris par un <a href="http://www.assemblee-nationale.fr/13/rap-info/i4113.asp">rapport parlementaire</a>), au nom de l’impact que peuvent avoir ces fichiers sur les libertés fondamentales et de la nécessité d’un <a href="https://theconversation.com/fichiers-sanitaires-un-destin-trace-vers-la-surveillance-generalisee-141894">débat démocratique</a> sur ces questions, la très grande majorité des fichiers de police est ainsi issue de textes réglementaires. La récente extension n’échappe pas à la règle puisqu’il s’agit de trois décrets.</p>
<h2>Peu de contraintes</h2>
<p>Pour autant, le gouvernement n’est pas seul à la barre. Les mêmes articles 31 et 32 précisent ainsi que, dans tous les cas, les projets d’institution ou de modification des fichiers de police doivent être soumis, pour avis, à la Commission Nationale Informatique et Libertés (CNIL). L’avis rendu doit également être publié.</p>
<p>Ce contrôle, en apparence rassurant puisque la CNIL est une autorité administrative parfaitement indépendante et garante des libertés, n’en est pourtant pas un. L’avis rendu n’a en effet aucune portée contraignante pour le gouvernement : comme elle le <a href="https://www.cnil.fr/fr/publication-des-decrets-relatifs-aux-fichiers-pasp-gipasp-et-easp-la-cnil-precise-sa-mission">souligne</a> elle-même, « cet avis ne constitue pas une « autorisation » ou un « refus » de la CNIL ».</p>
<p>Cette absence de contrainte résulte d’une <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000441676?r=d0uDwmyoje">modification législative de 2004</a>, puisque avant cette date, l’autorité disposait d’un véritable droit de veto, dont elle est désormais privée.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1336046145320181762"}"></div></p>
<p>L’exemple de l’extension récente des trois fichiers de police est sur ce point éclairant. Dans <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042608200">son avis</a>, si la CNIL validait certains points rendus nécessaires, elle mettait en garde le gouvernement sur de nombreux autres, notamment sur le périmètre très étendu de certaines données ou sur leur caractère automatisé.</p>
<p>Les décrets finalement publiés n’ont tenu aucun compte de ces critiques. Plus encore, des ajouts ont été faits après la consultation de la CNIL, notamment sur les données relatives aux opinions politiques, comme le souligne l'autorité dans un récent <a href="https://www.cnil.fr/fr/publication-des-decrets-relatifs-aux-fichiers-pasp-gipasp-et-easp-la-cnil-precise-sa-mission">communiqué de presse.</a></p>
<p>Il faut rappeler d’ailleurs que le projet transmis à la CNIL est souvent incomplet, ou très différent de celui finalement publié. Le délai est également très court : la CNIL ne dispose que de huit semaines, pour étudier parfois des centaines de pages lors de la mise en place d’un nouveau fichier.</p>
<h2>La CNIL contrôle mais pour quels résultats ?</h2>
<p>La CNIL n’est pas la seule à intervenir lors du processus d’édiction ou de modification des fichiers. <a href="https://www.conseil-etat.fr/le-conseil-d-etat/missions">Le Conseil d’État</a>, organe napoléonien de conseil et de contrôle du gouvernement, doit également donner son avis avant la publication des décrets qui portent sur des données particulièrement sensibles : ce sont les « décrets en Conseil d’État » mentionnés plus haut. Les avis rendus sont tenus secrets, sauf volonté explicite du gouvernement, et l’avis ne contraint pas non plus le gouvernement.</p>
<p>Le gouvernement n’a donc les mains liées par aucun acteur, et peut librement prendre tout arrêté ou tout décret en matière de fichiers de police. Quid alors du contrôle, a posteriori, de ces textes ? Là encore, ce sont les mêmes acteurs que l’on retrouve : la CNIL et le Conseil d’État.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/i_k8ozkY2I4?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">La CNIL, 40 ans et toujours dans l’air du temps !</span></figcaption>
</figure>
<p>La CNIL, en tant qu’autorité indépendante, a en effet aussi en charge le contrôle et le suivi des <a href="https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil">fichiers en activité</a>, dont les fichiers de police. Ce pouvoir permet à la CNIL de se déplacer dans les lieux de stockage et de consultation des données, et d’accéder au fichier pour faire une vérification précise et rigoureuse.</p>
<p>Néanmoins, ces contrôles nécessitent des moyens humains importants, alors que la CNIL est l’une des autorités de régulation des données les moins dotées de <a href="https://www.courrierinternational.com/article/vie-privee-union-europeenne-une-si-delicate-protection-des-donnees">l’Union Européenne</a>. La CNIL ne dispose en outre d’aucun pouvoir de sanction face à l’État, comme elle en a pourtant <a href="https://www.lefigaro.fr/flash-eco/cookies-la-cnil-inflige-des-amendes-de-100-et-35-millions-d-euros-a-google-et-amazon-20201210">en matière commerciale</a> : elle peut seulement ici adresser un avertissement, là encore non contraignant, à l’autorité publique, en cas de <a href="https://www.liberation.fr/societe/2013/06/13/les-fichiers-de-police-toujours-truffes-d-erreurs_910680">défaillances</a>, qui sont pourtant régulières. Les rapports issus de ces visites ne sont en outre pas rendus publics.</p>
<p>Certains décrets à l’origine de fichiers de police excluent même tout contrôle de la CNIL, ce que l’article 19 paragraphe IV de <a href="https://www.cnil.fr/fr/la-loi-informatique-et-libertes#article19">la loi de 1978</a> permet, mais ce n’est pas le cas pour les fichiers concernés par les modifications du 2 décembre dernier.</p>
<h2>Le rôle du Conseil d'Etat</h2>
<p>Le Conseil d’État, en tant cette fois qu’organe de contrôle des actes administratifs, apparaît alors comme le seul véritable vecteur d’un contrôle contraignant. En effet peut être attaqué directement devant lui <a href="https://www.conseil-etat.fr/demarches-services/les-fiches-pratiques-de-la-justice-administrative/introduire-une-requete-devant-le-conseil-d-etat">tout acte</a> réglementaire de portée nationale. Les arrêtés ou décrets instituant ou modifiant des fichiers de police peuvent donc faire l’objet d’un recours par ce biais.</p>
<p>C’est alors la « section du contentieux » du Conseil d’État qui se prononce, qui est <a href="https://www.conseil-etat.fr/le-conseil-d-etat/organisation">statutairement étanche</a> de la « section de l’intérieur » qui joue le rôle de conseil du gouvernement. Dit autrement, ce ne sont pas les mêmes conseillers que ceux qui avaient rendu l’avis. Le Conseil d’État a ici le rôle d’une juridiction de contrôle des actes réglementaires, à la fois de leur légalité (conformité à la loi), de leur constitutionnalité (conformité à la constitution, dans une certaine mesure) et de leur conventionnalité (conformité aux textes internationaux, comme la <a href="https://www.echr.coe.int/documents/convention_fra.pdf">Convention Européenne des Droits de l’Homme</a>).</p>
<p>Les modifications des fichiers PASP, GIPASP et EASP issus des décrets du 2 décembre pourront donc être portées devant le Conseil d’État. Un recours est d’ailleurs en préparation par plusieurs associations, dont la <a href="https://www.laquadrature.net/2020/12/08/decrets-pasp-fichage-massif-des-militants-politiques/">Quadrature du Net</a>. Néanmoins, les procédures judiciaires sont longues, et les résultats en matière de fichage <a href="https://www.dalloz-actualite.fr/flash/conseil-d-etat-valide-en-l-encadrant-decret-creant-fichier-des-mineurs-isoles">souvent décevants</a>. Par ailleurs, en attendant ce recours et son résultat, les fichiers ainsi modifiés sont d’ores et déjà en activité, puisque les textes réglementaires sont d’application immédiate.</p>
<h2>Le Conseil constitutionnel impuissant</h2>
<p>D’aucuns pourraient ici penser à une intervention du Conseil constitutionnel, dont <a href="https://www.conseil-constitutionnel.fr/decision/2020/2020801DC.htm">les censures</a> sont souvent médiatiques (comme par exemple lors de la récente loi Avia sur les contenus haineux sur Internet). Il n’en est pas question ici. En effet, le Conseil constitutionnel ne contrôle que <a href="https://www.vie-publique.fr/fiches/19551-quel-est-le-role-du-conseil-constitutionnel">la constitutionnalité</a> des lois, et non des règlements.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/n2EiH8jY9bA?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Haine sur Internet : la loi Avia censurée par le Conseil constitutionnel.</span></figcaption>
</figure>
<p>Il est d’ailleurs intéressant de noter ici que <a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042611567/2020-12-05">le fichier PASP</a> prévoit une durée de conservation des données de « dix ans après l'intervention du dernier événement » alors même que ce type de limitation potentiellement infinie avait été <a href="https://www.conseil-constitutionnel.fr/decision/2011/2011625DC.htm">déclaré inconstitutionnel</a>(§72) par le Conseil constitutionnel lors du contrôle d’un des rares textes législatifs en matière de fichiers de police. Mais ici, pas de Conseil constitutionnel donc.</p>
<p>Avec une CNIL relativement impuissante, un Conseil d’État souvent peu protecteur et des textes réglementaires qui semblent prévoir une collecte de données toujours plus importante, les fichiers de police ont un bel avenir devant eux, sans, pour le moment, de débat démocratique ni de limites véritables. L'application des décrets du 2 décembre 2020 devra donc être particulièrement surveillée. </p>
<hr>
<p><em>L'auteur de l'article effectue sa thèse sous la direction de Virginie Peltier.</em></p><img src="https://counter.theconversation.com/content/152030/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Yoann Nabat ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les récentes critiques contre les fichiers de polices ravivent le débat concernant les libertés et la protection des données individuelles. De la CNIL au Conseil d'Etat qui contrôle le fichage ?Yoann Nabat, Doctorant en droit privé et sciences criminelles, Université de BordeauxLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1468502020-09-27T16:13:17Z2020-09-27T16:13:17ZVotre patron a-t-il le droit de vous espionner lorsque vous télétravaillez ?<p>L’explosion du recours au télétravail en raison de la crise sanitaire a, logiquement, amené les entreprises à penser ou repenser leurs modes d’organisation et de management du travail. Ainsi, la question du contrôle des salariés (vis-à-vis du contenu de leur travail, de son suivi, de l’atteinte des objectifs, etc.) dans un contexte d’éloignement physique est devenue encore plus prégnante, du fait de l’impossibilité de vérifier « en vrai », dans les faits, le respect des horaires et/ou des consignes de travail.</p>
<figure class="align-right zoomable">
<a href="https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=596&fit=crop&dpr=1 600w, https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=596&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=596&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=749&fit=crop&dpr=1 754w, https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=749&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/359764/original/file-20200924-21-13hohyc.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=749&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Le score d’intention d’achat pour la catégorie Surveillance à distance des employés est passé de 1 à plus de 53 en six semaines après le début de la distanciation.</span>
<span class="attribution"><a class="source" href="https://www.infoprotection.fr/teletravail-mieux-vaut-accompagner-les-salaries-plutot-que-de-les-surveiller/">Score d’intention d’Aberdeen, 2020 cité par ISG Research</a></span>
</figcaption>
</figure>
<p>En juin dernier, une étude menée aux États-Unis soulignait un <a href="https://www.top10vpn.com/research/investigations/covid-employee-surveillance/">intérêt sans précédent</a> des entreprises pour les logiciels de surveillance. Entre janvier et avril 2020, les intentions d’achats pour les logiciels de surveillance à distance des employés avaient en outre été <a href="https://www.infoprotection.fr/teletravail-mieux-vaut-accompagner-les-salaries-plutot-que-de-les-surveiller/">multipliés par plus de 50</a>.</p>
<p>Au regard de ces éléments, peut-on considérer être entrés dans l’ère de l’hypersurveillance, voire du <a href="https://www.europe1.fr/emissions/L-innovation-du-jour/avec-le-teletravail-generalise-le-flicage-des-salaries-explose-3958667">flicage</a>, des salariés en télétravail ?</p>
<h2>Une capture d’écran toutes les cinq minutes</h2>
<p>Le suivi et le contrôle des salariés constituent des fonctions majeures de l’activité d’encadrement et de management : la planification et la coordination des activités à réaliser passent par la mise en place de règles de contrôle des tâches à opérer, de l’atteinte ou non des objectifs fixés, de la conformité de ces activités avec les instructions transmises, etc.</p>
<p>La période de télétravail souvent <a href="https://theconversation.com/petit-guide-de-survie-en-teletravail-subi-133821">subi</a> a accentué cette tendance au contrôle, jusqu’à donner l’impression d’un surcontrôle, notamment au détriment de la confiance au travail. L’apparition et le développement d’outils et d’équipements digitaux sans cesse plus sophistiqués posent la question de la limite de plus en plus floue entre simple contrôle hiérarchique et surveillance intrusive, voire quasi espionnage, des salariés.</p>
<p>Présentés souvent comme de simples outils internes de gestion administrative ou d’aide à l’accroissement de la productivité des salariés, ces programmes servent, théoriquement, à rationaliser l’organisation de l’activité, notamment en rendant visibles les déséquilibres internes en termes de charge de travail et d’état d’avancement des projets en cours. Ces logiciels assurent également une fonction de sécurité et de filtrage, afin que les salariés ne puissent naviguer en ligne sur certains sites Internet ou extraire des données ou informations sensibles.</p>
<p>Mais leurs fonctionnalités vont beaucoup plus loin : géolocalisation, enregistreur de frappe (<em>keylogger</em> traçant la moindre activité au clavier), temps passé en ligne sur des sites « productifs » ou « non productifs », durée de connexion sur les serveurs de l’entreprise, nombre de courriels envoyés, identité des destinataires, etc.</p>
<p>D’autres logiciels opèrent des captures d’écran des ordinateurs toutes les cinq ou dix minutes, ou dressent un véritable portait du « comportement digital » du salarié, pour donner à voir ses éventuelles anomalies. À l’extrême, ce comportement peut même être traité à grande échelle par l’intelligence artificielle, afin d’opérer un contrôle beaucoup plus large… La plupart de ces logiciels de traçage de l’activité sont invisibles pour le salarié utilisateur, posant logiquement la question de sa légalité.</p>
<h2>Que dit la loi ?</h2>
<p>En effet, la question de la légalité de l’emploi de ces logiciels de surveillance, et plus largement d’une surveillance de plus en plus intrusive, se pose prioritairement. Tout dispositif de contrôle des salariés doit, pour être valable, respecter les libertés et droits fondamentaux des salariés, au premier rang desquels leur vie privée.</p>
<p>Le respect des prescriptions du règlement général sur la protection des données (RGPD), lorsque le dispositif touche à des données personnelles, est également incontournable. De plus, le comité social et économique (CSE) doit être informé et consulté préalablement, afin d’appréhender en amont le dispositif de contrôle et ses possibles conséquences.</p>
<p>Ainsi, ce contrôle doit être justifié et proportionné, comme l’indique notamment l’Accord national interprofessionnel <a href="https://www.journal-officiel.gouv.fr/publications/bocc/pdf/2006/0022/CCO_20060022_0022_0040.pdf">relatif au télétravail</a> du 19 juillet 2005. De plus, le Code du travail prévoit une <a href="https://www.legifrance.gouv.fr/codes/id/LEGIARTI000006900861/2008-05-01/">obligation de loyauté</a> de l’employeur :</p>
<blockquote>
<p>« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »</p>
</blockquote>
<p>Les modalités précises du contrôle doivent être établies (type de contrôle, suivi, mesure, etc.) et discutées avec les partenaires sociaux, ainsi que les sanctions prévues. Bien que les messages échangés par le biais d’une adresse ou d’un téléphone professionnels et les fichiers stockés sur les ordinateurs de l’entreprise soient la propriété de cette dernière, cela n’autorise pas les responsables de l’organisation à agir sans limites.</p>
<p>Parallèlement, certains salariés peuvent développer des stratégies individuelles de contournement des dispositifs de surveillance : recours aux téléphones ou ordinateurs privés à des fins professionnelles, pour sortir ainsi du champ de surveillance, comportements feints, ententes entre salariés pour « tromper » ces dispositifs, etc. Ces éléments nous questionnent plus en profondeur sur les défaillances mêmes du management, obligé de recourir à des techniques au mieux « borderline », au pire illégales, trahissant une incapacité à « faire confiance » aux salariés.</p>
<h2>Un révélateur de la défaillance du management</h2>
<p>Ces cas d’espionnage interne témoignent d’une part de la trahison du contrat moral liant employeur et salarié, et d’autre part des insuffisances du management, incapable de faire preuve de confiance au travail et aux travailleurs.</p>
<p>Cette volonté de compenser l’impossibilité d’une surveillance physique et réelle par des techniques allant du mail ou de l’appel de 9h01 pour analyser le temps de réponse du salarié jusqu’aux logiciels de surveillance et ses abus cristallise une défaillance majeure dans les techniques de management mises en place, et l’incapacité du manager à gérer des équipes à distance.</p>
<p>Cette absence de confiance au travail est, de plus, contre-productive : comme dit plus haut, les salariés peuvent développer des stratégies de contournement, mais également avoir tendance à progressivement être démotivés, voire à se désinvestir d’un travail dans lequel ils se sentiraient suspectés.</p>
<p>Les conséquences sur la santé des salariés ne sont ainsi pas négligeables. Par crainte de ne pas répondre aux attentes des managers et d’être accusé de ne pas réellement travailler, le salarié se rend parfois <a href="https://www-cairn-info.lama.univ-amu.fr/transformation-digitale-de-la-fonction-rh--9782100767595-page-172.htm">disponible constamment</a>, induisant une situation de connexion subie, voire d’hyperconnexion.</p>
<p>Dès lors, l’organisation doit être vigilante sur le non-respect de l’équilibre entre vie privée et vie professionnelle, voire à la perméabilité accrue entre ces deux dernières. Ces éléments reposent ainsi la question du droit à la déconnexion et des difficultés à réellement le mettre en place, dans une optique préventive.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1147938687797407744"}"></div></p>
<p>Dans ce contexte de crise sanitaire sans précédent, le recours accru au télétravail rebat les cartes du management, encore trop largement orienté vers le contrôle, voire l’hypercontrôle. Cela incite fortement les organisations à développer une nouvelle proposition sur la relation managers-salariés, en s’assurant du travail réalisé, sans tomber dans les dérives de l’hypersurveillance, avec la préservation de la frontière entre vie privée et vie professionnelle. Les organisations ont tout intérêt à progressivement passer de la culture du contrôle à la culture de la confiance, et à s’axer moins sur le processus que sur le résultat.</p><img src="https://counter.theconversation.com/content/146850/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>L’entreprise est parfaitement en droit d’installer des logiciels de surveillance sur les ordinateurs du personnel… à condition de l’en avertir.Tarik Chakor, Maître de conférences en sciences de gestion, Aix-Marseille Université (AMU)Zilacene Dekli, Docteur en sciences de gestion, Aix-Marseille Université (AMU)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1418942020-08-10T21:14:16Z2020-08-10T21:14:16ZFichiers sanitaires : un destin tracé vers la surveillance généralisée ?<p>Il y a un peu plus de deux ans, les médias saluaient en grande pompe l’entrée en vigueur du désormais célèbre Règlement européen sur la Protection des Données Personnelles ou <a href="https://theconversation.com/rgpd-lunion-europeenne-entre-de-plain-pied-dans-lere-du-numerique-98179">RGPD</a>. Pourtant, à l’heure de l’application StopCovid et des <a href="https://www.nextinpact.com/news/108950-sidep-et-contact-covid-deux-fichiers-contact-tracing.htm">fichiers mis en place par la loi sur l’état d’urgence sanitaire</a>, mais aussi plus généralement, du développement des traitements de données personnelles à des fins sanitaires ou sécuritaires, la protection réelle et effective des droits des citoyens sur leurs données semble avoir, paradoxalement, bien peu progressé voire nettement régressé.</p>
<p>En effet, si du côté des acteurs privés et notamment des sites à vocation commerciale, certaines améliorations peuvent être notées (même s’il s’agit souvent pour l’internaute de cliquer sur un bouton « tout accepter »), c’est du côté des dispositifs de fichage mis en place par les acteurs publics que la tendance semble être toujours aussi, voire davantage, liberticide.</p>
<p>En ce sens, les nouveaux fichiers liés à la lutte contre la Covid-19 participent d’un mouvement global dont l’évolution peut être éclairée par ce qui est déjà à l’œuvre en matière de fichiers à visée sécuritaire.</p>
<h2>Une centaine de fichiers à disposition des forces de l’ordre</h2>
<p>Dans un <a href="http://www.assemblee-nationale.fr/dyn/15/rapports/cion_lois/l15b1335_rapport-information">rapport rendu en septembre 2018</a>, les députés Didier Paris et Pierre Morel-à-L’Huissier montraient ainsi que les ministères de la Justice et de l’Intérieur mettent à disposition des forces de l’ordre de tout le pays une grosse centaine de fichiers. Ces traitements regroupent à la fois et aussi bien les antécédents judiciaires des individus condamnés ou simplement suspectés, mais aussi de simples renseignements sur des comportements ou des objets.</p>
<p>Ces fichiers relevant d’une finalité sécuritaire (que celle-ci soit préventive, comme les fichiers de renseignement, ou répressive, comme les fichiers d’aide à l’enquête), n’obéissent pas, dans leur très grande majorité, aux règles du RGPD (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article2">ils sont exclus de son champ d’application</a>).</p>
<p>Ils sont cependant encadrés par celles, bien plus souples, de la <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0680">« directive police-justice »</a> entrée en vigueur également en 2018.</p>
<p>Les fichiers relatifs aux données de santé et mis en place dans le cadre de la crise sanitaire actuelle relèvent bien, quant à eux, de la protection du RGPD mais bénéficient de nombreuses exceptions, notamment quant aux droits des individus fichés. Tous les traitements de données personnelles sont également soumis, en France, à la <a href="https://www.cnil.fr/fr/la-loi-informatique-et-libertes">Loi Informatique et Libertés</a>.</p>
<p>Il s’agissait alors de réunir l’intégralité des fichiers dont disposait l’administration (police, sécurité sociale, etc.) dans un méga-fichier, via un numéro unique d’identification.</p>
<p>Suite à la <a href="https://www.lemonde.fr/blog/bugbrother/2010/12/23/safari-et-la-nouvelle-chasse-aux-francais/">révélation du projet au public</a>, un scandale éclate, qui donne lieu, après remise d’un rapport, à la <a href="https://www.gouvernement.fr/partage/9870-creation-de-la-commission-nationale-de-l-informatique-et-des-libertes-cnil">création de la CNIL</a>.</p>
<p>Or, parmi les principes fondamentaux du droit de la protection des données personnelles alors proclamés, il s’en trouve deux, particulièrement essentiels, et pourtant particulièrement maltraités par les dispositions récentes, à la fois en matière sanitaire et en matière sécuritaire : le principe de la base légale, et le principe de finalité.</p>
<h2>Le principe de la base légale</h2>
<p>Selon le premier de ces deux principes, un fichier n’est licite que s’il dispose d’une base légale, c’est-à-dire d’un fondement juridique à l’origine de la conservation des données.</p>
<p>Le traitement de données personnelles n’est pas un acte neutre, et constitue, par principe, une atteinte à la vie privée de l’individu (ce qui est <a href="https://www.echr.coe.int/Documents/FS_Data_FRA.pdf">reconnu régulièrement par la Cour Européenne des Droits de l’Homme</a>).</p>
<p>La loi française, suite au RGPD, définit six bases légales possibles, c’est-à-dire six cas dans lesquels il est possible de traiter des données, que l’on soit un acteur public ou un acteur privé : le consentement, l’exécution d’un contrat, les obligations légales, l’objectif de protéger les intérêts vitaux, les tâches d’intérêt public et l’intérêt légitime du responsable de traitement.</p>
<p>Si on comprend très aisément que les fichiers à vocation sécuritaire ne répondent pas au consentement de l’individu (quel délinquant autoriserait les policiers à détenir des informations sur lui ?), la question <a href="https://www.lemonde.fr/pixels/article/2020/05/08/suivi-des-cas-contacts-ce-que-contiendront-les-deux-nouveaux-fichiers-medicaux-prevus-par-l-etat_6039059_4408996.html">est plus complexe</a> quant aux données de santé traitées dans le cadre des fichiers <a href="https://www.conseil-national.medecin.fr/publications/communiques-presse/fichiers-sidep-amelipro">SIDEP</a> (qui regroupe les données relatives aux tests PCR effectués et aux malades déclarés) et Contact-Covid (qui centralise les recherches de cas contacts).</p>
<p>Deux bases légales auraient pu être théoriquement envisageables : le consentement ou la mission d’intérêt public. Néanmoins, il a été considéré (notamment par la <a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041870579&categorieLien=id">CNIL</a>) que la mission d’intérêt public constituait la base légale la plus appropriée, compte tenu des enjeux de santé publique.</p>
<p>Les fichiers traitant des données de santé rejoignent alors pleinement les fichiers à visée sécuritaire en abandonnant l’idée d’un consentement de l’individu : ils sont imposés, au nom du bien commun.</p>
<h2>L’État décide pour vous</h2>
<p>Ce caractère obligatoire devient même explicite lorsqu’il s’agit du fichier SIDEP, <a href="https://theconversation.com/donnees-de-sante-larbre-stopcovid-qui-cache-la-foret-health-data-hub-138852">rompant à cette occasion dans une certaine mesure le secret médical</a>.</p>
<p>L’individu est écarté des décisions portant sur sa propre santé, car on sait mieux que lui ce qui est nécessaire que l’État sache.</p>
<p>Outre le consentement individuel, même le débat démocratique est la plupart du temps congédié. Si les fichiers liés à la Covid-19 ont été l’exception, la plupart des traitements de données sont mis en place par voie réglementaire, ce qui prive d’un débat devant la représentation nationale. Même lorsque le fichier est créé par voie législative, <a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041865244&categorieLien=id">ce qui est le cas ici</a>, les dispositions sont souvent noyées dans un flot de textes où les traitements de données n’apparaissent que comme accessoires (et sur lesquels le débat devant les assemblées est donc limité).</p>
<p>De même, la CNIL, autorité indépendante qui pourrait apparaître comme un contrepoids aux velléités de fichage des gouvernements a perdu en 2004 son pouvoir de véto.</p>
<p>Il ne s’agit désormais plus que de chercher l’<a href="https://www.leblogducommunicant2-0.com/2020/04/12/tracage-covid-19-quels-leviers-de-communication-pour-lacceptabilite-sociale-de-lapplication/">« acceptabilité sociale »</a> des fichiers, par des efforts de pédagogie et d’explications, pour faire comprendre aux individus en quoi les outils sont, quoi qu’ils puissent penser, absolument nécessaires et en quoi s’y opposer ne serait pas rationnel.</p>
<p>On assiste ici à une exemplification parfaite de la logique néo-libérale récemment analysée par <a href="http://www.gallimard.fr/Catalogue/GALLIMARD/NRF-Essais/Il-faut-s-adapter">Barbara Stiegler</a> (<em>Il faut s’adapter</em>, Gallimard, 2019) à la suite des écrits de <a href="http://www.anthropiques.org/?p=1034">Walter Lippmann</a> au XX<sup>e</sup> siècle (<em>The Good Society</em>, 1937, non traduit en France) : l’intelligence collective est congédiée au profit d’un gouvernement des experts, par essence incontestable.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/ofUM17tkUV0?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Barbara Stiegler, 2019.</span></figcaption>
</figure>
<p>Pour ce courant de pensée, l’expertise doit tendre à se substituer au débat démocratique, nécessairement tenu par des individus intrinsèquement incompétents et en retard sur les enjeux. Le but des gouvernements n’est alors que de pratiquer la « fabrique (<em>manufacture</em>) du consentement », c’est-à-dire non pas rechercher le consentement réel mais permettre l’acceptation d’une solution déjà acquise. Circulez, il n’y a rien à voir.</p>
<h2>Vers un élargissement du cadre des possibles</h2>
<p>Le rejet du consentement de l’individu comme base légale du fichier pourrait cependant n’apparaître de prime abord peu choquant dans ce cadre sanitaire d’urgence.</p>
<p>Après une lecture rapide d’articles scientifiques portant sur la contagiosité et la dangerosité du virus, on pourrait se convaincre rapidement du caractère rationnel et bénéfique du choix opéré.</p>
<p>L’atteinte aux libertés fondamentales est en effet rendue davantage visible par le couplage entre ce premier niveau – le caractère imposé des traitements de données – et un second niveau de la fusée : l’élargissement et l’affaiblissement des finalités.</p>
<p>C’est sur ce point que l’exemple des fichiers à visée sécuritaire permet de donner un éclairage nouveau aux outils sanitaires actuels.</p>
<h2>Un éclairage nouveau</h2>
<p>En effet, un autre grand principe du droit à la protection des données personnelles se trouve dans l’impératif donné à tout traitement de données personnelles : on ne peut traiter des données que dans un but précis, rigoureusement défini, et lorsque cela est strictement nécessaire (les données collectées devant elles-mêmes apparaître comme la réponse exacte à cette finalité).</p>
<p>C’est la condition sine qua non et primordiale de la limitation du fichage. Les fichiers SIDEP et Contact-Covid témoignent de <a href="https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=857779C21817544606DBAC1D371A94F7.tplgfr34s_2?idArticle=LEGIARTI000041866189&cidTexte=JORFTEXT000041865244&categorieLien=id&dateTexte=">finalités définies plutôt largement</a>.</p>
<p>Ces dernières permettent par exemple que soit transmise au nom de la lutte contre l’épidémie la spécialité du médecin ayant ordonné le test… ce qui peut par exemple révéler un traitement en cours contre un cancer s’il s’agit d’un oncologue. Mais elles se limitent néanmoins à la lutte contre le virus, sans doute dans le contexte actuel de méfiance à leur égard.</p>
<p>Les fichiers de sécurité sont passés depuis longtemps sous les radars médiatiques et demeurent très peu étudiés. Depuis 1978, seuls trois rapports parlementaires ont été rendus sur le sujet, et aucune étude réelle et complète des enjeux n’a encore été menée au plan universitaire ou sur le terrain journalistique. Cet exemple montre les dangers d’une définition toujours plus souple des finalités.</p>
<p>En effet, en la matière, les finalités hier précisément définies sont désormais remplacées dans les textes législatifs ou réglementaires par des formules aussi laconiques que lapidaires, se contentant de faire de ces fichiers des outils soit de prévention de l’ordre public soit de la recherche des auteurs d’infractions, sans davantage de précisions.</p>
<h2>Des données récoltées particulièrement sensibles</h2>
<p>Les données récoltées sont alors toujours plus nombreuses, y compris lorsqu’il s’agit de données particulièrement sensibles (<a href="https://www.cnil.fr/fr/la-loi-informatique-et-libertes#article6">pourtant théoriquement davantage protégées</a>) comme celles touchant aux opinions politiques.</p>
<p>Ces informations font en effet l’objet de quelques fichiers de police, notamment en matière de renseignement, mais aussi en police judiciaire (on peut ici penser aux possibles arrestations en marge des manifestations, pour lesquels le motif de la manifestation, qui est donc un élément politique, sera retranscrit).</p>
<p>Par exemple, a ainsi été créé en 2009 le fichier <a href="https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=414B4D8AB8A37B4F0ED40327D3BDF53B.tplgfr34s_2?idArticle=LEGIARTI000035360977&cidTexte=LEGITEXT000025503132&dateTexte=20200728">PASP</a>, à l’usage des forces de l’ordre (certains de service de police et gendarmerie). Sa finalité est de « recueillir, de conserver et d’analyser les informations qui concernent des personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique ».</p>
<p>Le fichier PASP peut donc concerner potentiellement tout militant, manifestant ou activiste quelconque, même n’ayant commis aucune infraction (puisqu’il s’agit précisément d’individus « susceptibles de ») et peut être nourri de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales » de l’individu. L’entourage de l’individu peut également y voir ses données intégrées.</p>
<p>Il est impossible de savoir précisément combien d’individus sont fichés par ce type de fichier, ni même l’usage qui en est réellement fait (nombre de consultations notamment). Néanmoins, il faut rappeler que le fichier PASP, comme d’autres, est consulté (via le système <a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035366650&dateTexte=20200728">ACCReD</a>) systématiquement dans le cadre des enquêtes administratives préalables à l’embauche dans certains secteurs d’activité (liés à la sécurité notamment, ou dans la fonction publique).</p>
<p>La libéralisation des données de santé à l’œuvre dans les fichiers SIDEP et Contact-Covid présage du même destin pour les fichiers à visée sanitaire.</p>
<h2>Un doux glissement de la santé vers la sécurité</h2>
<p>On peut très facilement imaginer le doux glissement possible en cette matière : de la lutte précise, mais déjà très globale, contre la Covid-19 à la préservation plus générale de la santé publique, suivant le même destin que les fichiers sécuritaires dont les premières finalités relevaient d’infractions spécialisées.</p>
<p>Le <a href="https://www.cnil.fr/fr/fnaeg-fichier-national-des-empreintes-genetiques">fichier des empreintes génétiques</a> actuel a par exemple été créé uniquement pour lutter contre les crimes sexuels, mais <a href="https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=1AD68335F82CD8EA77D1E51D5466D43D.tplgfr33s_3?idArticle=LEGIARTI000032654379&cidTexte=LEGITEXT000006071154&categorieLien=id&dateTexte=">son champ d’application</a> porte désormais sur la quasi-totalité des infractions.</p>
<p>L’analogie entre les maladies et les infractions est d’autant moins incongrue que santé et sécurité font partie, dans un sens large, du même ensemble que constitue l’ordre public.</p>
<p>La démarche est d’autant plus probable qu’elle suit, là aussi, une vision néo-libérale, ici dans sa dimension <a href="https://theconversation.com/penser-lapres-sciences-pouvoir-et-opinions-dans-lapres-covid-19-137272">biopolitique</a>, où l’État se saisit des enjeux de santé, au plus intime des individus.</p>
<p>La <a href="https://theconversation.com/debat-souriez-vous-etes-surveilles-138554">surveillance</a> est ainsi progressivement érigée au nom des enjeux sécuritaires et sanitaires, justifiée par les experts et acceptée par la peur qu’elle soit celle du terrorisme ou celle de la maladie.</p>
<p>La vie privée devient, de manière paradoxale avec la promulgation du RGPD et les progrès apparemment concédés il y a deux ans, un droit formaliste et individualiste, qui peut céder sans risque face aux enjeux sécuritaires et sanitaires, et qu’il s’agit désormais de démanteler pièce par pièce.</p><img src="https://counter.theconversation.com/content/141894/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Yoann Nabat ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Le droit à la vie privée semble céder et se démanteler face aux enjeux sécuritaires et sanitaires.Yoann Nabat, Doctorant en droit pénal et sciences criminelles, Université de BordeauxLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1404592020-07-07T21:39:22Z2020-07-07T21:39:22ZFact check : L’application StopCovid contient-elle un mouchard ?<figure><img src="https://images.theconversation.com/files/344586/original/file-20200629-155303-pe9rh1.jpg?ixlib=rb-1.1.0&rect=0%2C0%2C1019%2C676&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L'application StopCovid a été téléchargée par moins de 2 millions de personnes depuis son lancement le 2 juin 2020</span> <span class="attribution"><span class="source">Denis Charlet / AFP</span></span></figcaption></figure><p>Mardi 2 juin 2020, l’application StopCovid a fait son apparition sur l’Apple store et le Play store (Google). Conçue par plusieurs compagnies comme Dassault Système, Capgemini ou encore ATOS et pilotée par l’Institut national de recherche en informatique et en automatique (Inria), afin de faciliter le traçage de malades du Covid-19 et de leurs potentiels contacts, StopCovid avait été validée par l’<a href="http://www2.assemblee-nationale.fr/static/15/scrutins/scrutin_declaration_stopcovid_2020.pdf">Assemblée nationale et le Sénat</a> le 28 mai 2020. De sa conception à sa validation, l’application n’a toutefois jamais fait consensus, ses détracteurs craignant notamment pour la sécurité des données personnelles des utilisateurs.</p>
<p>Sur les réseaux sociaux, l’association <a href="https://www.laquadrature.net/">La Quadrature du Net</a>, qui promeut et défend les libertés fondamentales dans l’environnement numérique, s’est même inquiétée de la présence d’un « mouchard » : le système reCAPTCHA. Conçu et relié à Google, ce système d’identification enverrait des données relatives à notre navigation Internet directement à la compagnie étasunienne.</p>
<p>Les concepteurs de StopCovid ont-ils placé un « mouchard » dans l’application ? La réponse est « oui » et cela mérite une explication.</p>
<h2>Une demande d’avis et des inquiétudes</h2>
<p>Le 15 mai 2020, le ministre des Solidarités et de la Santé Olivier Véran a saisi la Commission nationale de l’informatique et des libertés (CNIL) pour qu’elle se prononce sur un projet de décret relatif à l’application mobile « StopCovid ».</p>
<p>Dix jours plus tard, la CNIL, qui a dû travailler dans l’urgence, rendait un <a href="https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2020-056-25-mai-2020-avis-projet-decret-application-stopcovid.pdf">avis sur cette application</a>. Dans la note 77 de cet avis, la CNIL s’inquiète du fait que le ministère prévoit d’avoir recours à un « Captcha » (système automatisé qui permet de vérifier que l’application est bien utilisée par une personne physique), et que ce service serait assuré par un tiers. La commission s’alarme alors du fait que « le recours à ce service est susceptible d’entraîner la collecte de données personnelles non prévues dans le décret, des transferts de données hors de l’Union européenne, ainsi que des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur ».</p>
<p>Les Captcha sont des systèmes qui ont été mis en place pour lutter contre les robots spammeurs. En l’occurrence, pour l’application StopCovid, il s’agit d’être certain qu’une personne bien réelle l’utilise. Il existe différents Captcha élaborés par différentes sociétés. Les Captcha que l’on trouve le plus souvent sont des codes difficilement déchiffrables (chiffres et lettres) que la personne humaine doit retaper.</p>
<h2>Lignes de code</h2>
<p>Le 27 mai, sur Twitter, la <a href="https://twitter.com/laquadrature/status/1265574212451946497?s=19">Quadrature du Net révèle</a> que l’application StopCovid intègre un mouchard de Google, baptisé reCAPTCHA. Dans son Tweet, l’association renvoie vers les <a href="https://gitlab.inria.fr/stopcovid19/stopcovid-android/-/blob/master/stopcovid/src/main/res/values/untranslatable_strings.xml#L90">lignes de code sur le site web de l’Inria</a> où l’on voit effectivement, distinctement, le recours aux services de Google.</p>
<p>La Quadrature du Net s’émeut aussi du fait que, si ce mouchard demeure dans l’application, le gouvernement n’aurait donc pas respecté ses engagements, alors que Cédric O, secrétaire d’État chargé du numérique, avait évoqué l’importance du principe de <a href="https://twitter.com/cedric_o/status/1248121148883308544">« souveraineté numérique »</a> quelques semaines plus tôt devant le Sénat.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=502&fit=crop&dpr=1 754w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=502&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/344592/original/file-20200629-155345-v3f3jp.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=502&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Cédric O sécrétaire d’État chargé du numérique.</span>
<span class="attribution"><span class="source">Ludovic Marin/AFP</span></span>
</figcaption>
</figure>
<p>En réalité, l’intégralité du processus devait rester à l’intérieur des frontières européennes sans avoir recours aux services de Google ou d’Apple. C’est pourquoi l’application a été pilotée par l’Inria.</p>
<h2>La réponse dans le code source</h2>
<p>Alors, qu’en est-il ? L’application StopCovid contient-elle toujours ce mouchard ? Ou bien le gouvernement a-t-il entendu les craintes de la CNIL et par conséquent demandé à l’Inria d’utiliser une technologie Captcha alternative à celle de Google ?</p>
<p>Pour répondre à cette question, il suffit de se rendre sur le <a href="https://gitlab.inria.fr/stopcovid19/stopcovid-android/-/blob/master/stopcovid/src/main/res/values/untranslatable_strings.xml#L90">site web de l’Inria</a> et de lire le code source, où l’on trouve encore la référence au reCAPTCHA de Google.</p>
<p>Donc, oui, à l’heure actuelle, l’application StopCovid contient bien un « mouchard » comme l’affirme la Quadrature du Net, puisqu’elle peut permettre d’enregistrer au passage l’adresse IP (Internet Protocol) des téléphones où l’application est installée, ce qui apparaît en contradiction avec les principes de consentement <em>privacy-by-design</em> (principes du consentement qui doivent être pris en compte dès la conception de l’application) du Règlement général sur la protection des données européen (RGPD) défendu par la CNIL. Il s’agit bien d’une donnée à caractère personnel ; l’application n’est donc pas entièrement anonyme comme cela avait été annoncé depuis le début.</p>
<p>Sommé de s’expliquer sur la question, Cédric O explique dans un <a href="https://www.nextinpact.com/brief/stopcovid---captcha-souverain--transparence-sur-le-cout-et-indignation--cedric-o-repond-12709.htm">entretien</a> que le reCAPTCHA de Google « seul élément qui n’a pas été fait par nous », aurait été choisi car « sur la version mobile, il n’y avait pas d’autres Captcha qui existaient et qui étaient capables d’encaisser le choc de plusieurs millions d’interactions ».</p>
<p>Il est intéressant de noter qu’un <a href="https://www.webrankinfo.com/dossiers/produits-google/no-captcha-recaptcha">travail serait en cours avec Orange</a> afin de pouvoir se passer des services de Google et de son reCAPTCHA ; cette solution pourrait être disponible prochainement. Si Orange parvient à ses fins, il n’y aura donc plus alors de « mouchard » à déplorer dans l’application StopCovid. Reste à savoir quand Orange finalisera ce travail et si, à ce moment-là, il sera encore pertinent d’utiliser l’application…</p>
<h2>Un mouchard peut en cacher un autre</h2>
<p>On pourrait en définitive considérer que ce « mouchard » n’est pas intentionnel mais dû à un effet de bord causé par l’absence de solution alternative, ce qui resterait toutefois à prouver. Cependant, un <a href="https://www.lemonde.fr/pixels/article/2020/06/16/l-application-stopcovid-collecte-plus-de-donnees-qu-annonce_6043038_4408996.html">article du Monde</a> évoque une tout autre intrusion, bien plus perverse, dont on peut douter qu’elle ne soit pas intentionnelle.</p>
<p>Dans cet article, Gaëtan Leurent, chercheur français en cryptographie à l’Inria, explique qu’il a découvert, sur la plate-forme de développement de l’application StopCovid, que tous les contacts des personnes croisées, quelle que soit la durée des contacts, pendant les 14 derniers jours, sont envoyés au serveur central hébergeant les données liées à l’application. « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée » précise le chercheur dans les lignes du Monde.</p>
<p>Les justifications fournies par le secrétaire d’État au numérique paraissent sujettes à caution. <a href="https://www.mediapart.fr/journal/france/150620/stopcovid-l-appli-qui-en-savait-trop">Contacté par Mediapart</a>, le secrétariat d’État au numérique n’a pas remis en cause ces révélations, mais a voulu les justifier. Il explique que tous les quarts d’heure, un nouvel identifiant est attribué à chaque appareil. Ainsi, un contact qui ne durerait que cinq minutes pourrait être la suite d’un contact de douze minutes : deux contacts que seul le serveur est capable de relier pour comprendre qu’il s’agit, en réalité, d’un seul, de 17 minutes, donc à risques.</p>
<p>Ces explications ne convainquent pas le chercheur Gaëtan Leurent, qui pense « qu’il y aurait des moyens assez simples de limiter le problème : le téléphone pourrait filtrer les données pour ne garder les contacts courts que quand ils sont juste avant ou juste après un changement d’identifiant. »</p>
<p>Le plus inquiétant étant que les explications du secrétaire d’État interviennent après le déploiement de l’application. Si tout cela était avéré, il faudrait être davantage inquiet de ce second mouchard que du Captcha !</p>
<hr>
<p><em>Ce fact-check a été réalisé en partenariat avec la filière Journalistes et Scientifiques de l’ESJ de Lille.</em></p><img src="https://counter.theconversation.com/content/140459/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Florence Rodhain ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>L’application StopCovid téléchargeable depuis le 2 juin 2020, pour permettre un meilleur traçage des malades, est décriée par les spécialistes qui s’inquiètent de la présence d’un « mouchard ».Florence Rodhain, Maître de Conférences HDR en Systèmes d'Information, Université de MontpellierLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1407652020-06-18T17:53:41Z2020-06-18T17:53:41ZFaut-il renoncer au numérique pour l’éducation ?<figure><img src="https://images.theconversation.com/files/342224/original/file-20200616-23243-1i0mpwz.jpg?ixlib=rb-1.1.0&rect=608%2C5%2C1090%2C614&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Le numérique n’est pas seulement une technologie. Il correspond aussi et surtout à des transformations de nos sociétés et de nouveaux « arts de faire ».</span> <span class="attribution"><span class="source">Shutterstock</span></span></figcaption></figure><p>Nous le savons, le numérique n’est pas seulement une technologie. Il correspond aussi et surtout à des transformations de nos sociétés et de nos cultures, de nouveaux « arts de faire » et de nouvelles manières de vivre. Il offre des opportunités pour le développement personnel de chacun et de celui du monde qui nous entoure. Il apporte aussi des menaces individuelles et sociales sur l’emploi, sur le respect de la vie privée et sur la démocratie.</p>
<p>En France, le discours public sur le numérique dans l’éducation témoigne de ces risques. Les derniers mois qui ont précédé la pandémie de coronavirus, il était beaucoup question des risques d’addiction aux écrans et de leur corollaire en termes de dette de sommeil, d’affaiblissement de l’attention et d’exposition à la violence. La période de confinement et celle qui lui succède ont déplacé le regard vers ce qu’il a été convenu de qualifier de fractures numériques. C’est souvent un discours de prudence et parfois de peur.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/les-adolescents-face-aux-ecrans-faut-il-repenser-le-discours-de-prevention-129675">Les adolescents face aux écrans : faut-il repenser le discours de prévention ?</a>
</strong>
</em>
</p>
<hr>
<p>On parle beaucoup des risques mais on parle moins des apports du numérique à l’éducation des jeunes ni de l’ouverture qu’il leur donne, sur les autres et le monde. Pourtant, c’est justement parce que nous observons au quotidien la façon dont les techniques numériques sont souvent mises au service de projets plus aliénants qu’émancipateurs que nos institutions éducatives doivent jouer leur véritable rôle : former des citoyens responsables qui sauront, mieux que leurs aînés, mettre l’homme au centre des préoccupations et la technique à notre service.</p>
<h2>Inverser le point de vue</h2>
<p>En France, les premières expérimentations autour de l’informatique scolaire datent des années 1960. La question posée à l’époque sous-tend encore aujourd’hui l’essentiel des politiques éducatives numériques. On peut la résumer ainsi : que peut-on faire de ces techniques à l’école ?</p>
<p>La question semble étrange. Elle postule que ces techniques de traitement de l’information et de la communication ont forcément un intérêt pour l’enseignement. Elle est étrange car elle ne dit rien de la finalité des usages du numérique. Ces incertitudes sont très inconfortables pour les enseignants. Depuis 30 ans, les plans nationaux se succèdent. Ils articulent avec plus ou moins de bonheur des équipements, des ressources et de la formation des enseignants. Plus d’équipements que de ressources, et plus de ressources que de formation des enseignants.</p>
<p>Concrètement, le système éducatif fourmille d’initiatives intéressantes, sans que cette logique d’innovation ascendante ne se traduise par des usages à grande échelle avec de bonnes garanties d’efficacité éducative. Dans le même temps, les élèves et les enseignants arrivent à l’école avec un smartphone dans la poche. Ce n’est pas seulement un équipement personnel, puissant, connecté et nomade qui entre à l’école, ce sont de nouvelles habitudes, de nouvelles activités, de nouveaux comportements et de nouvelles attentes.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/temoignage-enseigner-les-sciences-experimentales-a-lheure-de-la-distanciation-sociale-138146">Témoignage : Enseigner les sciences expérimentales à l’heure de la distanciation sociale</a>
</strong>
</em>
</p>
<hr>
<p>C’est pourquoi il semble que nous ne regardions peut-être pas dans la bonne direction. Sans doute faut-il poser la question de ce que l’on peut faire du numérique à l’école. Mais il faut impérativement se demander aussi ce que le numérique fait à l’école. Comment la met-il <a href="https://hal.archives-ouvertes.fr/hal-01216702/document">sous tension</a>, à mesure qu’il transforme la société ? Bref, il faut inverser la question initiale.</p>
<h2>Objet d’apprentissage</h2>
<p>Les techniques numériques offrent de nouveaux outils, de nouveaux services et de nouvelles ressources pour enseigner et <a href="https://www.youtube.com/watch?v=IqCVrNMp_oQ">apprendre autrement</a>. On peut citer les apports des nouveaux modes de représentation de l’information avec la réalité immersive, les nouvelles possibilités d’interactions didactiques avec l’intelligence artificielle, les nouvelles possibilités d’enseigner et d’apprendre à distance ou les nouvelles possibilités d’accompagner les parcours d’apprentissage des élèves avec les techniques de <em>learning analytics</em>. Et bien d’autres possibilités encore…</p>
<p>Pourtant, beaucoup d’études montrent que l’essentiel des pratiques pédagogiques qui utilisent le numérique le font pour instrumenter des activités que l’on pouvait déjà réaliser sans le numérique – parfois avec plus d’efficacité. Les raisons de ces mésusages sont nombreuses – budgets de développement insuffisants, quasi-absence de formation initiale et continue des enseignants, etc. Or, ce que confirment ces études, c’est que l’intérêt des techniques numériques dans les activités d’apprentissage ne repose ni sur la fréquence de leur utilisation, ni sur leur durée, mais sur leur qualité et leur pertinence.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=417&fit=crop&dpr=1 600w, https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=417&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=417&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=524&fit=crop&dpr=1 754w, https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=524&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/342227/original/file-20200616-23261-13itns.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=524&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Les techniques numériques offrent de nouvelles ressources pour enseigner et apprendre autrement.</span>
<span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-vector/vector-illustration-flat-style-online-education-1043756827">Shutterstock</a></span>
</figcaption>
</figure>
<p>Le numérique est aussi un objet d’apprentissage. Il s’agit là d’une éducation au numérique qui va de la connaissance des enjeux sociétaux qu’il soulève jusqu’à une connaissance technologique minimale, en passant par des compétences d’utilisation que la simple pratique, aussi intensive soit-elle, ne suffit pas à développer. <a href="https://www.clemi.fr/">L’éducation au numérique</a> est bien sûr une responsabilité majeure des institutions éducatives car elle est indispensable à l’éducation du citoyen.</p>
<p>Enfin les usages multiples et massifs du numérique ont transformé et continuent à transformer nos cultures. Nous n’avons plus le même rapport à l’information et à la connaissance, plus le même rapport à l’espace et au temps, plus le même rapport à autrui et à nous-mêmes, plus le même rapport, enfin, avec tous nos actes de production et de création.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/covid-19-ce-que-la-continuite-pedagogique-nous-apprend-de-lecole-138340">Covid-19, ce que la continuité pédagogique nous apprend de l’école</a>
</strong>
</em>
</p>
<hr>
<p>C’est une véritable <a href="https://techne.labo.univ-poitiers.fr/gtnum5-cultures-numeriques/">acculturation de l’école</a> qu’il convient d’opérer. Elle demande sans doute moins d’ordinateurs, de tablettes et de réseaux – même s’il en faut – que de réflexions sur les espaces et les temps scolaires, sur les relations entre les élèves et avec les enseignants, sur de nouvelles activités d’apprentissage qui favorisent l’engagement et la créativité.</p>
<h2>Équipements et pratiques</h2>
<p>Depuis une bonne dizaine d’années, les politiques déployées visent essentiellement l’équipement individuel des élèves. En France, les deux tiers des fonds publics alloués au numérique éducatif le sont pour acheter des ordinateurs portables et des tablettes tactiles, soit environ deux milliards d’euros au cours des dix dernières années. C’est beaucoup d’argent ! C’est même trop en proportion de la <a href="https://www.ccomptes.fr/fr/publications/le-service-public-numerique-pour-leducation">totalité des dépenses</a> car cela ne permet pas d’acquérir la connectivité, les ressources ni de financer la formation des enseignants. Et cela reste pourtant insuffisant pour acquérir des équipements pour tous les élèves et les renouveler au fur et à mesure de leur obsolescence.</p>
<p>Aujourd’hui, le taux d’équipement est d’environ 8,5 élèves par terminal de travail à l’école primaire, de 3 en collège et de 2,5 en lycée et il sera difficile de faire mieux voire de maintenir ces taux d’équipement dans la durée. Cela signifie que nous n’avons pas les moyens d’une politique d’équipement systématique des élèves. Nous devons nous reposer sur l’équipement des élèves par leurs familles et reporter les dépenses publiques vers l’aide à l’équipement des familles plus modestes, la réduction des zones blanches, l’acquisition d’équipements collectifs, de ressources de qualité et vers la formation des enseignants.</p>
<p>Le <a href="https://hal.inria.fr/hal-02410129/document">coût environnemental</a> du numérique est très important. Toutes les études montrent que nous devons réagir fortement et rapidement. Cela signifie que nous devons aussi penser le numérique éducatif dans cette perspective.</p>
<p>Nous pouvons le faire de deux façons. La première est de sensibiliser les enseignants et leurs élèves à cette question de <a href="https://theshiftproject.org/article/pour-une-sobriete-numerique-rapport-shift/">soutenabilité environnementale</a> des usages des techniques numériques et d’indiquer comment chacun peut avoir des usages plus responsables avec un impact environnemental plus réduit. La deuxième est de s’interroger sur l’utilité du recours au numérique éducatif. Quand il existe une véritable plus-value pédagogique ou didactique, il ne faut pas hésiter à mobiliser ces techniques. Dans le cas contraire, mieux vaut y renoncer. C’est un principe de parcimonie.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=417&fit=crop&dpr=1 600w, https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=417&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=417&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=524&fit=crop&dpr=1 754w, https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=524&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/342229/original/file-20200616-23231-1g2wb6z.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=524&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">La plus grande attention doit donc être portée, bien au-delà du respect du règlement général sur la protection des données (RGPD), aux données collectées.</span>
<span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-vector/abstract-technology-user-interface-vector-futuristic-1494004835">Shutterstock</a></span>
</figcaption>
</figure>
<p>D’autre part, les traces des activités numériques des élèves constituent autant de <a href="https://www.educnum.fr/fr/le-collectif-educnum">données personnelles</a> qui témoignent de la dynamique de leurs apprentissages mais aussi de leurs comportements et des valeurs qui les animent. Il en va de même des traces numériques des enseignants qui révèlent leur personnalité et détaillent leurs pratiques professionnelles.</p>
<p>La plus grande attention doit donc être portée, bien au-delà du respect du règlement général sur la protection des données (RGPD), aux données collectées, à qui les collecte, aux conditions de leur stockage, aux usages qui en sont faits et à la sécurisation de l’ensemble. On le sait, la question de l’éthique est le plus souvent posée lorsque les services numériques existent déjà alors qu’elle devrait l’être dès leur conception.</p>
<p>Tous les usages éducatifs des techniques numériques ne sont donc ni souhaitables ni possibles, pour des raisons éducatives mais aussi économiques, environnementales et éthiques. Ce sont quatre contraintes que nous devons intégrer à nos politiques. Il ne faut pas uniquement se demander ce que nous pourrions bien faire de ces techniques, seulement parce qu’elles sont disponibles, parce qu’elles sont modernes ou parce que les marchés éducatifs alimentent la croissance économique.</p>
<p>Ce sont les objectifs premiers de l’école qui doivent nous guider : la réduction des inégalités sociales et l’éducation de citoyens émancipés. Il s’agit donc moins de penser les usages des techniques numériques à l’école que de repenser l’école à l’ère du numérique.</p><img src="https://counter.theconversation.com/content/140765/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Pour ses travaux de recherche, Jean-François Cerisier a reçu des financements de collectivités territoriales (Région Nouvelle-Aquitaine, Grand Poitiers), de l'État (MENJ, MESRI, ANR, ANRT), de programmes européens, de la Fondation MAIF et de la Cour des comptes.</span></em></p>Certes, il faut se demander ce que l’on peut faire du numérique à l’école, mais aussi voir ce que le numérique fait à l’école. Comment la met-il sous tension, à mesure qu’il change la société ?Jean-François Cerisier, Professeur de sciences de l'information et de la communication, Université de PoitiersLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1348432020-03-26T18:47:24Z2020-03-26T18:47:24ZBacktracking : comment concilier surveillance du Covid-19 et respect des libertés ?<figure><img src="https://images.theconversation.com/files/323395/original/file-20200326-132969-frg2j9.jpg?ixlib=rb-1.1.0&rect=927%2C289%2C4133%2C3113&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Que dit le droit de l’utilisation des données de géolocalisation ?</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/cu1Yax4dDx4">Ethan Hoover / Unsplash</a></span></figcaption></figure><p>Divers États ont mis à profit les technologies numériques pour lutter contre la propagation du coronavirus. La Corée du Sud recourt par exemple à la géolocalisation des personnes malades via leurs téléphones portables. Pour s’assurer du respect de la quarantaine, la Pologne utilise quant à elle une application mobile reposant sur des <a href="https://www.businessinsider.fr/us/poland-app-coronavirus-patients-mandaotory-selfie-2020-3">selfies pris par les patients</a>.</p>
<p>Ces dispositions ne sont pas sans implications sur la vie privée des personnes, et posent de nombreuses questions. Alors que le gouvernement français <a href="https://www.la-croix.com/France/Donnees-geolocalisation-contre-coronavirus-debat-couve-France-2020-03-25-1301086081">envisage lui aussi la mise en place de mesures basées sur la géolocalisation</a>, le Défenseur des droits Jacques Toubon souhaite un débat public sur les libertés, pour que l’État de droit ne soit pas galvaudé. </p>
<p>L’occasion de faire le point sur les garanties juridiques qui encadrent actuellement la mise en place d’un tel dispositif sur le territoire national.</p>
<h2>L’app qui cache la forêt ?</h2>
<p>Pour lutter contre la propagation du coronavirus SARS-CoV-2 et limiter les dégâts causés par la maladie Covid-19 qu’il provoque, les organisations et les États ont mis en œuvre des mesures d’urgence. </p>
<p>Parmi celles-ci, le « backtraking » consiste à collecter et traiter les données personnelles de géolocalisation GPS des téléphones des personnes porteuses du virus. Il permet par exemple de vérifier que les patients testés positifs au Covid-19 restent bien confinés à leur domicile. Le backtracking permet aussi de visualiser leurs déplacements et de repérer les individus susceptibles d’avoir été exposés au virus, lors de contacts avec les personnes infectées. </p>
<p>Cette méthode est utilisée par certains pays asiatiques tels que Singapour et la Corée du Sud, dont la gestion de la crise sanitaire est citée exemple. Ces États ont été fortement marqués par des épidémies antérieures telles que celles du SRAS et du MERS dans le cas de la Corée du Sud. Le backtracking reçoit donc l’adhésion de la population, et repose sur un solide fondement juridique.</p>
<p>En revanche, les mêmes moyens déployés dans d’autres contextes, tels que celui d’un État totalitaire, sont généralement très décriés. Il en est de même lorsque les données collectées sont rendues accessibles aux services du renseignement. En Israël, l’application gouvernementale « The Shield » (le Bouclier) alerte ses utilisateurs consentants dans le cas où ils auraient pu croiser un patient touché par le coronavirus, afin qu’ils se mettent en quarantaine. Mais l’agence de sécurité nationale, le Shin Bet, peut également accéder aux données collectées par The Shield grâce à une loi de 2002 lui permettant <a href="https://cyberguerre.numerama.com/4076-coronavirus-lapp-publique-pour-traquer-les-malades-a-t-elle-un-interet.html">de se connecter aux bases de données des opérateurs sans l’aval de la justice</a>. </p>
<p>En Europe, le commissaire européen chargé du marché intérieur, Thierry Breton, s’est entretenu avec plusieurs opérateurs télécoms – dont Orange et Deutsche Telekom – pour leur demander de fournir les données mobiles liées aux déplacements de leurs clients. Comment mettre en place ce dispositif à des fins de santé publique globale sans risquer un impact disproportionné sur nos libertés ?</p>
<h2>Quels fondements juridiques pour le backtracking sanitaire</h2>
<p>Le <a href="https://www.lemonde.fr/pixels/article/2018/03/22/ce-qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html">scandale Cambridge Analytica</a>, l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) et la banalisation de la reconnaissance faciale ont sensibilisé le grand public aux risques du mésusage de ces mégadonnées ainsi qu’à l’impact des technologies numériques sur la vie privée et les libertés. </p>
<p>Le backtracking repose sur la collecte et le traitement de la géolocalisation parmi d’autres données à caractère personnel : comment le mettre en œuvre sans risquer de porter atteinte aux droits des personnes ni de les stigmatiser ? En réalité, dans ce contexte, le consentement individuel n’est pas requis ; la protection de la santé publique relève d'ailleurs des exceptions au RGPD et reste une compétence régalienne. </p>
<p>La collecte et le traitement de données sans le consentement de la personne sont en effet licites en cas de nécessité liée à l’intérêt public (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6">art. 6-1 d et f</a>). En particulier, le « traitement (…) pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » est licite (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9">art. 9-2 i</a>). Enfin, la protection des intérêts vitaux de la personne ou d’une autre personne physique peut aussi être invoquée (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9">art.9.2.c</a>), et le considérant 46 se réfère explicitement au contrôle d’une épidémie :</p>
<blockquote>
<p>« Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation. »</p>
</blockquote>
<p>Ce ne sont donc pas les fondements juridiques qui font défaut. Est-ce valable pour la géolocalisation ?</p>
<h2>Les règles spécifiques applicables pour la géolocalisation</h2>
<p>Même en situation d’épidémie, un opérateur de services de télécommunications peut utiliser les données de ses clients à condition de les anonymiser. Ces précieuses données agrégées serviront à établir des cartes en temps réel, destinées par exemple à savoir combien de personnes se trouvent dans un endroit précis, <a href="https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:32002L0058">sans pour autant que la traçabilité inversée (remonter vers un individu identifié) soit possible</a>. Ces données contribuent directement à l’adaptation du système de soins.</p>
<p>Si l’anonymisation n’est pas possible, ou qu’elle n’est pas souhaitée par les autorités qui voudraient justement alerter les personnes dans le cadre de l’épidémie, alors le gouvernement utilisera la souplesse offerte par l’<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article15">article 15</a> et introduira une législation poursuivant l’intérêt national ou la sécurité publique.</p>
<p>C’est bien là tout l’objet du débat démocratique souhaité par Jacques Toubon. La loi devra être nécessaire, appropriée et proportionnée dans le cadre d’une société démocratique, c’est-à-dire respecter la <a href="https://www.europarl.europa.eu/charter/pdf/text_fr.pdf">Charte des Droits fondamentaux de l’Union européenne</a> et la <a href="https://www.coe.int/en/web/conventions/full-list/-/conventions/rms/0900001680063776">Convention européenne de Protection des Droits de l’Homme et des Libertés fondamentales</a>. </p>
<p>L’État devra aussi fournir des garanties appropriées, tel que la possibilité de poursuites judiciaires pour les personnes lésées (même si la loi sera susceptible de recours devant la Cour de justice de l’UE et la Cour européenne des droits de l’homme). Enfin, s’agissant d’une situation d’urgence, l’application du texte devra être strictement limitée à la durée de l’épidémie en question.</p>
<h2>La réutilisation des données à des fins de recherche scientifique</h2>
<p>Ce dernier aspect d’application du dispositif dans le temps pose la question de la pérennité de la mesure. À partir de quand pourra-t-on affirmer que l’épidémie est passée puisque les médecins eux-mêmes affirment qu’elle pourrait ressurgir ? La meilleure pratique serait de supprimer les données collectées lorsqu’elles ne sont plus utiles à moins d’une impérieuse nécessité telle que la recherche scientifique. </p>
<p>Cette hypothèse de réutilisation des données à des fins scientifiques, sans le consentement des personnes, reste possible sous réserve que des garanties appropriées soient adoptées (« clés de sécurité ») :</p>
<blockquote>
<p>« Le traitement ultérieur (…) à des fins de recherche scientifique (…) n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités » (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5">art.5-1-b</a>).</p>
</blockquote>
<p>Si les données n’ont pas été obtenues directement auprès des personnes, les exigences usuelles de transparence sont assouplies. Ainsi, quand les patients ne peuvent pas être informés de façon individuelle (parce que la communication d’informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés), il suffit de rendre publique l « information relative à la recherche scientifique, par exemple sur Internet (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article14">art.14-5-b</a>). Les hôpitaux qui collectent les données directement auprès des patients les informent de la possible réutilisation de leurs données à des fins de recherche scientifique, par exemple avec une brochure, un avis ou notification sur les formulaires d’admission (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13">art.13-3</a>). Enfin, dans ce contexte le droit individuel d’opposition au traitement de ses données par une personne se trouve limité (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article21">art.21-6</a>) ainsi que son droit à l’effacement (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17">art.17-1-c</a> et <a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17">17-3-d</a>).</p>
<h2>Des garanties à assurer</h2>
<p>Au vu des circonstances exceptionnelles actuelles, certains peuvent considérer que le backtracking est une mesure proportionnée, y compris s’il implique le traitement de données de géolocalisation non anonymisées. De solides fondements juridiques permettent de mettre en place une telle mesure intrusive pour la vie privée, en invoquant un motif de santé publique. </p>
<p>Cependant, en considération des finalités sanitaires à atteindre, la solution la moins intrusive possible devrait toujours prévaloir. À ce titre, les modalités concrètes de mise en œuvre du backtracking doivent s’accompagner de garanties concernant :</p>
<ul>
<li>sa durée ;</li>
<li>son champ d’application ;</li>
<li>le cycle de vie des données ;</li>
<li>leur durée de conservation ;</li>
<li>la limitation des finalités d’utilisation ;</li>
<li>la minimisation de l’étendue des données collectées ;</li>
<li>la sécurité des données (confidentialité, intégrité, accessibilité et résilience).</li>
</ul>
<p>Enfin, puisque le backtracking est relatif à des données sensibles, une étude d’impact sur la vie privée devra être mise en place s’agissant d’un traitement à grande échelle de catégories particulières de données (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article35">art.35-3-b</a>) ou permettant la surveillance systématique à grande échelle d’une zone accessible au public (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article35">art.35-3-c</a>). Le Comité européen à la protection des données a d’ailleurs publié <a href="https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en">une déclaration en ce sens</a>.</p>
<p>L’Organisation mondiale de la Santé, qui souhaite <a href="https://www.weforum.org/agenda/2020/03/who-briefing-03232020-director-general-fifa-offense/">passer à l’offensive dans la lutte contre le coronavirus</a>, n’a plus qu’à placer le backtracking sur sa <em>to do list</em> : une coordination de l’exploitation des mégadonnées collectées par ses États membres à des fins de protection de la santé globale est devenue plus qu’opportune.</p><img src="https://counter.theconversation.com/content/134843/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Nathalie Devillier ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>S’assurer que les malades respectent leur quarantaine, retracer leurs contacts et donc les infections possibles… La géolocalisation est un outil puissant pour contrôler l’épidémie. Et la vie privée ?Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1312652020-03-02T21:13:44Z2020-03-02T21:13:44ZLe smartphone, un espion dans notre poche ?<figure><img src="https://images.theconversation.com/files/318029/original/file-20200302-18266-68w9mi.jpg?ixlib=rb-1.1.0&rect=149%2C177%2C4595%2C2425&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Réseau de télécommunication au-dessus de la ville.</span> <span class="attribution"><a class="source" href="https://www.shutterstock.com/fr/image-photo/telecommunication-network-above-city-wireless-mobile-1377579011">NicoElNino / Shutterstock</a></span></figcaption></figure><p>Le smartphone concentre beaucoup de données personnelles saisies par l’utilisateur. Mais il en génère également au travers des capteurs et interfaces de communication dont il est doté : à chaque appel téléphonique ou SMS, utilisation d’un navigateur Web ou d’une application, des <a href="https://francoischarlet.ch/2018/chiffres-collecte-invisible-donnees-google/">traces</a> de ces activités sont créées. Notre smartphone sait donc énormément de choses sur nous, à la fois dans le monde virtuel d’Internet et dans le monde physique réel (déplacements, habitudes, paramètres biologiques…). La liste de nos applications est aussi porteuse de sens puisque celles-ci correspondent à nos centres d’intérêt et besoins. Un smartphone peut donc fournir de nombreuses données personnelles qui font vivre tout un écosystème.</p>
<h2>Le modèle économique des applications pour smartphone</h2>
<p>Au départ de cet écosystème se trouve l’utilisateur. L’utilisateur va chercher ses applications dans un magasin d’applications (<em>store</em>). Ces applications ont été conçues par des développeurs. Deux autres acteurs, moins connus du public, interviennent également : divers annonceurs, qui veulent faire passer des messages publicitaires, et des régies publicitaires. Comment ce <a href="https://fr.wikipedia.org/wiki/R%C3%A9gie_publicitaire">modèle économique</a> fonctionne-t-il ?</p>
<p>Pour avoir un retour financier, le développeur de l’application (souvent gratuite) passe un contrat avec une régie publicitaire et inclut dans son application un petit <a href="https://www.lemonde.fr/pixels/article/2017/11/24/des-mouchards-caches-dans-vos-applications-pour-smartphones_5219892_4408996.html"><em>tracker</em></a> ou <a href="https://www.lefigaro.fr/secteur/high-tech/2016/11/16/32001-20161116ARTFIG00331-un-logiciel-espion-chinois-decouvert-dans-des-milliers-de-smartphones-android.php">logiciel espion (ou espiogiciel)</a> fourni par cette dernière. Dès que l’utilisateur démarre l’application, l’espiogiciel collecte et transmet un certain nombre de données personnelles sur l’utilisateur (comme la liste des applications utilisées, des informations de géolocalisation, des identifiants techniques ou autres) à la régie publicitaire. La régie peut ainsi construire un profil utilisateur et l’enrichir au fil des jours, parfois même grâce aux données collectées par d’autres applications du smartphone. </p>
<p>Si l’application permet d’afficher une publicité, la régie déclenche une enchère en temps réel en annonçant, par exemple, qu’il s’agit d’une femme de moins de 25 ans intéressée par la mode. Parmi les annonceurs intéressés par un tel profil, l’annonceur qui remporte l’enchère fournit sa publicité et paie un petit montant (quelques fractions de cents) à la régie. La régie déclenche alors l’affichage de la publicité sur le smartphone de l’utilisateur, garde une partie de la somme gagnée et redistribue une autre partie au développeur de l’application. Le volume d’informations captées par les régies étant énorme, ce marché autour de la <a href="https://fredcavazza.net/2019/03/21/quels-sont-les-enjeux-de-la-publicite-mobile-en-2019/">publicité ciblée</a> est très lucratif.</p>
<p>En théorie, tous les acteurs trouvent leur compte dans ce modèle « gratuité contre publicité ciblée ». Mais nous connaissons tous l’adage « si c’est gratuit, c’est vous le produit » – en réalité, ici c’est l’annonceur qui paie à la place de l’utilisateur. Le modèle trouve ses principales limites dans la complexité de l’écosystème, trop obscur pour que l’utilisateur puisse accorder sa confiance, dans la disproportion fréquente entre les données personnelles collectées (<a href="https://www.sciencedirect.com/science/article/abs/pii/S1574119219300124">profilage continu</a>) et le service fourni à l’utilisateur, dans le manque d’information et de contrôle de l’utilisateur sur le devenir des données collectées – souvent immédiatement transmises vers des serveurs hors Europe, où notre <a href="https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue">législation</a> ne s’applique plus et où la CNIL ne peut pas pratiquer de <a href="https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil">contrôles</a>. L’utilisateur n’a pas non plus de garanties sur les conditions de stockage, de sécurité, sur la revente de ses données à des acteurs tiers…</p>
<h2>Un consentement libre et éclairé… en théorie</h2>
<p>Le <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679">Règlement général sur la protection des données</a> exige d’obtenir le <a href="https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes">consentement libre et éclairé</a> de l’utilisateur : libre parce que l’utilisateur doit pouvoir refuser que ses données soient collectées ; éclairé car l’utilisateur doit être informé des finalités de la collecte. Examinons les cas de Google et Apple qui couvrent à peu près 90 % du marché français.</p>
<p>Depuis toujours, le système d’exploitation iOS d’Apple met en œuvre des vérifications dynamiques : lorsqu’une application est exécutée pour la première fois, si elle a besoin d’une autorisation particulière, l’utilisateur reçoit un message avec une explication lui permettant de l’accorder ou non. À tout moment par la suite, l’utilisateur peut changer d’avis et avoir une vision globale des autorisations accordées dans un panneau de contrôle facile à trouver.</p>
<p>Pour le système d’exploitation Android de Google, pendant longtemps l’utilisateur n’a eu d’autre choix que d’accepter en bloc toutes les autorisations demandées sans quoi les applications ne pouvaient être installées. Heureusement depuis Android 6, Google a inclus un mécanisme d’autorisation dynamique mais les informations de contrôle demeurent éparpillées, difficiles à trouver et à comprendre. En outre, Google a classé les autorisations en deux catégories : les autorisations normales et les autorisations à risques ; l’utilisateur n’est sollicité que pour les autorisations à risques, les autorisations normales – ne comprenant, selon Google, pas beaucoup de risques pour la vie privée et la sécurité de l’utilisateur – restant automatiquement accordées lors de l’installation. Or, en recherchant dans les pages destinées aux développeurs Android, on se rend compte que ces autorisations ouvrent en fait l’accès à des identifiants techniques stables, c’est-à-dire permettant de tracer les utilisateurs dans la durée et de connaître, par exemple, tous les réseaux wifi auxquels ils se sont connectés. Ces informations sont loin d’être anodines en termes de respect de la vie privée.</p>
<p>Enfin, quelques <a href="https://interstices.info/jcms/p_83464/quand-nos-smartphones-sont-espionnes">limites</a> communes aux deux systèmes d’exploitation demeurent, notamment l’absence de contrôle du comportement des applications par l’utilisateur, de la composition précise des autorisations, et parfois encore l’absence de collecte explicite du consentement de l’utilisateur.</p>
<h2>Vers un modèle plus vertueux ?</h2>
<p>Des progrès restent donc possibles au regard du respect de la vie privée des utilisateurs de smartphones. D’abord, les utilisateurs eux-mêmes devraient se montrer plus responsables, d’une part en étant conscients que la gratuité totale n’existe pas – quelqu’un doit forcément soutenir financièrement le travail – et d’autre part en faisant preuve de plus de vigilance en matière d’autorisations lorsqu’ils installent et paramètrent des applications sur leur smartphone, par exemple en suivant des <a href="https://www.cnil.fr/fr/maitrisez-les-reglages-vie-privee-de-votre-smartphone">recommandations simples</a>. Ensuite, les autres acteurs de l’écosystème (éditeur du système d’exploitation, développeur, régie publicitaire) gagneraient à être plus transparents vis-à-vis de leurs pratiques ; ils devraient aussi être en mesure de prouver techniquement leur conformité par rapport à la législation (notion d’<em>accountability</em>). Enfin, des tiers de confiance – typiquement, la CNIL en France – devraient pouvoir contrôler ces acteurs même étrangers.</p>
<p>Il est impératif de chercher des réponses à ces questions car, avec la généralisation du paiement sur smartphone et la multiplication des objets connectés (montres intelligentes, maison intelligente, voitures connectées…), celles-ci s’étendent déjà à d’autres domaines.</p>
<hr>
<p><em>Si vous souhaitez en savoir plus, je vous recommande le module 2 « Smartphones et vie privée » du <a href="https://www.fun-mooc.fr/courses/course-v1:inria+41015+session04/about">MOOC (cours en ligne gratuit) de l’INRIA intitulé « Protection de la vie privée dans un monde numérique »</a>.</em></p><img src="https://counter.theconversation.com/content/131265/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Nathalie Dagorn ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les smartphones sont devenus un point de collecte majeur de données personnelles. Qui ces données intéressent-elles ? L’utilisateur peut-il contrôler ce flux d’informations ?Nathalie Dagorn, Professeur associée, ICN Business SchoolLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1237002019-09-18T18:42:01Z2019-09-18T18:42:01ZLa gratuité, casse-tête du régulateur face aux GAFAM<figure><img src="https://images.theconversation.com/files/292794/original/file-20190917-19030-32dk7m.jpg?ixlib=rb-1.1.0&rect=1%2C13%2C983%2C652&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L'économie numérique a démultiplié les services gratuits. </span> <span class="attribution"><span class="source">Quka / Shutterstock</span></span></figcaption></figure><figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=295&fit=crop&dpr=1 600w, https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=295&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=295&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=370&fit=crop&dpr=1 754w, https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=370&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/275295/original/file-20190519-69174-sfh58j.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=370&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<p><em><a href="https://theconversation.com/profiles/francoise-passerard-447339">Françoise Passerard</a> (Paris School of Business), <a href="https://theconversation.com/profiles/clarence-bluntz-451254">Clarence Bluntz</a> (Université Paris-Dauphine), <a href="https://theconversation.com/profiles/julien-pillot-193241">Julien Pillot</a> (Inseec School of Business & Economics) et Thibault Lieurade, chef de rubrique Économie + Entreprises, étaient les invités de l’émission <a href="http://www.rfi.fr/emission/20190919-gratuite-existe-elle-vraiment">« 7 milliards de voisins »</a> consacrée à la gratuité sur RFI le jeudi 19 septembre, en partenariat avec The Conversation France.</em></p>
<hr>
<p>Si les « modèles du gratuit » n’ont <a href="https://timesmachine.nytimes.com/timesmachine/1875/02/20/82755928.pdf">rien de nouveau</a>, l’économie numérique leur a donné une ampleur inédite. Du réseau professionnel LinkedIn aux applications de rencontres en passant par les jeux vidéo, les acteurs du numérique déploient une panoplie de stratégies dans lequel l’utilisateur accède librement à un service partiel selon une logique <a href="https://hbr.org/2019/03/how-companies-can-get-the-most-out-of-a-freemium-business-model">freemium</a>. Dans certains cas, l’utilisateur n’est même jamais mis à contribution, une « tierce activité » (comme le licensing) ou un « tiers financement » (comme la publicité) assurant les revenus de l’éditeur du service.</p>
<p>D’aucuns pourraient alors s’étonner que la gratuité – si répandue dans le numérique – puisse devenir un problème qui pousse des plus en plus d’autorités de concurrence à ouvrir des enquêtes contre les géants du numérique, GAFAM (Google, Amazon, Apple, Facebook et Microsoft) en tête, <a href="https://www.lemonde.fr/economie/article/2019/07/17/antitrust-la-pression-monte-d-un-cran-sur-google-apple-amazon-et-apple_5490412_3234.html">y compris aux États-Unis</a> dont ils sont originaires. Car, <em>in fine</em>, comment un service gratuit en apparence pourrait-il nuire aux consommateurs et, au-delà, à l’intérêt général ?</p>
<h2>Concentration naturelle</h2>
<p>Déjà, certaines pratiques de marché basées sur l’exploitation des données personnelles interrogent. Le scandale <a href="https://www.lemonde.fr/pixels/article/2018/03/22/ce-qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html">Cambridge Analytica</a> par exemple, qui a révélé en 2018 l’utilisation frauduleuse de données Facebook à des fins d’influence politique, a placé le projecteur sur le commerce, et l’exploitation dissimulée, pouvant être fait des données personnelles. Et les <a href="https://www.lesechos.fr/tech-medias/hightech/google-accuse-de-fournir-en-secret-des-donnees-privees-aux-annonceurs-1129034">suspicions autour des pratiques de Google</a>, soupçonné de contourner le Règlement général sur la protection des données (RGPD) en Europe, rappellent que les mesures légales de protection restent <a href="https://www.clubic.com/rgpd/actualite-867248-rgpd-consentement-explicite-positif-bafoue-niveaux.html">globalement inopérantes</a>.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/KZI9PRg32Pg?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">« Affaire Cambridge Analytica : pourquoi c’est grave pour Facebook et ses utilisateurs » (vidéo lemonde.fr, 2018).</span></figcaption>
</figure>
<p>Au-delà, c’est bien la concentration que l’on observe sur les marchés numériques autour de quelques leaders qui interroge. Or, une telle concentration est la résultante naturelle de ces services dont le succès repose sur d’importantes <a href="https://hbr.org/2016/04/pipelines-platforms-and-the-new-rules-of-strategy">économies d’échelle</a> et de puissants <a href="https://www.leconomiste.eu/decryptage-economie/581-comprendre-les-effets-de-reseau-les-consequences-strategiques.html">effets de réseau</a> (lorsque la valeur d’usage d’un service numérique augmente avec le nombre d’utilisateurs).</p>
<p>Ces deux facteurs entraînent rapidement un troisième effet : le <em>single-homing</em>, qui « enferme » le consommateur dans l’utilisation exclusive d’un seul service. Quand une offre numérique atteint un certain niveau de performance, les utilisateurs – offreurs comme demandeurs – n’ont en effet que peu d’intérêt à se tourner vers une offre concurrente, quand elle existe ! Cette <a href="https://theconversation.com/apple-contre-google-comprendre-leconomie-des-applications-2-63908">tendance</a> pourrait se résumer en une simple question, déclinable à la quasi-totalité des marchés numériques : pourquoi ferais-je appel à un autre service que celui proposé par le leader si la performance du service repose précisément sur le nombre d’utilisateurs ? À titre d’exemple, que vous soyez voyageur ou bien chauffeur, choisir une application de VTC concurrente à Uber réduira votre utilité partout où Uber est dominant : en moyenne, vous aurez moins de courses ou vous devrez patienter plus longtemps avant d’effectuer un trajet.</p>
<h2>Concurrence illusoire</h2>
<p>Dans ce jeu de conquête des espaces numériques, nul autre acteur que les GAFAM et les BATX (leurs pendants chinois) ne se sont illustrés avec autant de brio. Et la gratuité des services offerts y a indubitablement contribué : c’est elle qui a permis d’attirer un nombre conséquent d’utilisateurs jusqu’à créer les conditions d’un (quasi) monopole naturel.</p>
<p>Sauf disruption technologique, il est aujourd’hui illusoire de vouloir venir concurrence Google, Facebook ou Amazon (pour ne citer qu’eux). Le ticket d’entrée serait colossal et le retard en matière d’exploitation de données qualifiées abyssal. Les cas de Bing, aux parts de marché « confidentielles », mais également des <a href="https://www.europe1.fr/technologies/microsoft-enterre-definitivement-windows-phone-3459050">Windows phone</a>, désormais enterrés, en attestent : il ne suffit pas de disposer de moyens financiers et de capacités techniques pour entrer sur ces marchés. Les effets de réseaux, les routines des usagers, et les choix commerciaux des complémenteurs (notamment les développeurs d’applications), sont autant de barrières à l’entrée particulièrement hermétiques.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=399&fit=crop&dpr=1 600w, https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=399&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=399&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=502&fit=crop&dpr=1 754w, https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=502&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/292785/original/file-20190917-19049-1c1hn8i.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=502&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">La fin du Windows Phone souligne que la réussite n’est pas qu’une question de moyens financiers.</span>
<span class="attribution"><a class="source" href="https://www.flickr.com/photos/comedynose/44322891492">Pete/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<p>En résumé, la gratuité est à la base de l’acquisition d’audience qui, à son tour, va générer des effets d’entraînement jusqu’à créer des quasi-monopoles sur tous les <a href="https://www.hbrfrance.fr/magazine/2018/03/19445-plateformes-multifaces/">marchés dits « multi-faces »</a>, c’est-à-dire qui organisent la rencontre entre plusieurs catégories d’acteurs. Pour les autorités de la concurrence, qui cherchent à déterminer un éventuel abus de position dominante, toute la difficulté réside dans le fait que <a href="https://theconversation.com/trois-lecons-de-ski-pour-economistes-debutants-54915">tous les monopoles ne sont pas à combattre</a>, puisque certains se constituent par le seul mérite ou sont naturellement les structures de marché les plus efficaces. Rapportée au GAFAM, la question est d’autant plus complexe que leurs stratégies ont sur la concurrence des <a href="https://cirano.qc.ca/fr/sommaires/2019s-01">effets ambivalents</a>.</p>
<p>Dans un sens, les géants du numérique construisent une offre performante et offrent à de nombreux acteurs complémentaires l’accès à un marché colossal. Le jeu Angry Birds de l’éditeur Rovio n’aurait pu connaître pareil <a href="https://www.latribune.fr/technos-medias/20131002trib000788459/candy-crush-angry-birds-ces-jeux-qui-valent-des-milliards-ont-ils-un-avenir-.html">succès</a> sans la visibilité planétaire que lui ont conféré les magasins d’applications d’Android (Play Store) et d’Apple (App Store), ni le support technique des terminaux et systèmes d’exploitation mobiles.</p>
<h2>Stratégies d’éviction</h2>
<p>Mais inversement, ces mêmes géants ont une stratégie expansionniste (avant de devenir des empires commerciaux, Alphabet a commencé avec un moteur de recherche ; Amazon par une bibliothèque en ligne) qui peut se traduire par des stratégies d’éviction des « tiers financeurs ». Ces dernières peuvent prendre la forme de <a href="https://www.letemps.ch/economie/google-multiplie-14-tarifs-maps-suscite-colere">hausses de prix unilatérales</a> parfois difficiles à supporter, à l’image du service de cartographie de Google qui a été multiplié par 14 pour les entreprises mi-2018. Ces géants peuvent même choisir de se placer en concurrence frontale avec ces tiers financeurs pour les évincer. Quand, par exemple, Amazon décide de faire du sourcing pour <a href="https://hbr.org/2015/10/when-platforms-attack">vendre en propre</a> des produits jadis uniquement proposés sur sa marketplace, la plate-forme de Jeff Bezos montre clairement la sortie aux vendeurs indépendants qui proposent lesdits produits. Ils peuvent certes continuer de les proposer sur la marketplace, mais il est illusoire qu’ils parviennent à être compétitifs face à Amazon.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/podcast-amazon-et-la-spirale-du-low-cost-106731">Podcast : Amazon et la spirale du low-cost</a>
</strong>
</em>
</p>
<hr>
<p>Dans le même temps, les géants du numérique se montrent particulièrement actifs sur le <a href="https://www.competitionpolicyinternational.com/competition-in-the-digital-age-reflecting-on-digital-merger-investigations/">front des acquisitions</a>. Les <a href="https://business-herald.com/enquete/lorsque-gafa-etouffent-start-up">détracteurs</a> de telles opérations y voient le moyen d’accaparer très tôt des innovations susceptibles de les concurrencer à terme. Mais il est cependant possible de leur opposer deux arguments : d’abord, se faire racheter par l’un des GAFAM est très souvent l’<a href="https://www.challenges.fr/high-tech/start-up-les-10-regles-pour-se-faire-racheter-par-apple-google-amazon_176764">objectif stratégique</a>, même des start-up du numérique ; et puis Instagram serait-il devenu Instagram sans le support technologique et commercial de Facebook ? Un véritable casse-tête…</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1171892685550096384"}"></div></p>
<p>Finalement, ce ne sont pas tant les pratiques commerciales ou les stratégies tarifaires qui ont changé avec le numérique, mais bien la rapidité avec laquelle des (quasi) monopoles peu contestables sont apparus, bénéficiant pleinement du numérique pour étendre leur pouvoir de marché sur une base à la fois sectorielle et géographique. Or, comment réguler des firmes dont les frontières technologiques et activités évoluent constamment et dont lesdites activités, nativement mondialisées, ne peuvent être circonscrites à un territoire donné ? Est-il possible de les sanctionner, voire de les <a href="https://www.causeur.fr/demanteler-les-gafa-google-facebook-amazon-julien-pillot-inseec-165407">démanteler</a>, au prétexte qu’elles auraient annihilés toute forme de concurrence ? Ce serait méconnaître la concurrence féroce que ces géants – et les BATX – se livrent eux-mêmes sur des marchés aussi divers que le cloud, la publicité en ligne, le streaming, ou encore la smart city et le véhicule autonome.</p>
<h2>Et le consommateur dans tout ça ?</h2>
<p>Cette régulation est d’autant plus compliquée qu’il faut aussi inclure le consommateur dans l’équation, puisque la préservation de ses intérêts fait partie intégrante de la mission assignée aux autorités de concurrence. Sur ce terrain, un reproche peut principalement être émis à l’endroit de la domination qu’exercent les GAFAM : la gratuité de façade, contre l’exploitation des données personnelles. Or, ni la multiplication des campagnes de sensibilisation, ni la mise en place de mécanismes aussi visibles que le RGPD n’ont, pour l’heure, eu la moindre incidence sur le choix des consommateurs. Facebook a bien subi quelques pertes suite au scandale Cambridge Analytica, <a href="https://www.challenges.fr/high-tech/donnees-personnelles-facebook-risque-t-il-vraiment-de-perdre-des-abonnes-en-france_575688">mais reste ultra dominant</a>. Qwant reste dans l’ombre du géant Google, et les objets connectés, parfois très intrusifs, <a href="https://www.journaldunet.com/ebusiness/expert/70668/le-boom-des-objets-connectes-commence-son-deferlement-sur-les-baby-boomers.shtml">continuent de s’écouler par millions</a>. Est-ce à dire que le consommateur privilégie la performance brute du service au respect de sa vie privée ?</p>
<p>À force d’extension et de connaissance des clients (via l’exploitation des données), les GAFAM sont parvenus à construire des offres groupées performantes – telles que la suite servicielle de Google ou l’offre Amazon Prime – et plébiscitées par les consommateurs. Condamner ou réguler les GAFAM de façon trop hâtive, voire arbitraire, serait aussi courir le risque de renoncer à des services dont l’efficience repose sur leur adjonction au sein d’un même univers de marque. Et leur apparente gratuité.</p><img src="https://counter.theconversation.com/content/123700/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Julien Pillot est coordinateur du think tank trans-partisan "Le Jour d'Après" qui entend participer aux débats sur les réformes structurelles nécessaires à la modernisation et l'efficacité de notre modèle social, économique et institutionnel, en dépassant les clivages partisans.</span></em></p><p class="fine-print"><em><span>Frédéric Marty ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Les géants du numérique ont bâti leur domination sur des services en accès libre qui, en apparence, sont bénéfiques pour le consommateur.Julien Pillot, Enseignant-Chercheur en Economie et Stratégie (Inseec U.) / Pr. et Chercheur associé (U. Paris Saclay), INSEEC Grande ÉcoleFrédéric Marty, Chargé de recherche en droit, économie et gestion, Centre national de la recherche scientifique (CNRS)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1229082019-09-08T18:38:06Z2019-09-08T18:38:06ZPourquoi les appareils à commande vocale nous enregistrent-ils ? Quels en sont les risques ?<figure><img src="https://images.theconversation.com/files/290987/original/file-20190904-175705-kr1r86.png?ixlib=rb-1.1.0&rect=13%2C6%2C691%2C433&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Assistant à commande vocale.</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/KwG8KpT6gbQ">Photo by Niclas Illg on Unsplash</a></span></figcaption></figure><p>Alors que le déploiement sécurisé des réseaux 5G vient d’être adopté par la France (<a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038864094&dateTexte=&categorieLien=id">loi « anti-Huawei »</a>), les polémiques fleurissent autour des assistants vocaux (sans oublier votre Xbox) convertis en véritables « mouchards ». A la suite de lanceurs d’alerte, plusieurs médias ont ainsi révélé l’étendue des enregistrements accidentels (non déclenchés par l’utilisateur) et surtout l’envoi de tous les enregistrements à des sous-traitants dont les salariés écoutent vos moments les plus intimes.</p>
<p><a href="https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/">Google Home</a>, <a href="https://www.lemondeinformatique.fr/actualites/lire-plus-d-ecoute-de-siri-sans-accord-de-l-utilisateur-promet-apple-76256.html">Apple Siri</a>, <a href="https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio">Amazon Echo</a> et <a href="https://www.phonandroid.com/microsoft-a-aussi-espionne-les-joueurs-xbox.html">Xbox</a>, fabricants de ces dispositifs reposant sur l’intelligence artificielle ont en effet recours à des sociétés extérieures pour analyser les requêtes. C’est acceptable, mais là où cela devient glissant, c’est que les salariés peuvent écouter les enregistrements des voix des membres du foyer et des personnes qui les visitent et sont à portée de voix.</p>
<p>La commande vocale est en réalité profondément infiltrée dans votre vie privée. Au-delà des assistants vocaux ce sont bien sûr le téléphone, un casque audio, les équipements ménagers, jusqu’à <a href="https://www.professionvoyages.com/commande-vocale-dans-votre-chambre-dhotel/">votre chambre d’hôtel</a>, et demain les véhicules autonomes qui fonctionnent grâce à cette technologie. Il est donc temps de découvrir ce que les fabricants enregistrent, pourquoi, et quels sont les risques pour les utilisateurs.</p>
<h2>Espion du quotidien</h2>
<p>Contrôler des objets connectés, utiliser des services de divertissement tels sont les fonctions des assistants personnels à commande vocale : répondre à une question, jouer un morceau de musique, donner la météo, descendre les stores, diminuer la température… un vrai valet à votre service !</p>
<p>Tous les appareils connectés se trouvent dans le foyer ou sont portés par leurs utilisateurs. Le volume des données qu’ils génèrent est donc très important et reflète parfaitement le mode de vie de la famille depuis l’heure du lever. Réglage du chauffage, goûts culturels, achats passés, centres d’intérêt… rien de leur échappe. Le profil commercial de chaque membre de la famille est affiné en toute discrétion puisque la voix qui commande l’appareil ne laisse aucune « trace ». En effet, vous souvenez-vous des requêtes formulées hier ? La semaine dernière ? Ou depuis l’achat de cet assistant ? Et qu’en est-il des interactions de vos enfants ou de leurs amis avec cette machine ? L’appareil lui, ne perd pas une miette du moindre mot et s’empresse de l’analyser pour peaufiner la technologie de reconnaissance vocale et, au passage, la publicité ciblée.</p>
<p>Le fonctionnement est tellement simple que l’appareil se déclenche au bruit d’une simple fermeture éclair ! Siri s’est aussi déclenché en plein discours du Secrétaire à la Défense <a href="https://www.bbc.com/news/av/uk-politics-44701007/gavin-williamson-interrupted-by-siri-during-commons-statement">Gavin Williamson</a> qui s’adressait aux députés au sujet de la Syrie. Le même assistant s’active aussi en concordance avec l’Apple Watch. Or, le taux de déclenchement accidentel de cette montre connectée est très élevé et il peut enregistrer jusqu’à 30 secondes de son. Des négociations d’affaires aux rapports sexuels, en passant par des transactions illicites et des consultations médicales, l’objet des enregistrements est identifiable en un rien de temps.</p>
<p>Le motif invoqué par les fabricants pour justifier ces enregistrements est l’amélioration de la technologie de reconnaissance vocale : « améliorer la qualité langagière » selon Amazon et Google. Les sociétés précisent qu’elles permettent à l’utilisateur de s’opposer à certaines utilisations de ces enregistrements par une option d’« opt-out » (pour ce faire, il faudra vous immerger dans les paramètres de votre appareil…). Apple a pour sa part expliqué que l’analyse porte sur moins de 1 % des requêtes et qu’elle se fait moyennant des garanties : les données sont anonymisées (elles ne peuvent pas être rattachées à l’identifiant d’un client) et les personnes chargées de l’analyse ont signé un engagement de confidentialité. Devant le tollé provoqué par ces révélations, la firme a décidé d’introduire une option de consentement pour les utilisateurs.</p>
<h2>Données personnelles</h2>
<p>Si ces enregistrements « accidentels » et leur envoi pour analyse et écoute à des sous-traitants alimentent la polémique, c’est parce que les utilisateurs n’en étaient pas informés par les fabricants. Leur manque de loyauté et de transparence vis-à-vis de leurs clients est donc condamnable, sans compter l’absence de sécurité et de confidentialité s’agissant des enregistrements communiqués aux médias. Ces enregistrements comprennent l’historique des requêtes audio et la transcription des requêtes. Ils sont accompagnés de données de localisation, données de contacts et détails des applications qui servent à vérifier si la réponse à une requête a été donnée, plus les méta-données (date, heure, utilisateur…).</p>
<p>De surcroît, d’innombrables cas d’enregistrements portent sur des <a href="https://www.theguardian.com/technology/2019/jul/26/apple-contractors-regularly-hear-confidential-details-on-siri-recordings">discussions privées</a> entre médecins et patients, des négociations commerciales, des transactions apparemment criminelles, ou encore de rencontres sexuelles, etc.</p>
<p>Or, les données contenues par ces enregistrements sont des données à caractère personnel puisqu’il s’agit d’informations se rapportant à une personne physique identifiée ou identifiable. Rappelons que la personne physique peut être identifiée indirectement par référence à un identifiant (nom, numéro d’identification, données de localisation) ou à un ou plusieurs éléments spécifiques propres à son identité qu’elle soit physique, économique, culturelle ou sociale.</p>
<p>Nombre de ces données sont qualifiées de sensibles : celles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données de santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Le RGPD interdit le traitement de ces données sauf consentement explicite de la personne et dans certaines hypothèses strictement définies (art. 9). Or, dans de tels cas, les équipes qui analysent les enregistrements ont pour toute consigne de rapporter un « incident technique », sans plus. Aucune procédure n’est mise en place pour ces données très sensibles !</p>
<p>Au-delà de la publicité ciblée, les risques sont le partage ou la commercialisation des données, le piratage et l’utilisation par des tiers non autorisés (usurpation d’identité, arnaques, <em>ransomware</em>, etc.). Ces risques sont bien réels car la détection de la voix humaine n’est pas infaillible. Lors du Super Bowl 2017, une publicité TV sur Google Home avait déclenché les appareils des téléspectateurs car les personnages lançaient le fameux « OK Google ». De nombreux utilisateurs d’Amazon Echo ont reçu à leur domicile une maison de poupée qu’ils n’avaient pas commandée ! La commande vocale est donc la grande vulnérabilité de ces nouvelles technologies.</p>
<h2>Paroles… paroles… paroles…</h2>
<p>L’utilisation des assistants à commande vocale se révèle donc à haut risque pour la vie privée de ses utilisateurs. Leurs propriétaires sont en premier lieu affectés ainsi que toute personne se trouvant à portée de voix de l’appareil, même s’il n’en a pas forcément conscience. Plusieurs principes du RGDP ne sont sans doute pas observés. Celui de licéité, loyauté et transparence tout d’abord, puisque ces enregistrements et leur envoi à des sous-traitants ont eu lieu en dehors de toute information des personnes aisément accessible, facile à comprendre et formulée en termes clairs et simples. La minimisation de l’usage des données est aussi mise à mal car ces sociétés traitent des données qui ne sont ni adéquates, ni pertinentes au regard des requêtes des usagers.</p>
<p>Ensuite, rappelons qu’en vertu du principe de limitation des finalités, la ou les finalités doivent répondre à trois qualités. Être « déterminées » préalablement ce qui signifie qu’il est interdit de collecter des données à des fins préventives. Ces finalités doivent être « explicites », c’est-à-dire communiquées à la personne concernée (droit à l’information) et enfin, être légitimes par rapport à l’activité du responsable de traitement.</p>
<p>Quant à la limitation de la conservation, aucune durée n’est spécifiée par les CGU de Google si ce n’est que les enregistrements sont conservés <a href="https://support.google.com/googlenest/answer/7072285?hl=en">jusqu’à ce que les utilisateurs les suppriment</a>. Comment faire ? Ici encore, tout repose sur la vigilance de la personne et sa persévérance, à défaut de protection par défaut et dès la conception de la part de Google (accédez <a href="https://myactivity.google.com/">ici</a> à votre activité sur la page de Google pour tenter de supprimer vos enregistrements).</p>
<p>Sur certains produits, il est possible de paramétrer plusieurs profils d’utilisateurs, dans ce cas les enregistrements permettent l’identification de la personne (biométrie vocale) et les données sont rattachées à chaque profil. S’agissant de données biométriques, elles sont qualifiées de sensibles au sens du RGPD et ne peuvent être traitées que sur la base d’un consentement explicite.</p>
<h2>Détournements</h2>
<p>En cas d’utilisation des données pour une finalité autre que celles spécifiées dans les conditions d’utilisation de ces services, les sociétés peuvent voir leur responsabilité engagée pour détournement de finalité. La CNIL a récemment mis en demeure des sociétés des groupes <a href="https://www.cnil.fr/fr/mise-en-demeure-de-cinq-societes-dassurance-pour-detournement-de-finalite-des-donnees-des-assures">Humanis et Malakoff-Médéric</a> de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite.</p>
<p>Avec l’entrée en application du RGPD, les amendes administratives pour violation des principes de base d’un traitement, y compris les conditions applicables au consentement, peuvent atteindre vingt millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).</p>
<p><a href="https://datenschutz-hamburg.de/assets/pdf/2019-08-01_press-release-Google_Assistant.pdf">L’autorité de protection des données allemande</a> a justement ouvert une procédure d’enquête en août dernier enjoignant Google de cesser ses analyses des enregistrements pour une durée de 3 mois dans l’Union européenne.</p>
<h2>Que faire ?</h2>
<p>Les détenteurs de ces assistants peuvent tout d’abord exercer leurs droits d’accès à leurs données à caractère personnel pour savoir quelles écoutes ont été faites, et ensuite en demander la suppression. En attendant que des sanctions soient prises, les conseils de la <a href="https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee">CNIL</a> sont les suivants :</p>
<ul>
<li><p>Privilégier l’utilisation d’enceintes équipées d’un bouton de désactivation du microphone.</p></li>
<li><p>Couper le micro/éteindre/débrancher l’appareil lorsque vous ne souhaitez pas être écouté. Certains dispositifs n’ont pas de bouton on/off et doivent être débranchés.</p></li>
<li><p>Avertir les tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités).</p></li>
<li><p>Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux).</p></li>
<li><p>Vérifier qu’il est bien réglé par défaut pour filtrer les informations à destination des enfants.</p></li>
</ul>
<p>Enfin, si vous possédez l’appareil Alexa d’Amazon, il est possible de désactiver l’option d’enregistrement dans : Paramètres > Alexa et vos informations personnelles > Gérer comment vos données contribuent à améliorer Alexa > Contribuer à améliorer les services Amazon et à développer de nouvelles fonctionnalités.</p><img src="https://counter.theconversation.com/content/122908/count.gif" alt="The Conversation" width="1" height="1" />
Les assistants personnels à commande vocale sont à la mode. Sait-on qu’ils enregistrent nos conversations et diffusent nos données ?Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1229582019-09-06T09:12:30Z2019-09-06T09:12:30ZAutour de l’informatique : dialogue technologique, dialogue social<figure><img src="https://images.theconversation.com/files/290999/original/file-20190904-175682-hkez1r.jpg?ixlib=rb-1.1.0&rect=27%2C109%2C1631%2C1225&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Dans une usine de fibres optiques.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/jurvetson/52581560/in/photolist-5DuEC-bwrt3z-dyTVge-4jVsuR-6LtX6Y-eHBmt8-ExRXnC-a5FbUb-2V2uSq-dhu2qA-9sMzG-N7Uao1-dhsWoh-dhtzLY-8W9g79-T1xyW-VwBpud-58tk6A-qG55Fz-q4j2a9-dksoZ9-9sMta-qpMPzD-5ApPw-8W6cs4-7fhfyH-qpEGdC-6BEeFK-7wt2yo-UuKRqs-cu8XCG-ekNAhc-cudPh9-dyBA3B-2536Qvy-7DFSSt-67fkyu-nZJFhw-frVaYZ-Xyiz3k-6Pu5zc-8W6bRa-6gPVRp-9e9Rsh-eHR8uy-8rgigS-8rgwi3-2aTwrG-dyYZYq-e5FtFy">Steve Jurvetson/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p><em>Un nouvel « Entretien autour de l’informatique » : Thiébaut Weber, syndicaliste CFDT et ancien militant étudiant. Il a été secrétaire confédéral de la Confédération Européenne des Syndicats entre 2015 et mai 2019. Il s’intéresse à la numérisation, aux nouvelles formes de travail et aux plates-formes en ligne. Cet article est publié en collaboration avec le <a href="https://www.lemonde.fr/blog/binaire/">Blog Binaire</a>.</em></p>
<hr>
<figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=689&fit=crop&dpr=1 600w, https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=689&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=689&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=866&fit=crop&dpr=1 754w, https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=866&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/290995/original/file-20190904-175700-1wujtkh.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=866&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Thiébaut Weber.</span>
<span class="attribution"><span class="source">Binaire</span>, <span class="license">Author provided</span></span>
</figcaption>
</figure>
<p><strong>Binaire : pourrais-tu nous parler de ton parcours ?</strong></p>
<p>J’ai été syndicaliste étudiant, président de la <a href="https://www.fage.org/">FAGE</a>. Je n’ai pas terminé mes études : la CFDT m’a proposé de prendre des responsabilités syndicales. Je viens de finir un mandat de quatre ans à la <a href="https://www.etuc.org/fr">Confédération européenne des syndicats</a>, à Bruxelles. Cette confédération regroupe les principaux syndicats européens, pour agir sur les politiques européennes sur l’emploi et le social, représenter les travailleurs et mener des réflexions avec l’Institut syndical européen (ETUI) sur les enjeux liés à l’avenir du travail. Nous nous intéressons évidemment aux transformations du travail par l’informatique, et aux relations entre les humains et les machines. J’ai aussi fait partie d’un groupe d’experts européens sur l’IA où j’étais le seul syndicaliste. Si je n’ai pas personnellement suivi de cursus scientifique en informatique, je me suis formé sur le tas, notamment au contact d’amis et d’experts. Je vais maintenant intégrer la Délégation interministérielle sur la prévention et lutte contre la pauvreté, où je compte m’investir notamment sur la pauvreté des jeunes.</p>
<p><strong>Le monde numérique transforme la société. Quels sont les vrais enjeux ?</strong></p>
<p>L’enjeu peut-être le plus important est celui de formation citoyenne et de l’éducation populaire pour devenir citoyen et salarié dans un monde numérique. Nous sommes à un moment clé où nous pouvons encore définir quel cadre nous souhaitons pour la collaboration entre l’humain et la machine. Actuellement, les débats portent souvent sur des sujets qui tiennent de science-fiction et pas assez autour des vraies questions par exemple : dans quelle mesure voulons-nous utiliser les nouvelles technologies pour améliorer notre cadre de travail ou comment pouvons-nous protéger les données de chacun au-delà du RGPD. Ce sont de vrais enjeux sociétaux et il faut faire évoluer la formation syndicale pour être prêt à mener un dialogue qui n’est pas seulement social mais également technologique.</p>
<p>Par exemple, les systèmes d’intelligence artificielle (IA) utilisés sur les lieux de travail doivent être irréprochables en matière de protection de la dignité humaine, de la sécurité. Pour cela, il faut établir un dialogue dès la conception de ces systèmes pour échanger sur toutes les facettes de leurs déploiements sur des lieux de travail. Prenez un bâtiment dans une usine chimique, on branche un système avec des caméras pour localiser en permanence les matières dangereuses ; cela ne doit pas servir de manière exagérée à surveiller les travailleurs. On veut une IA éthique, une IA fiable, explicable, et digne de confiance, acceptable par tous. Les syndicats doivent participer depuis la conception de tels systèmes. Les syndicalistes doivent donc être formés pour pouvoir participer aux discussions entourant les utilisations de tels systèmes.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=476&fit=crop&dpr=1 600w, https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=476&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=476&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=598&fit=crop&dpr=1 754w, https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=598&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/290996/original/file-20190904-175678-mtmz8w.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=598&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Solstice Hannan/Unsplash.</span>
<span class="attribution"><a class="source" href="https://unsplash.com/photos/fkt0WINjWdw">Photo by Solstice Hannan on Unsplash</a></span>
</figcaption>
</figure>
<p>Pour prendre un autre exemple, les données produites par les travailleurs, qu’est-ce qui en est fait ? Une fois qu’elles ont été utilisées au profit d’un service particulier, que deviennent-elles ? L’employeur a, dans une certaine mesure, un droit d’utiliser ces données pour la supervision du travail effectué mais cette utilisation doit être proportionnée, rester dans certaines limites. Il faut que l’on puisse contrôler à quoi elles servent. C’est à ce prix que l’utilisation des données devient acceptable par les travailleurs, que la confiance s’établit.</p>
<p><strong>Dans ce cadre, la formation des employés est essentielle.</strong></p>
<p>Évidemment et ce n’est pas encore assez un sujet dans l’entreprise. On a besoin d’éducation à l’informatique pour nos citoyens, de formation continue dans l’entreprise. Par exemple, dans la formation professionnelle, on a besoin de formation sur l’utilisation des données, les enjeux de la collaboration humain-machine. On doit, en dialogue avec les scientifiques, proposer de nouvelles formations pour une utilisation de ces technologies qui garantisse la compétitivité de nos entreprises, bien sûr, mais aussi au service de l’amélioration des conditions de travail.</p>
<p>C’est un beau sujet que les partenaires sociaux devraient s’approprier dans les années à venir. Le dialogue social en France est un peu au point mort. La formation au numérique pourrait être un sujet pour le relancer en préparant la France aux enjeux de demain. Ça paraît abstrait, mais c’est très concret : pour aller vers des entreprises performantes et où il fera bon travailler, cela passe par la formation aux nouvelles technologies dans les entreprises.</p>
<p><strong>Quid de la disparition des métiers, et l’apparition des nouveaux métiers ?</strong></p>
<p>Nous avons déjà traversé trois révolutions industrielles. Cela continue avec l’informatique et l’intelligence artificielle. Il y a un consensus scientifique autour du chiffre de 10 % des emplois qui devraient disparaître, mais pas de visibilité sur les nouveaux emplois qui pourraient être créés. Pour moi, l’enjeu premier, c’est l’évolution des métiers. D’abord, dans leur contenu : des tâches simples d’interprétation et d’aide à la prise de décision seront demain prises par des machines. Ensuite tout dépend de choix au niveau de l’entreprise. Par exemple, prenons le secteur de l’assurance, les déclarations de sinistres, actuellement traitées par des humains. Si demain elles sont traitées par <a href="https://fr.wikipedia.org/wiki/Reconnaissance_optique_de_caract%C3%A8res">OCR</a>, l’entreprise peut en profiter pour faire un plan massif de licenciement. Elle peut aussi choisir de mettre en place un plan formation de ses employés remplacés par des logiciels pour les former au conseil en assurance. Il faut donc des acteurs conscients, éclairés des enjeux technologiques pour faire le bon choix. Un mauvais choix peut être catastrophique pour l’entreprise. Une automatisation irréfléchie en plus d’être catastrophique pour les emplois peut aussi résulter, on s’en rend compte de plus en plus, en des dégradations de la qualité des services ou des produits.</p>
<p><strong>Les syndicats sont là pour accompagner les transformations du travail. Est-ce qu’ils sont prêts à cela ?</strong></p>
<p>Le syndicalisme a toujours été beaucoup plus à l’aise avec les grands collectifs de travail qu’avec les plus petites entités. On assiste aujourd’hui à une forme de balkanisation du travail, d’explosion des unités. Il y a de plus en plus de petites entreprises, de travailleurs indépendants, et cela ne favorise pas le travail syndical. Comment proposer l’outil syndical à des travailleurs qui sont isolés et donc plus vulnérables aux risques d’exploitation et de précarité ? Les syndicats ne sont pas organisés pour ces nouveaux défis. Dans les entreprises classiques avec des structures syndicales appropriées, les syndicalistes peuvent se former à ces nouvelles technologiques. Il leur faut investir ces nouveaux sujets dans les grandes structures, les grandes administrations, la santé et l’hôpital par exemple, commencer par là. Et de là cela pourra se généraliser à toutes les entreprises.</p>
<p>À l’autre bout du spectre, prenons l’exemple des chauffeurs de VTC comme Uber. Des syndicats se sont implantés. Un chauffeur, militant syndical, a beaucoup de difficultés à entrer dans un dialogue social classique avec la plate-forme. Il a besoin par exemple de savoir comment l’algorithme attribue des courses ou non. Mais il y a absence d’explicabilité, de transparence. Des chauffeurs syndiqués disent avoir observé un certain ralentissement des courses qui leur sont attribuées. Comment un chauffeur peut-il prouver qu’il a subi une discrimination syndicale par l’algorithme d’allocation de courses ? Si un juge s’y intéresse, il devra demander à des experts qui devront avoir accès au code, aux données, tester l’algorithme… Il n’y a pas de législation qui protège ces chauffeurs, ni même de moyen de vérifier ce que les plates-formes font.</p>
<p><strong>Crois-tu qu’il y ait une place pour l’Europe dans le domaine de l’IA ?</strong></p>
<p>Comment l’Europe peut-elle se placer pour revenir dans la bataille mondiale de l’IA ? En Europe, il y a une forte demande sociale pour que les pouvoirs publics soient protecteurs en ce qui concerne l’IA. Il y a beaucoup de craintes, fondées ou non autour du développement de l’IA. Comment peut-on répondre aux enjeux sociaux, aux enjeux de protection, de sécurité des citoyens, notamment en matière de données et de confiance ?</p>
<p>Nous avons travaillé sur ce sujet au sein du groupe européen d’experts sur l’IA mis en place par la Commission européenne. Nous avons produit deux documents, l’un sur la notion de confiance et l’éthique, l’autre sur les politiques et les investissements. Nous avons développé une idée forte dans ces documents : l’Europe peut l’emporter à travers l’IA de confiance. Beaucoup de produits et de services européens sont reconnus aujourd’hui pour leur qualité, leur fiabilité. C’est par exemple le cas pour les voitures produites en Europe. C’est là que nous pouvons trouver un créneau. Prenez les enjeux autour de l’IA : robustesse et fiabilité technique, mais aussi confiance et fiabilité éthique. Confiance dans la manière dont les logiciels ont été conçus, dont ils traitent nos données, sont transparents pour expliquer le comportement d’une machine. C’est la vision qui a été développée par le groupe. C’est surtout dans ce domaine que l’Europe peut avoir une avance. Pour cela, il nous faut unir nos forces, renforcer les coopérations scientifiques, avoir davantage de projets de recherche européens sur ces sujets. Il nous faut développer une politique européenne de l’IA.</p>
<p>Il faut aussi mettre à jour nos législations, par exemple sur les discriminations. Actuellement la législation se place sur des terrains connus comme la religion, l’âge, le genre, le couleur de peau… <em>Quid</em> de biais éventuellement introduits par la machine dans des terrains inconnus, que l’on ne connaît pas encore ? Le même problème se pose pour la directive européenne sur la responsabilité autour des produits. Il va falloir la revoir en tenant compte des systèmes auto-apprenants. L’Europe peut être un vecteur de progrès, comme pour la RGPD. Le RGPD, ce n’est pas parfait, on voit déjà des contournements, mais l’Europe a donné le ton, et on réalise que la protection des données ne tue pas l’innovation. Demain l’Europe peut aller plus loin dans cette direction avec l’intelligence artificielle.</p>
<p><strong>Est-ce que l’informatique pose de nouvelles questions aux syndicalistes ?</strong></p>
<p>Dans le syndicalisme, sur le terrain, j’ai des collègues compétents pour traiter des conditions de travail, de salaire, de sécurité au travail, faire remonter des problèmes, des tensions, participer à leur résolution. Une dimension qui est moins traitée au niveau syndical est celle des politiques d’emploi des entreprises. Des logiciels sont mis en œuvre pour trier des CV et aider au recrutement, les logiciels RH. On a des expériences maintenant, comme celle d’Amazon. Ils ont entraîné la machine sur la base des CV de leur masse salariale actuelle sur les données de candidats à l’embauche. Ils ont réalisé que le logiciel retournait surtout des CV d’hommes. À partir des données qu’il avait, le logiciel avait décidé qu’il valait mieux être un homme pour bosser chez Amazon. Veut-on une politique d’emploi qui exacerbe les biais déjà présents ?</p>
<p>Nous savons que nous ne sommes pas tous égaux dans la façon dont nous nous présentons, dont nous concevons nos CV. Nos capitaux culturels nous différencient et donnent des avantages à certains. Demain un traitement des embauches par logiciel est potentiellement très dangereux car la technologie peut introduire des biais très forts dans la sélection et le recrutement. Les syndicalistes doivent se former pour pouvoir discuter les conditions de recrutement, les critères, l’usage de la technologie pour les recrutements. Il leur faut discuter avec les entreprises qui conçoivent ces logiciels, et sur le terrain il faut vérifier que c’est bien utilisé.</p>
<p>Cela nous ramène au dialogue nécessaire entre la technologie et la protection sociale des employés, à un dialogue technologique et social.</p>
<hr>
<p><em>Pour aller plus loin : <a href="https://ec.europa.eu/digital-single-market/en/news/policy-and-investment-recommendations-trustworthy-artificial-intelligence">« Policy and investment recommendations for trustworthy artificial intelligence »</a>.</em></p><img src="https://counter.theconversation.com/content/122958/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.</span></em></p>Thiébaut Weber, syndicaliste CFDT, s’intéresse à la numérisation et aux nouvelles formes de travail. Entretien, en co-publication avec le blog Binaire.Serge Abiteboul, Directeur de recherche à Inria, membre de l'Académie des Sciences, École normale supérieure (ENS) – PSLClaire Mathieu, Directrice de recherche CNRS, Paris, École normale supérieure (ENS) – PSLLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1207782019-08-11T15:56:36Z2019-08-11T15:56:36ZAmende contre Facebook : comment la FTC américaine s’est transformée en « super CNIL »<figure><img src="https://images.theconversation.com/files/287615/original/file-20190811-144855-1nukym2.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">L'immeuble de la Federal Trade Commission à Washington;</span> <span class="attribution"><a class="source" href="https://ilsr.org/ftc-hearings-bright-spots/">ilsr.org</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>Le régulateur américain de la protection des consommateurs a infligé à Facebook une <a href="https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions">amende record de $5 milliards</a> pour des violations en matière de données à caractère personnel. Cette amende est de loin la plus grosse jamais infligée pour une violation de données personnelles. Même si le montant de l’amende semble <a href="https://www.wired.com/story/congress-pissed-facebook-ftc/">dérisoire pour certains membres du Congrès américain</a>, cette sanction a permis à la FTC d’occuper la place du régulateur le plus puissant du monde en matière de protection de données à caractère personnel. Et pourtant, les États-Unis ne disposent pas de loi générale sur la protection des données.</p>
<p>Pour se transformer en « super CNIL », la FTC américaine s’est appuyée sur un <a href="https://www.law.cornell.edu/uscode/text/15/45">texte de 1914</a> sur la protection des consommateurs qui interdit toute pratique déloyale ou trompeuse dans le commerce. La France dispose d’une loi similaire dans son <a href="https://www.economie.gouv.fr/dgccrf/Consommation/Electricite-gaz-naturel/Pratiques-commerciales-deloyales">Code de la Consommation</a>. Aux États-Unis il n’existe pas l’équivalent de la CNIL au niveau fédéral. La FTC a donc rempli le vide.</p>
<p>Il n’était pas évident pour la FTC de transformer un texte général sur la protection des consommateurs en une loi sur la protection des données à caractère personnel. La FTC devait affronter deux obstacles. Premièrement, il fallait créer une doctrine suffisamment claire pour que les entreprises comprennent ce qu’est une pratique déloyale ou trompeuse en matière de données à caractère personnel. Ensuite il fallait trouver le moyen d’imposer des sanctions financières, car le FTC Act de 1914 n’en prévoyait pas.</p>
<h2>Procédures contre Facebook</h2>
<figure class="align-left ">
<img alt="" src="https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=450&fit=crop&dpr=1 600w, https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=450&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=450&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=566&fit=crop&dpr=1 754w, https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=566&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/287616/original/file-20190811-144868-119yuvn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=566&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Un siège de Facebook.</span>
<span class="attribution"><a class="source" href="https://www.flickr.com/photos/earthworm/34009455806">Earthworm/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by-nc-sa/4.0/">CC BY-NC-SA</a></span>
</figcaption>
</figure>
<p>Pour expliciter ce qui est une pratique trompeuse en matière de données à caractère personnel, la FTC a créé une <a href="https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2312913">doctrine</a> qui punit toute entreprise qui « ne tient pas ses promesses » en matière de données personnelles. La FTC avait commencé une première procédure contre Facebook en 2011 en l’<a href="https://www.ftc.gov/sites/default/files/documents/cases/2011/11/111129facebookcmpt.pdf">accusant de pratiques trompeuses</a> en raison du décalage entre ce que Facebook a dit au consommateurs, et ce qu’elle a fait. Pour détecter une pratique trompeuse, la FTC va scruter chaque phrase de la politique de confidentialité pour déceler une promesse, même implicite, qui ne serait pas tenue.</p>
<p>Une pratique déloyale est plus délicate à démontrer qu’une pratique trompeuse, ce qui explique pourquoi la FTC préfère s’appuyer sur le concept de « pratique trompeuse » plutôt que celui de pratique déloyale. La FTC considère comme pratique déloyale toute <a href="https://academic.oup.com/idpl/article/5/3/205/730616?etoc">pratique qui surprendrait le consommateur moyen</a> et ne pourrait être facilement évité par lui.</p>
<p>Le FTC Act ne permet pas à la FTC d’imposer une sanction financière directement. Elle doit demander au Département de la Justice américain d’intenter un procès. Pour contourner cette difficulté, la FTC privilégie la conclusion d’accords transactionnels. Le FTC Act permet au régulateur d’imposer des sanctions directement en cas de violation de ces accords. Le tout est de faire signer un accord lors de la première violation par l’entreprise. En cas de deuxième infraction, la FTC est en position de force. La nouvelle affaire Facebook s’inscrit dans cette logique. Facebook a signé un <a href="https://www.ftc.gov/sites/default/files/documents/cases/2012/08/120810facebookdo.pdf">accord transactionnel avec la FTC en 2012</a>. La FTC constate aujourd’hui que Facebook a violé l’accord, notamment en partageant des données avec Cambridge Analytica. La violation de l’accord de 2012 permet à la FTC de frapper fort, et négocier un <a href="https://www.ftc.gov/system/files/documents/cases/182_3109_facebook_order_filed_7-24-19.pdf">nouvel accord</a> de 20 ans, cette fois-ci avec une amende de $5 milliards.</p>
<h2>Accords transactionnels</h2>
<p>Si les accords transactionnels permettent à la FTC d’augmenter ses pouvoirs, pourquoi est-ce que les entreprises les signent ? En signant des accords transactionnels, les entreprises se mettent en situation de faiblesse : La planche est savonnée à l’avance en cas de deuxième violation. Cependant la plupart des entreprises préfèrent négocier un accord avec la FTC plutôt que de subir un procès. Outre le coût du procès et le mauvais effet sur l’image de l’entreprise, un procès perdu contre le gouvernement américain peut ouvrir la porte à d’autres procès et notamment des <em>class actions</em> de consommateurs. Les entreprises craignent l’effet boule de neige. Par contre, un accord transactionnel avec la FTC ne crée pas de précédent car l’entreprise n’admet pas sa culpabilité dans l’accord. L’entreprise garde ainsi les mains libres pour clamer son innocence lors d’autres procédures.</p>
<p>En plus d’augmenter les pouvoirs de sanction de la FTC, les accords transactionnels permettent à la FTC d’imposer des obligations détaillées en matière de protection des données personnelles. Un accord transactionnel avec la FTC peut devenir un mini-RGPD qui lie l’entreprise pendant 20 ans, la durée habituelle de ces accords.</p>
<p>Le nouvel accord oblige Facebook à obtenir le consentement explicite de l’utilisateur avant toute utilisation de ses données de reconnaissance faciale, ou de tout partage de son numéro mobile avec des tiers. L’accord de 2012 obligeait déjà Facebook à effectuer des études d’impact, et cette obligation a été renforcée dans l’accord de 2019. Le nouvel accord oblige Facebook à mettre en place un comité d’administrateurs indépendants pour contrôler l’application de l’accord au sein de l’entreprise, et les statuts de Facebook devront être modifiés pour garantir que Mark Zuckerberg n’a pas le pouvoir seul de licencier les personnes chargées de contrôler les obligations de Facebook à l’intérieur de l’entreprise. Le nouvel accord oblige Mark Zuckerberg à signer une attestation personnelle sur la conformité de l’entreprise avec les engagements pris dans l’accord. Une fausse déclaration exposerait Monsieur Zuckerberg à des sanctions pénales, y compris l’emprisonnement. Surtout, les accords obligent Facebook à documenter l’ensemble de ses mesures prises pour réduire les risques, et à effectuer un audit tous les deux ans par un auditeur indépendant.</p>
<p>L’accord de 2012 avait déjà prévu un audit biannuel. A la suite de l’affaire Cambridge Analytica, l’association EPIC a obtenu une <a href="https://epic.org/2018/04/epic-obtains-partial-release-o.html">copie de l’audit</a> effectué pour la période 2015-2017. L’audit n’a pas détecté d’anomalies liées au partage de données avec Cambridge Analytica et d’autres partenaires commerciaux de Facebook. <a href="https://cyberlaw.stanford.edu/files/blogs/whitepaper4.18.18.pdf">L’efficacité des audits</a> a été remise en cause, ce qui a conduit la FTC à muscler les dispositions sur les audits dans le nouvel accord de 2019.</p>
<p>Même si l’accord transactionnel de 2012 n’a pas empêché Facebook de franchir la ligne rouge dans l’affaire Cambridge Analytica, cet accord a néanmoins permis à la FTC d’intervenir avec force pour sanctionner cette deuxième violation. Outre l’amende de $5 milliards, le nouvel accord de 2019 contient de nombreuses mesures de « responsabilisation » (<a href="https://www.hoganlovells.com/%7E/media/hogan-lovells/pdf/publication/2016/maxwell-taieb-article.pdf?la=en"><em>accountability</em></a>) qui sont censées garantir que les engagements pris par Facebook sont appliqués à chaque niveau de l’entreprise et que toute violation sera détectée rapidement. La direction de Facebook ne pourra pas dire qu’elle n’était pas au courant. Ces engagements de gouvernance s’appliqueront à Facebook pendant les 20 prochaines années.</p>
<p>Aux États-Unis, le procédé d’accords négociés avec le gouvernement est courant. Ce procédé est parfois critiqué comme étant une forme de négociation sous contrainte. L’amende de $8,9 milliards contre la BNP Paribas était un accord « négocié » même si on peut s’interroger sur l’équilibre de cette négociation entre la banque française et le gouvernement américain. En Europe, les accords transactionnels n’existent pas pour les violations de données à caractère personnel, mais sont fréquents en droit de la concurrence.</p><img src="https://counter.theconversation.com/content/120778/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Winston Maxwell ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>L'amende historique contre Facebook résulte de violations des lois américaines sur la protection des consommateurs, et d'une savante utilisation par le régulateur américain d'accords transactionnels.Winston Maxwell, Directeur d'Etudes, droit et numérique, Télécom Paris – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1197602019-07-07T18:33:46Z2019-07-07T18:33:46ZLa nouvelle problématique de concurrence posée par l’accès aux données dans l’économie numérique<figure><img src="https://images.theconversation.com/files/282216/original/file-20190702-126376-wwxd2a.jpg?ixlib=rb-1.1.0&rect=0%2C16%2C995%2C598&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">En 2017, Facebook a écopé d'une amende pour avoir menti sur la possibilité d’associer le numéro de téléphone des utilisateurs de Whatsapp à leur profil.</span> <span class="attribution"><span class="source">Quka/Shutterstock</span></span></figcaption></figure><p>Dans l’économie numérique, la donnée est reine. Si les problèmes récents de vols et de pertes de données sont à la une de l’actualité suite à l’entrée en vigueur, en mai 2018, du Règlement général sur la protection des données (RGPD), le lien entre accès aux données et concurrence sur les marchés reste en phase d’observation. Prenons quelques cas récents.</p>
<p>En 2014, la Commission européenne a enquêté sur les conséquences du rachat de WhatsApp par Facebook. En fusionnant, les deux entreprises peuvent croiser leurs bases de données, et ainsi <a href="http://ec.europa.eu/competition/mergers/cases/decisions/m7217_20141003_20310_3962132_EN.pdf">accroître la quantité d’informations</a> dont elles disposent sur leurs utilisateurs. Lorsqu’en 2017 il s’est avéré que Facebook avait délibérément menti sur la possibilité d’associer le numéro de téléphone des utilisateurs de WhatsApp à leur profil Facebook, la Commission a prononcé une amende de 110 millions d’euros. Ces dérives non respectueuses des données personnelles ont amené l’un des cofondateurs de WhatsApp <a href="http://www.lefigaro.fr/flash-eco/2018/05/01/97002-20180501FILWWW00022-jan-koum-cofondateur-de-whatsapp-demissionne.php">à démissionner</a>. Toutefois, les faits retenus à l’encontre du géant américain portaient seulement sur le fait d’avoir menti aux enquêteurs, et non sur le croisement des bases de données des deux entreprises.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"865170999880372225"}"></div></p>
<h2>Fonds de commerce des géants du numérique</h2>
<p>Aux États-Unis, lors de la fusion entre Google et DoubleClick en 2007, la Federal Trade Commission, l’agence indépendante du gouvernement, s’est penchée sur la possibilité pour les entreprises de <a href="https://www.ftc.gov/system/files/documents/public_statements/418081/071220googledc-commstmt.pdf">croiser leurs bases de données</a>, sans se concentrer sur l’impact des données sur la concurrence.</p>
<p>Ces premières analyses suggèrent donc que l’accès aux données peut être considéré comme ayant un impact minime sur la concurrence. La Commission européenne a néanmoins souhaité pousser davantage l’analyse en publiant un <a href="http://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf">rapport sur la concurrence à l’ère du numérique</a>. Ce rapport pointe la barrière à l’entrée que constituent les données pour les nouvelles entreprises. Les auteurs recommandent donc l’ouverture des bases de données des principaux acteurs du numérique. L’argument étant qu’en donnant l’accès des données à toutes les entreprises, leur valeur n’est pas concentrée dans les mains d’une poignée d’acteurs qui en tirent leur domination sur le marché. Cette proposition semble peu réaliste car les données constituent le fonds de commerce des entreprises du numérique.</p>
<p>Quoi qu’il en soit, cette deuxième analyse considère les données comme une contrainte externe imposée aux entreprises du numérique. Or, il apparaît de plus en plus clairement que l’accès aux données peut provenir de décisions stratégiques pour au moins deux raisons.</p>
<p>Premièrement, l’accès aux données est souvent monopolisé par des plates-formes qui jouent le rôle d’intermédiaires entre différents groupes d’utilisateurs sur ce que l’on appelle un marché à plusieurs versants. L’acteur qui contrôle la plate-forme contrôle également qui a accès à ses données. Il peut ainsi fausser le jeu de la concurrence sur les marchés en excluant certaines entreprises.</p>
<h2>La donnée confère le pouvoir de marché</h2>
<p>Ainsi, certaines pratiques de Facebook ont été dévoilées lors d’une audition au parlement britannique <a href="https://www.nytimes.com/2018/12/05/technology/facebook-documents-uk-parliament.html">révélée par le <em>New York Times</em></a> fin 2018. Facebook aurait favorisé l’échange de données avec des apps partenaires telles que celles d’Airbnb, Lyft ou Netflix. Facebook aurait en revanche coupé l’accès à ses données aux apps perçues comme concurrentes telle que l’application Vine de Twitter.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/282222/original/file-20190702-126376-16tin0f.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Plus de données, plus de pouvoir de marché.</span>
<span class="attribution"><span class="source">One photo/Shutterstock</span></span>
</figcaption>
</figure>
<p>Deuxièmement, les bases de données présentent la particularité de pouvoir créer des synergies lorsqu’on les fusionne. Deux entreprises mettant en commun leurs données, par exemple lors d’une fusion du type WhatsApp/Facebook peuvent donc bénéficier d’un gain exponentiel d’informations qui, devenant de plus en plus précises, augmentent la valeur économique des données consolidées. Les fusions « data-driven » (motivées par l’enjeu de la donnée) modifient en outre les stratégies liées à la collecte des données de l’entité fusionnée. Une firme ayant accès à des informations de meilleure qualité va augmenter son pouvoir de marché, ce qui va lui donner accès à encore plus d’informations. Le lien entre pouvoir de marché et collecte d’informations se renforce donc, ce qui favorise l’émergence d’acteurs dominants.</p>
<p>En conclusion, l’accès aux données garantit la base d’une concurrence saine sur les marchés du numérique. L’accumulation de données favorise les acteurs dominants qui peuvent ensuite influencer la concurrence entre tierces parties en leur donnant l’accès ou non à leurs données. Dès lors, il est important de vérifier que la collecte des données est respectueuse de la réglementation en vigueur (RGPD). Car le problème n’est plus seulement du ressort du droit de la protection des données personnelles mais devient un enjeu de droit de la concurrence.</p><img src="https://counter.theconversation.com/content/119760/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Rien à déclarer</span></em></p><p class="fine-print"><em><span>Antoine Dubus ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>D’une part, l’accumulation de données renforce le pouvoir de marché des intermédiaires. D’autre part, le jeu peut être faussé pour les entreprises qui n’ont pas accès aux données stratégiques.Patrick Waelbroeck, Professeur d'économie, Télécom Paris – Institut Mines-TélécomAntoine Dubus, Doctorant, Télécom Paris – Institut Mines-TélécomLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1144912019-04-15T18:21:13Z2019-04-15T18:21:13ZAvec le RGPD, la fin des dérives et des scandales ?<figure><img src="https://images.theconversation.com/files/269356/original/file-20190415-147487-vf2rtk.jpg?ixlib=rb-1.1.0&rect=3%2C104%2C2392%2C1491&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Frédérique Game au WordCamp Paris.</span> <span class="attribution"><a class="source" href="https://www.google.com/search?q=consentement+%C3%A9clair%C3%A9&rlz=1C1CHBF_frFR820FR821&tbm=isch&source=lnt&tbs=sur:fc&sa=X&ved=0ahUKEwjM25WOqtLhAhVL8OAKHbiZDrQQpwUIIA&biw=1536&bih=794&dpr=1.25#imgrc=u0476fKkV6kkqM:">Wikipedia</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>Depuis quelques années, l’actualité est régulièrement secouée par des scandales liés à l’utilisation illicite ou abusive de données numériques. Le cas Facebook-Cambridge Analytica a particulièrement marqué les esprits. Plus que les précédentes affaires, il a mis en avant la responsabilité d’une organisation vis-à-vis des données qu’elle détient. En effet, ce ne sont pas tant les pratiques de <a href="https://www.lemonde.fr/pixels/article/2018/03/22/ce-qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html">Cambridge Analytica</a> qui ont été dénoncées, mais bien l’incapacité du célèbre réseau social à protéger ses utilisateurs. Convoqué par les hautes instances américaines et européennes, Mark Zuckerberg a reconnu sa responsabilité dans cette affaire et s’est publiquement excusé.</p>
<figure>
<iframe width="440" height="260" src="https://www.youtube.com/embed/K6Zop5I8bis?wmode=transparent&start=0" frameborder="0" allowfullscreen=""></iframe>
<figcaption><span class="caption">Les cinq temps forts de l’audition de Mark Zuckerberg au Sénat américain (<em>Les Echos</em>).</span></figcaption>
</figure>
<p>Hasard du calendrier dira-t-on, le mea culpa du dirigeant de Facebook auprès des autorités européennes a eu lieu très peu de temps avant l’application du <a href="https://www.numerama.com/politique/329191-rgpd-tout-savoir-sur-le-reglement-sur-la-protection-des-donnees-si-vous-etes-un-internaute.html">Règlement général de protection des données</a> (RGPD). Applicable le 25 mai 2018 à l’ensemble des pays de l’Union européenne, le règlement a été en fait adopté deux ans plus tôt, après plusieurs années de négociations. Le RGPD a pour principal objectif d’encadrer la collecte et le traitement des données personnelles des citoyens européens. En ce sens, il vient renforcer les exigences envers les organisations afin de mieux protéger les consommateurs et utilisateurs de services numériques que nous sommes. </p>
<p>Des sanctions fortes sont prévues en cas de non-respect du règlement, puisque les amendes administratives peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise incriminée. Des montants dissuasifs que la CNIL n’hésite pas à infliger, comme le montre la <a href="https://www.lesechos.fr/tech-medias/hightech/rgpd-google-condamne-a-50-millions-deuros-damende-par-la-cnil-802776">condamnation récente de Google</a>. Faut-il en conclure que les scandales de type <a href="https://theconversation.com/il-est-impossible-de-proteger-les-utilisateurs-de-facebook-contre-lexploitation-de-leurs-donnees-93669"><em>Facebook–Cambridge Analytica</em></a> feront bientôt partie du passé ? Qu’en respectant le RGPD, les organisations ne pourront plus porter atteinte aux consommateurs ? Que les citoyens européens que nous sommes sont désormais hors de toute menace ? Rien n’est moins sûr !</p>
<h2>Le big data et ses menaces</h2>
<p>Pour en avoir le cœur net, il suffit d’observer de près les pratiques actuelles d’utilisation des données. À l’heure du big data, la <a href="https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data">donnée est un nouvel or noir</a>, une manne qu’il est possible de collecter et de traiter pour en retirer de la valeur. La démarche consiste principalement à identifier des schémas récurrents au sein d’une grande quantité de données. Les modèles ainsi créés sont ensuite utilisés pour prendre des décisions. À titre d’illustration, il est possible de citer le recours au Machine Learning</p>
<p>pour la prédiction du « churn », le départ d’un client.</p>
<hr>
<p>
<em>
<strong>
À lire aussi :
<a href="https://theconversation.com/vous-avez-dit-machine-learning-quand-lordinateur-apprend-a-apprendre-76049">Vous avez dit « machine learning » ? Quand l’ordinateur apprend à apprendre</a>
</strong>
</em>
</p>
<hr>
<p>La « machine apprenante » est entraînée sur une grande quantité de données afin de pouvoir prédire la valeur d’une variable cible, ici la décision d’un client de ne pas renouveler son contrat. Une fois le modèle prédictif créé par apprentissage, celui-ci peut être implémenté au sein de systèmes informatiques. Il devient alors possible, à partir d’une base de données client, de déceler les signes avant-coureurs d’une résiliation de contrat et agir en conséquence, par exemple l’envoi programmé d’une offre promotionnelle. Le <a href="https://theconversation.com/vous-avez-dit-machine-learning-quand-lordinateur-apprend-a-apprendre-76049">machine learning</a>, tout comme d’autres techniques relatives aux big data, permet ainsi de prendre des décisions sur la base du traitement d’une grande quantité de données. Reste néanmoins un doute. Ces données, ces modèles et ces décisions ne pourraient-ils pas, d’une façon ou d’une autre, porter atteinte aux consommateurs ?</p>
<p>Aux USA, des voix de plus en plus nombreuses s’élèvent pour dénoncer les méfaits des pratiques liées au big data. La data scientist Cathy O’Neil parle de « weapon of math destruction » (armes de destruction mathématique) pour décrire des modèles biaisés dont les décisions amplifient les inégalités et menacent la démocratie. Car malgré l’aura d’impartialité qu’on leur prête, les modèles sont loin d’être complètement neutres. Ils peuvent contenir des erreurs ou approximations inhérentes aux données, intégrer les préjugés de leurs concepteurs, et conduire ainsi à des conclusions arbitraires et discriminatoires.</p>
<figure class="align-right ">
<img alt="" src="https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=237&fit=clip" srcset="https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=800&fit=crop&dpr=1 600w, https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=800&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=800&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=1005&fit=crop&dpr=1 754w, https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=1005&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/269343/original/file-20190415-147522-1g9rbdg.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=1005&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">L’auteure Cathy O’Neil et son livre <em>Weapons of Math Destruction</em>.</span>
<span class="attribution"><a class="source" href="https://twitter.com/mathbabedotorg/status/773183938399469568?lang=fr">Twitter</a></span>
</figcaption>
</figure>
<p>Pourtant, ces armes de destruction mathématiques sont aujourd’hui utilisées pour prendre des décisions aussi cruciales que l’acceptation d’une demande de crédit, le recrutement d’un nouvel employé ou la remise en liberté d’un prisonnier. Citons pour exemple l’outil COMPAS utilisé par les cours de justice américaine pour estimer le risque de récidive et sévèrement critiqué pour ses préconisations défavorables à la <a href="https://www.propublica.org/article/how-we-analyzed-the-compas-recidivism-algorithm">communauté afro-américaine notamment</a>. COMPAS n’est qu’un cas parmi d’autres. <a href="https://www.ftc.gov/reports/big-data-tool-inclusion-or-exclusion-understanding-issues-ftc-report">Plusieurs rapports américains</a> ont souligné les risques que représente le big data dans divers domaines : publicités ciblée visant des personnes vulnérables, exclusion d’individus jugés « à risques », imposition de tarifs plus élevés pour certaines offres de crédit ou d’assurance, filtrage informationnel qui limite l’ouverture à des idées et perspectives différentes, la liste des menaces est longue et les enjeux élevés aux États-Unis.</p>
<p>Avec le RGPD, sommes-nous protégés en Europe ? Plusieurs éléments incitent à en douter. En premier lieu, le RGPD s’appuie principalement sur les principes de transparence et de consentement éclairé. Les personnes sont informées des finalités et modalités de traitement des données. Elles peuvent donc prendre une décision en toute connaissance de cause : accepter ou refuser la collecte de leurs données. Or, même avec un niveau d’informations accru, la décision est-elle réellement éclairée ? Les subtilités du big data ne sont pas nécessairement connues de tous.</p>
<p>Par ailleurs, ce n’est pas tant les raisons pour lesquelles les données sont utilisées qui posent problème, que la façon dont elles sont traitées. En effet, si les modèles décrits par Cathy O’Neil sèment la destruction, c’est parce qu’ils sont biaisés, conçus et alimentés par des données de mauvaise qualité et employés de façon inadéquate. Passé l’étape de collecte, le consommateur n’a que peu de recul et de moyens d’intervention sur ces aspects.</p>
<p>En deuxième lieu, les traitements associés au big data peuvent très bien s’effectuer sur des données qui ne sont pas à caractère personnel. L’objectif n’est pas d’atteindre un individu en particulier, mais de créer un modèle contenant des règles de décisions, à partir d’un volume immense de données. Ceci nous amène à un troisième point : Les dérives du big data ne relèvent pas uniquement une atteinte à la vie privée. Elles portent également sur un traitement inéquitable des personnes. Il s’agit de discrimination. Avec ces modèles, les données et les algorithmes, la discrimination peut prendre une nouvelle ampleur. Elle est en mesure de devenir massive, automatisée, difficile à constater car ce n’est plus un être humain qui prend la décision, mais une machine aux processus opaques, une « boîte noire » qui décide sans fournir aucune explication.</p>
<h2>Le problème est-il bien posé ?</h2>
<p>Les scandales concernant l’utilisation des données renvoient principalement aux problématiques de la vie privée. À ces menaces pressantes, le RGPD répond en se focalisant sur un type particulier de données : les données à caractère personnel. Pourtant, des données anonymes ou rendues anonymes, ou des données personnelles collectées avec le consentement peuvent très bien causer des atteintes importantes par leur effet discriminatoire. À trop se focaliser sur la vie privée et les données personnelles, ne risque-t-on pas d’éluder les autres dangers ?</p>
<p>La problématique posée par les données n’est-elle pas finalement ailleurs ? Ce qui induit un risque pour le consommateur, ce ne serait pas seulement le type de données, données personnelles ou non, mais également la façon dont elles sont utilisées. Si c’est effectivement le cas, un cadre juridique centré sur les données personnelles ne pourrait suffire. Pour gérer les données, il serait plus pertinent de réguler les pratiques, les technologies, les méthodes et les outils employés par les entreprises. À ce niveau, le droit peine à suivre tant les évolutions sont rapides. Comment procéder pour protéger les citoyens sans freiner l’innovation ?</p>
<p>L’une des pistes envisageables serait de poser une réflexion éthique concernant l’utilisation des données. Plus exactement que les organisations prennent conscience que tout ce qui est possible n’est pas forcément souhaitable, que la façon dont elles gèrent les données peut être guidée par des valeurs connues et partagées. Ces réflexions seront probablement indispensables dans les années qui viennent pour gagner ou du moins retrouver la confiance des consommateurs. Elles demandent pourtant un changement de posture difficile aux organisations : ne plus reconnaître leurs torts après avoir été prises sur le fait, comme l’a fait Mark Zuckerberg, mais prendre leur responsabilité une fois pour toutes et tenir ensuite leur engagement. Il semble donc que la route soit encore longue pour que l’affaire Facebook-Cambridge Analytica fasse définitivement partie du passé.</p><img src="https://counter.theconversation.com/content/114491/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>HOAREAU Emilie a reçu des financements de IDEX Université Grenoble Alpes, Initiatives de Recherche Stratégiques (IRS) 2018-2019, Projet DUTY . </span></em></p>Le RGPD s’appuie principalement sur les principes de transparence et de consentement éclairé. Comment être parfaitement éclairé avec la façon dont vont être traitées nos données ?Hoareau Emilie, Maître de conférences en Sciences de gestion, Systèmes d'Information, Université Grenoble Alpes (UGA)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1145762019-04-07T19:49:04Z2019-04-07T19:49:04ZExploitation des données personnelles par Facebook : l’usager est-il complice ?<figure><img src="https://images.theconversation.com/files/267948/original/file-20190407-115797-1qmougl.jpg?ixlib=rb-1.1.0&rect=0%2C13%2C4515%2C2992&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Pas besoin de faille de sécurité pour vous faire aspirer vos données.</span> <span class="attribution"><a class="source" href="https://unsplash.com/photos/yeB9jDmHm6M">Edho Pratama / Unsplash</a>, <a class="license" href="http://creativecommons.org/licenses/by-sa/4.0/">CC BY-SA</a></span></figcaption></figure><p>En terme de protection des données personnelles des usagers des applications mobiles, Facebook n’a pas la meilleure réputation. Ainsi, le fait que certaines applications (utilisées sous Android) partagent les données privées des individus avec ce réseau social sans un consentement clair de leur part n’est pas surprenant. Ce fut le résultat une étude récente réalisée par <a href="https://privacyinternational.org/report/2647/how-apps-android-share-data-facebook-report">Privacy International</a>. MyFitnessPal, Indeed, Shazam ou TripAdvisor ne sont que quelques-unes des nombreuses applications Android qui envoient des données sensibles à Facebook.</p>
<p>Privacy International a réalisé une analyse détaillée de chacune de ces <a href="https://privacyinternational.org/appdata">applications incriminées</a>.</p>
<p><div data-react-class="Tweet" data-react-props="{"tweetId":"1083645973266612225"}"></div></p>
<p>Cette ONG, qui milite pour la protection des citoyens contre la violation de leur vie privée commise par les gouvernements et autres organisations, a examiné 34 applications (populaires) Android et a trouvé qu’au moins 21 d’entre elles (soit 61 %) « transfèrent automatiquement les données vers Facebook dès qu’un usager accède à l’application ». Ce qui est incroyable, c’est que cela est valable à la fois pour les personnes ayant un compte Facebook ou non et, le cas échéant, ces applications « coupables » transmettent toujours des données, même au cas où l’usager n’est pas connecté à Facebook.</p>
<p>En outre, la même étude a aussi signalé que, dans certains cas, les données que ces applications partagent avec Facebook sont « extrêmement détaillées et sensibles ». L’exemple type est celui de l’application Kayak, spécialisée dans l’offre et la comparaison des prix des voyages. Elle envoie à Facebook l’ensemble des informations détaillées sur les recherches de vols effectuées par les usagers de l’application : ville et date de départ, aéroport de départ et d’arrivée, date de retour, classe et nombre de billets voulus ou achetés entre autres. Les données partagées révèlent aussi des informations telles que le type de dispositif numérique utilisé par l’individu, la version de l’application exécutée sur l’objet connecté jusqu’à la résolution de l’écran. L'ONG indique avoir retesté toutes les applications <a href="https://privacyinternational.org/blog/2758/guess-what-facebook-still-tracks-you-android-apps-even-if-you-dont-have-facebook-account">en mars 2019</a> et grâce à leur travail, les deux tiers des applications, dont kayak, ne communique plus avec Facebook à leur ouverture. </p>
<p>Ainsi, ce transfert de données aide les annonceurs à avoir une idée sur le profil complet de l’usager (son sexe, sa religion, ses intérêts et activités).</p>
<blockquote>
<p>« Par exemple, le fait qu’une personne ait installé les applications suivantes testées Qibla Connect (une application de prière musulmane), Period Tracker Clue (un suivi du cycle menstruel), Indeed (une application de recherche d’emploi), My Talking Tom (une application pour enfants), pourrait potentiellement être présenté comme une femme, un musulman, un demandeur d’emploi… », indique l’étude.</p>
</blockquote>
<h2>Et le RGPD ?</h2>
<p>Mais, est-ce que ces applications sont conformes au <a href="https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels">Règlement général de l’Union européenne sur la protection des données</a> (RGPD) entré en vigueur le 25 mai 2018 ?</p>
<p>Assurément, le RGPD a pour but de renforcer et d’uniformiser la protection des données personnelles relatives à tous les citoyens se trouvant sur le territoire de l’Union européenne. Ce qui signifie qu’il faut réprimer la manière dont les géants du web utilisent et commercialisent les données qu’ils collectent à leurs usagers.</p>
<p>Certes, après la promulgation du RGPD, Facebook a publié une nouvelle mise à jour de son SDK (le kit de développement logiciel d’Android) afin de donner aux développeurs la possibilité de retarder la collecte automatique de données à l’ouverture de l’application. Mais, il est difficile de savoir si tous les développeurs ont téléchargé la nouvelle version du kit de développement ou si elle est réellement mise en œuvre.</p>
<p>En outre, en vertu des règles du RGPD, les applications doivent obtenir le consentement explicite des usagers avant de collecter leurs données. Effectivement, ce consentement est accordé à ces applications par leurs usagers, mais de manière implicite dès leur installation !</p>
<p>Prenons l’exemple de l’application française Le Secret du Poids. Ce compteur de calories a été téléchargé par plus de 2 millions d’individus, elle permet (ou promet) à ces derniers de mincir et garder une silhouette élancée. Selon les conditions générales d’utilisation (CGU) de cette application, l’usager est considéré avoir accepté ces CGU et leurs modifications ultérieures dès son usage.</p>
<p><div data-react-class="InstagramEmbed" data-react-props="{"url":"https://www.instagram.com/p/Bvzabgulnhb","accessToken":"127105130696839|b4b75090c9688d81dfd245afe6052f20"}"></div></p>
<p>Il est aussi tenu de consulter « régulièrement » le contrat qui régit son usage de cette dernière pour être informé de son évolution. De plus, les mises à jour des CGU peuvent être modifiées « à tout moment » et l’usager en serait informé par un simple avis d’information. Nous remarquons également que cette application accède à certaines données personnelles de l’usagers (photos et vidéos) présentes sur son objet connecté, notamment celles qui n’ont aucun lien avec l’activité principale de l’application relative au régime alimentaire (contenu de la carte SD, accès aux connexions réseau, etc.). La question qui se pose : puisque l’usager renseigne au niveau de l’application uniquement le grammage de ce qu’il a mangé durant la journée, quelle est l’utilité des photos, vidéos, etc. collectées par cette application ?</p>
<figure class="align-center zoomable">
<a href="https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=45&auto=format&w=1000&fit=clip"><img alt="" src="https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=478&fit=crop&dpr=1 600w, https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=478&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=478&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=601&fit=crop&dpr=1 754w, https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=601&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/267934/original/file-20190407-115773-1k80xnz.png?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=601&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px"></a>
<figcaption>
<span class="caption">Extrait des CGU de l’application : Les secrets du poids.</span>
<span class="attribution"><a class="source" href="https://play.google.com/store/apps/details?id=com.lesecretdupoids">Google Play Store</a></span>
</figcaption>
</figure>
<p>Nous trouvons la réponse à cette question dans les CGU de l’application de sport MyFitnessPal, analysée par Privacy International. Cette application déclare clairement qu’elle collecte « les données personnelles de différentes façons et à des fins diverses » ! En outre, elle annonce formellement qu’elle « peut » transférer ces données à certains partenaires et réseaux sociaux à des fins de publicité ciblée, d’amélioration de l’expérience d’usage.</p>
<p>Après avoir publié le rapport de Privacy International, certaines applications (comme Skyscanner) ont annoncé qu’elles ont été mises à jour afin d’empêcher la transmission de données à Facebook. La nouvelle version de l’étude détaille l’ensemble des applications qui ont changé leurs CGU. La question qui se pose : est-ce que Facebook publiera une réponse à l’étude de Privacy International ? Ou continuerai non seulement sa collecte des données personnelles, mais également le partage de ces dernières avec ses partenaires malgré ses différentes promesses de ne plus le faire ? Nous attendons toujours sa réponse !</p>
<p>Enfin, nous pouvons considérer l’usager comme « complice » avec ces développeurs d’applications de santé qui abusent du traitement de ses données personnelles, puisqu’il se livre volontairement à ces applications, partage délibérément ses données avec ces dernières et ne consulte (dans la majorité des cas) ni les CGU ni la politique de confidentialité du dispositif utilisé. Ainsi, les usagers se trouvent entre le marteau des développeurs de ces applications et l’enclume de leur envie de tirer bénéfice des fonctionnalités des applications utilisées.</p><img src="https://counter.theconversation.com/content/114576/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Hatim Boumhaouad ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.</span></em></p>Vouloir utiliser de nombreuses applications mobiles sans lire les conditions d’utilisation fait-il de nous des complices du vol de nos données ?Hatim Boumhaouad, Doctorant en sciences de l'information et de la communication au Centre de recherche sur les médiations (Crem), Université de LorraineLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1118812019-03-03T19:53:34Z2019-03-03T19:53:34ZLes défis éthiques de l’identité numérique<figure><img src="https://images.theconversation.com/files/260955/original/file-20190226-150721-1igj18n.jpg?ixlib=rb-1.1.0&rect=16%2C0%2C5442%2C3470&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Regard numérique.</span> <span class="attribution"><span class="source">Omar Prestwich/Unsplash</span></span></figcaption></figure><p>Si le <a href="https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd">RGPD</a> est entré en application récemment, en plaçant l’Europe à l’avant-garde de la protection des données à caractère personnel, il ne doit pas nous dissuader de nous interroger en profondeur sur la question des identités, dont les contours se sont redéfinis à l’ère numérique. Il s’agit bel et bien de porter une réflexion critique sur des enjeux éthiques et philosophiques majeurs, au-delà de la seule question de la protection des informations personnelles et de la <a href="https://www.sup.org/books/title/?id=8862"><em>privacy</em></a>.</p>
<p>Les politiques actuelles sur la protection des données mettent l’accent sur les droits de la personne. Mais elles ne prennent pas la mesure de la manière dont l’exercice de notre libre arbitre se voit de plus en plus empêché au sein d’environnements technologiques complexes, et encore moins des effets de la métamorphose numérique sur les processus de subjectivation, le devenir-soi de l’individu. On considère le plus souvent, dans ces textes, un sujet déjà constitué, capable d’exercer ses droits, sa propre volonté et ses principes. Or, le propre des technologies numériques – telle est la thèse ici défendue – est de participer à la formation des subjectivités selon un mode nouveau : en redistribuant sans cesse le jeu des contraintes et des incitations, elles créent les conditions d’une plus grande malléabilité des individus. Nous détaillons ces processus dans l'ouvrage <a href="https://iste-editions.fr/products/les-identites-numeriques-en-tension"><em>Les identités numériques en tension</em></a>, réalisé dans le cadre de la Chaire <a href="https://cvpip.wp.imt.fr/accueil/">Valeurs et politiques des informations personnelles</a> de l'IMT.</p>
<p>Si les moyens mis en place par le RGPD sont clairement nécessaires pour soutenir l’initiative et l’autonomie de l’individu dans la gestion de sa vie numérique, il faut cependant souligner que les notions mêmes de consentement et de contrôle par l’utilisateur vis-à-vis de ses données, et sur lesquels le mouvement actuel repose, restent problématiques. Et cela parce que deux logiques, distinctes mais concordantes, sont aujourd’hui à l’œuvre.</p>
<h2>Nouvelle visibilité des individus</h2>
<p>Si une certaine sensibilité des utilisateurs aux traces laissées volontairement ou involontairement au cours de leurs activités en ligne, et dont il peut avoir connaissance (comme, par exemple, des métadonnées de connexion), semble s’accroître, et peut servir de support à l’approche basée sur le consentement, cette dynamique rencontre assez vite ses limites.</p>
<p>Tout d’abord, la multiplication des informations récoltées rend irréaliste l’exercice systématique du consentement et le contrôle par l’utilisateur, ne serait-ce qu’en raison de la <a href="https://www.universalis.fr/encyclopedie/surcharge-cognitive/">surcharge cognitive</a> que cet exercice effectif exigerait de sa part. Ensuite, le changement de nature des moyens techniques de collecte, exemplifiée par l’avènement des objets connectés, conduit à la démultiplication des capteurs qui collectent les données sans même que l’utilisateur puisse s’en rendre compte, comme le montre l’exemple, de moins en moins hypothétique, de la vidéo-surveillance couplée à la <a href="https://www.cnil.fr/fr/definition/reconnaissance-faciale">reconnaissance faciale</a> et, plus amplement, le cas de toutes les connaissances que les opérateurs acquièrent sur la base de ces données. Il s’agit ici d’une couche de l’identité numérique dont le contenu et de nombreuses exploitations possibles sont absolument inconnus de la personne qui en est la source.</p>
<p>Qui plus est, une forte tendance des acteurs, étatiques et privés, consiste à vouloir décrire l’individu de manière exhaustive et totale, en créant le risque de le réduire à un ensemble de plus en plus complet d’attributs. Dans ce nouveau régime de pouvoir, le visible se réduit à ce qui peut être saisi en données, à ce qui relève de la mise à disposition immédiate des êtres, comme s’il s’agissait en fin de compte de simples objets.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=338&fit=crop&dpr=1 600w, https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=338&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=338&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=425&fit=crop&dpr=1 754w, https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=425&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/260956/original/file-20190226-150694-a28lo5.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=425&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Vidéo de surveillance.</span>
<span class="attribution"><span class="source">Mike Mozart/Wikipedia</span>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span>
</figcaption>
</figure>
<h2>Les ambiguïtés du contrôle</h2>
<p>La deuxième logique à l’œuvre dans nos sociétés hypermodernes touche à l’inscription de ce paradigme basé sur la protection et le consentement dans les mécanismes de la société néolibérale. La société contemporaine conjugue en effet deux aspects en matière de <em>privacy</em> : il s’agit de considérer l’individu comme étant visible de manière permanente, et comme étant responsable individuellement pour ce qui est vu de lui. Un tel ensemble de normes sociales se consolide à chaque fois que l’utilisateur exerce le consentement – ou l’opposition – à l’utilisation de ses données. En effet, à chaque itération, l’utilisateur renforce sa compréhension de soi-même comme l’auteur et le responsable de la circulation des données. Il endosse aussi l’injonction à la maîtrise des données alors même que cette dernière est le plus souvent illusoire. Surtout, il endosse l’injonction <a href="https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2533057">à calculer les bénéfices</a> que le partage des informations peut lui apporter. En ce sens, l’application stricte et croissante du paradigme de consentement peut être considérée comme étant corrélative d’une conception de l’individu qui devient non seulement l’objet d’une visibilité quasi-totale, mais aussi – et surtout – un agent économique rationnel, à même d’analyser son agir en termes de coûts et de bénéfices.</p>
<p>Cette difficulté fondamentale fait que les enjeux futurs des identités numériques ne se réduisent pas à donner plus de contrôle explicite, ou plus de consentement éclairé. Il convient bel et bien de trouver d’autres voies complémentaires, qui se situent sans doute du côté des pratiques (et non simplement des « usages ») des utilisateurs, à condition que de telles pratiques mettent en place des stratégies de résistance pour contourner l’impératif de visibilité absolue et de définition de l’individu comme agent économique rationnel.</p>
<p>De telles pratiques digitales doivent en outre nous inciter à dépasser la compréhension de l’échange social – numérique ou non – sous le régime du calcul des bénéfices que l’on en retire ou des <a href="https://www.universalis.fr/encyclopedie/externalite-economie/">externalités</a>. Ainsi, les enjeux soulevés par les identités numériques dépassent largement les enjeux de protection de l’individu ou les enjeux des « modèles d’affaires », et touchent à la manière même dont la société dans son ensemble conçoit la signification de l’échange social. Dans un tel horizon, il est primordial d’affronter les ambivalences et les jeux de tension qui sont intrinsèques aux technologies numériques, en examinant les nouveaux modes de subjectivation qui sont induits dans ces opérations. C’est à partir d’un tel exercice de discernement que pourra advenir un mode de gouvernance des données plus responsable.</p><img src="https://counter.theconversation.com/content/111881/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Armen Khatchatourov est l'auteur de Les identités numériques en tension, cité dans cet article</span></em></p><p class="fine-print"><em><span>Pierre-Antoine Chardel est le co-auteur de Les identités numériques en tension, cité dans cet article</span></em></p>Les politiques sur la protection des données mettent l’accent sur les droits de la personne. Mais l’exercice de notre libre arbitre se voit de plus en plus entravé.Armen Khatchatourov, Enseignant-chercheur, membre de la Chaire Valeurs et politiques des informations personnelles, Institut Mines-Télécom Business School Pierre-Antoine Chardel, Professeur de sciences sociales et d'éthique, Institut Mines-Télécom Business School Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1105142019-01-27T20:43:12Z2019-01-27T20:43:12ZLa France frappe Google d’une amende de 50 millions d’euros<figure><img src="https://images.theconversation.com/files/255714/original/file-20190127-108358-z81nkv.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Logo.</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/scobleizer/4249731778">Robert Scoble/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>La CNIL vient d’adopter une <a href="https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1">amende record de 50 millions d’euros</a> contre Google pour violation du droit à la protection des données. Le règlement général sur la protection des données (RGPD) rapporte ainsi plus que la « taxe GAFA » préconisée par la France !</p>
<p><strong>Une amende historique</strong></p>
<p>Si vous pensez qu’il y a un zéro de trop, ce n’est pas le cas. C’est la première fois au monde qu’une autorité de contrôle des données inflige une sanction d’une telle ampleur. Le RGPD permet en effet d’adopter de lourdes amendes et la CNIL a décidé d’imposer une sanction pécuniaire de 4 % du chiffre d’affaires de Google. Ce texte de droit européen dont l’application est mondiale garantit que les GAFA et autres BATX (acronyme qui désigne les géants du Web chinois : Baidu, Alibaba, Tencent et Xiaomi) respectent leurs usagers.</p>
<p>En l’occurrence la CNIL reproche à Google d’imposer à ses utilisateurs un manque de transparence sur les finalités de collecte de leurs données, leur durée de conservation, les catégories de données utilisées pour la personnalisation de la publicité. En effet, toutes ces informations sont disséminées dans plusieurs documents et il faudrait que chaque utilisateur clique sur cinq ou six liens pour enfin les découvrir, ce qui n’est naturellement presque jamais le cas !</p>
<p>La preuve est donc faite de l’efficacité de la protection offerte par le droit européen en dehors de son territoire et à l’encontre d’un acteur majeur du monde numérique.</p>
<p><strong>Quel bilan tirer de l’application du RGPD huit mois après ?</strong></p>
<p>Après les révélations-choc d’Edward Snowden, chacun a compris que le moindre de ses clics, like, post, GIF ou emoji est enregistré par le site ou le réseau social et analysé, passé au crible d’algorithmes, puis communiqué à d’autres entités (entreprises, États) dont on n’a pas idée. Cela a d’ailleurs encore été démontré avec le scandale <a href="https://theconversation.com/cambridge-analytica-et-facebook-le-respect-de-votre-vie-privee-nous-tient-a-coeur-oupas-93755">Facebook Cambridge Analytica</a>. Les comportements des usagers ont-ils pour autant évolué ? Nous avons tous reçu en mai dernier plusieurs e-mails avec pour objet la conformité avec le RGPD, vous aussi n’est-ce pas ? D’après un <a href="https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application">sondage IFOP réalisé en octobre pour la CNIL</a>, 66 % des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.</p>
<p>Grâce au RGPD, c’est bien la première fois au monde qu’un texte européen offre à chacun le droit d’accéder aux données que les entreprises détiennent sur eux. Alors la prochaine fois que vous surfez sur le web ou communiquez avec vos amis sur les réseaux, posez-vous une seule question : qui analyse ma vie privée ?</p>
<p>Prenez votre téléphone mobile et vérifiez, en quelques clics, quelles données sont collectées. Vous ne l’avez jamais fait, et bien faites-le maintenant, et vous aurez beaucoup de surprises ! Ensuite, prenez le contrôle de la situation : c’est vous l’acteur principal du RGPD, pas Facebook ou Google ! Moi-même qui suis une utilisatrice raisonnée des réseaux sociaux je suis encore étonnée des moyens détournés utilisés pour aspirer nos infos : par exemple le <a href="https://youtu.be/zHTBqFU-tfw">challenge des 10 ans de Facebook</a> : la prochaine fois que vous participez à un jeu, un défi, demandez-vous pourquoi vous postez de jolies photos de votre visage, bien nettes et bien cadrées… En réalité vous alimentez gratuitement l’algorithme de reconnaissance faciale du site et permettez à Mark Zuckerberg de faire encore plus d’euros sur votre dos… Cessez donc d’être des bénévoles !</p>
<p>Les Français méritent une meilleure information sur leurs droits et les moyens de les exercer : des supports brefs, dynamiques et ciblés doivent être créés pour répondre à nos besoins.</p>
<p><strong>Intégrer le RGPD dans la <em>startup nation</em> comme avantage compétitif</strong></p>
<p>Aujourd’hui, 32 000 organismes ont désigné un délégué à la protection des données signe d’une montée en puissance du RGPD en entreprise, mais combien de salariés sont réellement sensibilisés à la protection des données sur leur lieu de travail, ou pour le développement de nouveaux produits ou services ? Cette appropriation doit se poursuivre avec l’intégration de la protection de la vie privée dès la conception de nouveaux services ou produits augmentés, tels que les véhicules autonomes, la santé connectée, les assistants vocaux, l’intelligence artificielle et ce dans tous les secteurs où la France souhaite faire figure de pionnière.</p>
<p>Car vous l’avez bien compris, le RGPD n’est que la face émergée de l’iceberg en droit du numérique. D’autres textes sont en préparation, justement sur la biométrie pour fixer un cadre exigeant et protecteur. Or, la biométrie est <em>the next market</em> pour les entreprises françaises. L’intégration de capteurs biométriques dans les téléphones permettra le développement des technologies biométriques auprès des entreprises (banque, commerce, assurance) pour contrôler l’identité numérique des clients et collecter de nouvelles données marketing.</p>
<p>Les acteurs du marché doivent donc se tenir prêts car ils sont dans la ligne de mire de la CNIL. D’autres textes seront consacrés à la gestion clients et prospects, la gestion des impayés, les vigilances sanitaires, les ressources humaines et la gestion des cabinets médicaux plus une dizaine de codes de conduite en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud ».</p>
<p>Ce à quoi il faut ajouter les instruments développés au niveau européen avec le <a href="https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_fr">Comité européen à la protection des données</a> à savoir 19 lignes directrices déjà adoptées et 6 en cours d’élaboration : sur la certification, les codes de conduite, les transferts de données ou encore la vidéo surveillance.</p>
<p>Quant aux transferts de données de l’Union européenne vers les États-Unis, sujet sensible régi par le <em>Privacy Shield</em>, son cadre sera révisé par la CNIL en octobre. C’est quand on croit que tout est fini, que tout recommence…</p><img src="https://counter.theconversation.com/content/110514/count.gif" alt="The Conversation" width="1" height="1" />
La CNIL vient d’adopter une amende record de 50 millions contre Google pour violation du droit à la protection des données. Une première au monde pour une autorité de contrôle.Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)Licensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1094892019-01-14T22:37:01Z2019-01-14T22:37:01ZFacebook, le début de la fin ?<figure><img src="https://images.theconversation.com/files/253214/original/file-20190110-32124-1ub52f5.jpg?ixlib=rb-1.1.0&rect=474%2C194%2C3120%2C2020&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Ringard, Facebook ?
</span> <span class="attribution"><span class="source">MichaelJayBerlin/Shutterstock</span></span></figcaption></figure><p>Quelque <a href="https://www.journaldunet.com/ebusiness/le-net/1125265-nombre-d-utilisateurs-de-facebook-dans-le-monde/">2,27 milliards d’utilisateurs actifs</a> (donc) contributeurs chaque mois, dont 1,49 milliard au quotidien, et un bénéfice net encore confortable, ne mettent absolument pas à l’abri des menaces, ni endogènes ni exogènes. Pour le leader des réseaux sociaux, Facebook, les nuages semblent en effet s’amonceler aussi bien à court terme (moins d’un an) qu’à moyen (moins de cinq ans) et long terme. C’est l’objet de l’article, certes plutôt alarmiste, qui va suivre.</p>
<h2>Une stratégie (trop) globale</h2>
<p>Le premier niveau de lecture, à court terme, montre que les points de vigilance concernent d’abord des problématiques managériales et organisationnelles. Ces points tournent autour de la fragilisation du leadership du fondateur, Mark Zuckerberg, dont certains actionnaires veulent clairement la tête notamment depuis le <a href="https://www.challenges.fr/media/gafa/donnees-personnelles-apres-le-scandale-cambridge-analytica-facebook-menace-par-une-amende-au-royaume-uni_600440">scandale Cambridge Analytica</a>. À ce propos, le PDG historique du groupe tient régulièrement à rassurer et à <a href="https://www.usine-digitale.fr/article/dans-une-interview-a-vox-mark-zuckerberg-precise-comment-fonctionne-facebook-et-valide-son-modele-economique.N675119">montrer qu’il tient bon la barre</a> du vaisseau amiral. « J’aimerais pouvoir dire que résoudre ces difficultés sera l’affaire de trois ou de six mois, mais je crois que la réalité est que résoudre certaines de ces questions prendra beaucoup plus de temps », a-t-il néanmoins concédé dans une interview en avril 2018.</p>
<p>Ces points de vigilances tournent aussi autour des doutes sur la gouvernance du groupe et sur sa capacité à contrer les <a href="https://www.francetvinfo.fr/Internet/reseaux-sociaux/facebook/l-horizon-financier-de-facebook-s-assombrit-en-raison-de-resultats-decevants_2868453.html">pertes financières massives</a> en renouvelant son business model. Ce dernier est encore trop centré sur la vente de publicités ciblées et il conviendrait de le réorienter vers une <a href="https://viuz.com/2018/03/29/facebook-dans-la-tourmente-faire-pivoter-son-modele-economique/">transformation de ses utilisateurs</a> de produits (collecte et exploitation des données personnelles) en clients (abonnements, services premium payants, sport, musique, marketplace, etc.).</p>
<p>Un second niveau de lecture montre, qu’en externe cette fois-ci, les aspects à ne pas négliger sont principalement liés à la concurrence et à la réglementation. La concurrence frontale de la filiale Instagram est révélatrice car elle montre le désamour des jeunes et des influenceurs envers Facebook – devenu presque ringardisé et contre productif à leurs yeux – mais n’est guère dangereuse financièrement car le réseau de partage de photos et vidéos fait parti du même groupe.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=400&fit=crop&dpr=1 600w, https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=400&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=400&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=503&fit=crop&dpr=1 754w, https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=503&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/253365/original/file-20190111-43541-nqoirn.jpg?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=503&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption">Instagram, le réseau social en vogue chez les jeunes.</span>
<span class="attribution"><span class="source">Ink Drop/Shutterstock</span></span>
</figcaption>
</figure>
<p>Les autres concurrences – hors cas particulier de la Chine – de Snapchat pour ses stories, de Twitter pour ses contenus, de YouTube pour ses vidéos, de Pinterest, de Tumblr voire de TikTok pour ses filtres ou encore de LinkedIn pour son <em>social selling</em> (utilisation des réseaux sociaux pour prospecter des clients potentiels) sont en revanche autrement plus redoutables pour le réseau social généraliste qu’est Facebook. En effet, elles l’attaquent sur ses points faibles en soulignant que la stratégie (trop) globale du géant est fragile, illisible et non pérenne !</p>
<p>Les aspects réglementaires et législatifs liés à la protection des individus, de leurs données personnelles et des catégories les plus vulnérables – notamment l’avènement du Règlement général sur la protection des données (RGPD) en Europe <a href="https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes">depuis mai 2018</a> – sont également inquiétants pour le réseau californien. En effet, son modèle d’affaire, basé sur la gratuité de l’usage, est encore trop centré sur la captation et la monétisation des données de profils et de navigation de ses utilisateurs. Cette ressource va-t-elle se tarir et/ou a minima se renchérir ? La réponse est oui ! La gratuité affichée sera-t-elle son caillou dans la chaussure ? La réponse est à nouveau <a href="https://www.lepoint.fr/high-tech-Internet/facebook-mark-zuckerberg-devant-le-congres-pour-s-expliquer-10-04-2018-2209399_47.php">oui</a> !</p>
<p>Plus fondamentalement, les utilisateurs (notamment français) sont de moins en moins convaincus de l’utilité sociale de Facebook. Selon eux, le réseau est utilisé pour maintenir des liens faibles plus que pour cultiver des liens forts. Par ailleurs, il s’adresserait de plus en plus à <a href="https://www.cairn.info/revue-reseaux-2016-1-page-165.htm?contenu=resume">« des classes moins dotées culturellement et financièrement »</a>. Cette perception dégradée est, à court terme, inquiétante notamment face à la crise à la fois réputationnelle, managériale et économique à laquelle doit faire face le réseau.</p>
<h2>Des protections (perçues comme) insuffisantes</h2>
<p>Les facteurs internes qui menacent à moyen terme le réseau social concernent notamment des investissements en termes sécuritaires, perçus <a href="https://www.developpez.com/actu/230073/Facebook-devrait-faire-l-acquisition-d-une-importante-entreprise-de-cybersecurite-selon-un-rapport-qui-cite-des-sources-internes/">certes positivement</a>, mais trop timidement pour lutter contre l’importance de la fraude, des attaques, des malveillances, des manipulations de contenus et du piratage. Du moins, cette volte-face sécuritaire est perçue comme encore insuffisante pour protéger <a href="https://www.linternaute.com/hightech/Internet/1004152-piratage-de-compte-facebook-le-comment-et-pourquoi/">efficacement les comptes et les données personnelles</a> des utilisateurs (produits) et de entreprises (clientes) qui restent le cœur du business model de Facebook.</p>
<p>Il s’agit aussi d’innovations perçues comme non pertinentes ou non disruptives face à une concurrence toujours plus agressive et inventive. Dans la plupart des cas, Facebook a perdu son leadership et apparaît comme un suiveur plutôt réactif mais plus vraiment en pointe. C’est le cas avec des fonctionnalités liées à la « guerre des stories » comme le fameux « Facebook live » (pour contrer le <a href="https://www.telerama.fr/medias/entre-snapchat-instagram-et-facebook-la-guerre-des-stories-fait-rage,158308.php">pionner Snapchat</a>) ou encore avec le « split testing tool » (pour réaliser des tests comparatifs sur deux échantillons), le bouton « Downvote » (pour signaler les messages offensants), les <em>chatbots</em>, la marketplace (mais sans la fonction paiement), les sensibles <a href="https://www.facebook.com/help/1506822589577997">comptes de commémoration</a>, le mur <em>news feed</em> et son algorithme, etc.</p>
<p>Quant aux menaces externes qui pèsent sur le groupe à moyen terme, nous pouvons citer d’abord la perte de confiance inquiétante des utilisateurs (notamment les plus modérés) liée au scandale Cambridge Analytica et aux insuffisances de protection. On peut aussi souligner le fait que le <a href="https://www.cairn.info/revue-internationale-de-droit-economique-2018-1-page-17.htm">droit de la concurrence va se durcir</a> en ce qui concerne notamment la publication de <em>fake news</em>. L’idée ici est d’insister sur un <a href="https://www.zdnet.fr/actualites/ozlo-la-solution-pour-permettre-a-facebook-m-de-ringardiser-siri-39855670.htm">risque de « ringardisation »</a> du réseau, ou du moins de perte de crédibilité, qui lui serait fatal, car cela signifierait la fuite des clients. Autrement dit, des entreprises comme Wish et des milliers d’autres, et surtout de leurs très rentables publicités ciblées !</p>
<p>Le moyen terme semble un horizon plutôt incertain pour le réseau.</p>
<figure class="align-center ">
<img alt="" src="https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=45&auto=format&w=754&fit=clip" srcset="https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=45&auto=format&w=600&h=338&fit=crop&dpr=1 600w, https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=30&auto=format&w=600&h=338&fit=crop&dpr=2 1200w, https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=15&auto=format&w=600&h=338&fit=crop&dpr=3 1800w, https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=45&auto=format&w=754&h=424&fit=crop&dpr=1 754w, https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=30&auto=format&w=754&h=424&fit=crop&dpr=2 1508w, https://images.theconversation.com/files/253256/original/file-20190110-43510-ob79b3.JPG?ixlib=rb-1.1.0&q=15&auto=format&w=754&h=424&fit=crop&dpr=3 2262w" sizes="(min-width: 1466px) 754px, (max-width: 599px) 100vw, (min-width: 600px) 600px, 237px">
<figcaption>
<span class="caption"></span>
</figcaption>
</figure>
<h2>Des problématiques environnementales et géopolitiques</h2>
<p>Pour ce qui est des facteurs internes à long terme, ce sont à nouveau les difficultés en terme de gouvernance et de vision qui émergent, et notamment l’absence d’une politique de transmission claire et lisible du pouvoir au sein du conseil d’administration. C’est aussi, en cohérence, l’incapacité du groupe à faire émerger des alternatives crédibles à son business model basé sur la data, l’externalisation et la volumétrie. Un modèle qui semble de plus en plus difficilement tenable. C’est également la frilosité affichée de Facebook face au web marchand (toujours sans solution de e-paiement, excepté via <a href="https://www.lesechos.fr/07/11/2017/lesechos.fr/030840635306_facebook-permet-d-effectuer-des-paiements-entre-amis-sur-messenger.htm">Messenger</a>) et face à un crypto-entrepreneuriat (blockchain, bitcoin, ether, ripple, etc.) pourtant prometteur et porteur de projets.</p>
<p>C’est enfin l’absence de communication sur des initiatives écoresponsables liées <a href="http://www.revuesim.org/sim/article/view/551">au <em>green IT</em> et à la soutenabilité énergétique</a> (consommation des datacenters, fonctionnalités sobres, applications moins énergivores, cycle de vie des données, données post mortem, etc.). Par exemple, la décision en 2014 (certes déjà ancienne !) de stocker des photos sur des <a href="https://www.greenit.fr/2014/06/02/facebook-archive-vos-photos-sur-des-disques-blu-ray/">disques Blu-ray</a> pour économiser la consommation d’électricité des serveurs n’a été que peu valorisée. Malheureusement, ces politiques sobres et frugales, se heurtent frontalement au délire énergivore du tout-vidéo et du streaming !</p>
<p>À long terme, certaines difficultés externes viendront là encore des problématiques énergétiques et éléctriques, si la montée en puissance du débat autour d’un numérique de plus en plus énergivore incite les <a href="https://www.journaldunet.com/management/expert/70259/les-utilisateurs--acteurs-cles-d-un-numerique-plus-vert.shtml">utilisateurs à renoncer à leurs pratiques</a>. N’oublions pas non plus les difficultés géopolitiques. Ainsi, dans la guerre commerciale qui s’annonce entre les États-Unis et la Chine, le réseau américain - déjà censuré depuis 2009 par Pékin - risque de laisser quelques plumes numériques si ses équivalents chinois décident de s’attaquer au marché mondial. La populaire messagerie chinoise WeChat (Tencent) vient, par exemple, de <a href="https://www.zdnet.fr/actualites/le-nombre-d-utilisateurs-actifs-quotidiens-de-wechat-depasse-le-milliard-39879067.htm">dépasser le milliard d’utilisateurs au quotidien</a> et son appétit est massif. D’ailleurs, Facebook vient d’ouvrir une <a href="https://siecledigital.fr/2018/07/26/facebook-installe-nouvelle-filiale-chine/">filiale dédiée au développement de réseaux informatiques</a>, à Hangzhou, nommée Lianshu Science & Technology afin d’essayer malgré tout de rester présent (comme Google, Uber, Amazon et bien d’autres) au sein de l’empire du Milieu.</p>
<h2>Une simple crise d’adolescence ?</h2>
<p>Certes, Facebook enregistre toujours des bénéfices nets <a href="https://fr.fashionnetwork.com/news/Facebook-le-chiffre-d-affaires-decoit-mais-le-benefice-plait,1029996.html#.XDR_nWlCfIU">confortables et séduisants</a> et un chiffre d’affaires malgré tout impressionnant. Certes sa notoriété <a href="https://www.blogdumoderateur.com/chiffres-facebook/">reste exceptionnelle</a>. Certes sa vitalité et sa résilience sont manifestes. Mais pour combien de temps encore ces atouts éclipseront-ils les menaces décrites ci-dessus ? Tout semble indiquer qu’à l’âge de 15 ans, l’incontournable réseau social traverse aujourd’hui une réelle crise d’adolescence…</p><img src="https://counter.theconversation.com/content/109489/count.gif" alt="The Conversation" width="1" height="1" />
<p class="fine-print"><em><span>Marc Bidan est membre du conseil national des universités (section sciences de gestion)</span></em></p>Diverses menaces exogènes – concurrence, législation, piratage) et endogènes (business model, leadership, capacité d’innovation – pèsent sur le géant californien à court, moyen et long terme.Marc Bidan, Professeur des Universités - Management des systèmes d’information - Polytech Nantes, Auteurs historiques The Conversation FranceLicensed as Creative Commons – attribution, no derivatives.tag:theconversation.com,2011:article/1039532018-10-01T18:33:36Z2018-10-01T18:33:36ZCaméras sur le lieu de travail et RGPD, quels changements ?<figure><img src="https://images.theconversation.com/files/238538/original/file-20180930-48656-19tgkkx.jpg?ixlib=rb-1.1.0&rect=7%2C7%2C4897%2C3233&q=45&auto=format&w=496&fit=clip" /><figcaption><span class="caption">Caméra de video surveillance sur la voie publique… comment peuvent-elles entrer dans les entreprises ?</span> <span class="attribution"><a class="source" href="https://www.flickr.com/photos/zigazou76/5708084918/in/photolist-9GpqMd-9xKKsZ-bCwVQH-f3JqaX-8urvWR-aZsY76-9RM9oF-gE8Khz-g21f7V-g21hfT-ohfQ6j-8mgYUB-8mhxxa-3Fpbmy-3FjPcz-4J52uv-6uxM4n-2cptG-9RMa9p-9qL9Mp-2gJJ8k-2hvnvB-2gJJ8V-2hvEKr-2huL52-2hu4bx-d4kY59-2gJJ82-2huL2H-2huugt-2hvEJ8-2hvELg-2i32rD-bPybuc-3FjP5Z-5y9X8h-8mkLbS-3FjPjx-bPybmk-ggT2Cv-bADwSL-95VeBK-8n2DPc-2hzuWL-2gJV2r-2huu9g-2huL36-2huug6-2hvnwi-2hzuVu">Frédéric Bisson/Flickr</a>, <a class="license" href="http://creativecommons.org/licenses/by/4.0/">CC BY</a></span></figcaption></figure><p>La mise en place de caméras sur le lieu de travail est autorisée à condition de respecter les libertés individuelles et la vie privée des collaborateurs. Le système doit respecter certaines conditions préalables (sa mise en place doit correspondre à un intérêt légitime, ou une activité réglementée et doit rester proportionnée au but recherché).</p>
<p>Cependant, l’installation d’un tel dispositif ne doit pas conduire à une mise sous surveillance généralisée et permanente du personnel (délibération n°2014-307 du <a href="https://bit.ly/2Qcwwxu">17 juillet 2014 de la CNIL</a>, décision du Conseil d’État <a href="https://bit.ly/2OSKGDB">du 18 novembre 2015</a>.</p>
<p>Ainsi, en vertu du pouvoir de l’employeur, celui-ci est parfaitement fondé à installer un système de vidéo-protection dans les locaux de l’entreprise à condition de respecter les contraintes réglementaires lors du déploiement et de ne pas utiliser le dispositif pour contrôler le salarié à son insu.</p>
<p>Ces contraintes ont évolué avec l’entrée en vigueur du RGPD (Règlement général pour la protection des données) le 25 mai 2018.</p>
<h2>Le recours aux caméras sur le lieu de travail : quelles contraintes réglementaires ?</h2>
<p>Dans les entreprises, en vertu de son obligation de sécurité (Article L4121-1), l’employeur peut décider d’installer des caméras pour garantir la protection des personnes et aussi des biens.</p>
<p>En premier lieu, l’installation de caméras est soumis au principe énoncé à l’article L1121-1 du code du travail selon lequel :</p>
<blockquote>
<p>« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » </p>
</blockquote>
<p>Il s’agira alors de respecter la proportionnalité des moyens de contrôle. Les caméras ne doivent pas filmer les employés sur leur poste de travail (sauf exception comme la manipulation d’argent), les locaux destinés à la pause, les toilettes, les locaux syndicaux.</p>
<p>L’employeur doit respecter à la fois le code civil, le code du travail, le code de la sécurité intérieure, le code pénal et le RGPD.</p>
<p>La première étape de la mise en place consiste à informer collectivement les salariés. Conformément à l’article L2323-47 du code du travail, « le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ».</p>
<p>Une information individuelle doit également être effectuée : selon l’article L1222-4 du code du travail, </p>
<blockquote>
<p>« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. » </p>
</blockquote>
<p>Cette règle s’applique notamment à la vidéo-protection. Un affichage est donc indispensable mais reste insuffisant. Le Règlement intérieur ou une notice d’information diffusée sur l’intranet ou par courriel peut également intégrer les éléments relatifs à la gestion des données personnelles et aux droits des personnes dans le cadre de la mise en place d’un dispositif de caméras. Cette information peut être formalisée par voie d’avenant au contrat de travail, ce qui permet une information individuelle.</p>
<p>Ce cadre normatif contraignant contribue à une meilleure acceptation par les salariés. On notera que ces informations ne sont pas exigibles si les locaux concernés ne sont pas accessibles aux salariés.</p>
<h2>La protection des salariés… et de leurs données : les nouveautés</h2>
<p>Les systèmes de caméras de vidéosurveillance des employés – qui filment un lieu fermé au public (lieux de stockage, zones dédiées au personnel, salle de coffre) et permettent l’enregistrement et la conservation des images sur support numérique – n’ont plus à être déclarés à la CNIL depuis le 25 mai 2018, date d’entrée en application du RGPD.</p>
<p>La CNIL (<a href="https://www.cnil.fr/fr/cnil-direct/question/328">Commission nationale de l’informatique et des libertés</a>) conserve néanmoins son rôle de contrôle.</p>
<p>La CNIL dispose d’un effectif de 198 agents. D’ailleurs, en 2017, elle a procédé à 341 contrôles dont 47 concernant des installations de vidéo-protection(<a href="https://bit.ly/2FjnTv8">rapport annuel pour 2017</a>).</p>
<p>Les images enregistrées ne peuvent être visionnées que par les seules personnes habilitées dans le cadre de leurs fonctions (direction, responsable sécurité). Elles seront conservées pendant une durée déterminée par l’employeur. En effet, la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et le Règlement européen sur la protection des données personnelles (RGPD) précise qu’il appartient à l’employeur de définir une durée de conservation des images en lien avec l’objectif poursuivi par le dispositif.</p>
<p>Pour finir, afin de se conformer au RGPD, l’employeur doit tout d’abord apposer un panneau d’information affiché dans les locaux qui informe les salariés et les visiteurs éventuels de la présence du dispositif, du nom du responsable, de la base légale du dispositif (sécurité des locaux), de la durée de conservation des images, de la possibilité d’adresser une réclamation à la CNIL, de la procédure à suivre pour demander l’accès aux enregistrements visuels les concernant.</p>
<p>Les employeurs devront donc agir sur trois points principaux : la modification des panneaux d’affichage relatifs aux dispositifs de vidéo-protection, la décision relative à la durée de conservation des images et également vérifier que les formalités nécessaires ont été accomplies auprès de la CNIL, en fonction de la nature des lieux filmés (ouverts ou non au public).</p><img src="https://counter.theconversation.com/content/103953/count.gif" alt="The Conversation" width="1" height="1" />
L’entrée en vigueur du RGPD modifie le processus de déploiement de la vidéo-protection dans les entreprises. Les contraintes évoluent.Caroline Diard, Professeur associé en Management des Ressources Humaines et Droit - Laboratoire Métis - Membre de l'AGRH, EM NormandieLicensed as Creative Commons – attribution, no derivatives.